Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Titik akhir Gateway
Titik akhir VPC Gateway menyediakan konektivitas yang andal ke Amazon S3 dan DynamoDB tanpa memerlukan gateway internet atau perangkat NAT untuk VPC Anda. Titik akhir Gateway tidak digunakan AWS PrivateLink, tidak seperti jenis titik akhir VPC lainnya.
Amazon S3 dan DynamoDB mendukung titik akhir gateway dan titik akhir antarmuka. Untuk perbandingan opsi, lihat yang berikut ini:
Penetapan harga
Tidak dikenakan biaya tambahan untuk menggunakan titik akhir gateway.
Daftar Isi
Gambaran umum
Anda dapat mengakses Amazon S3 dan DynamoDB melalui titik akhir layanan publik mereka atau melalui titik akhir gateway. Ikhtisar ini membandingkan metode ini.
Akses melalui gateway internet
Diagram berikut menunjukkan cara instans mengakses Amazon S3 dan DynamoDB melalui titik akhir layanan publiknya. Lalu lintas ke Amazon S3 atau DynamoDB dari instance di subnet publik dirutekan ke gateway internet untuk VPC dan kemudian ke layanan. Instans di subnet pribadi tidak dapat mengirim lalu lintas ke Amazon S3 atau DynamoDB, karena menurut definisi subnet pribadi tidak memiliki rute ke gateway internet. Untuk mengaktifkan instance di subnet pribadi untuk mengirim lalu lintas ke Amazon S3 atau DynamoDB, Anda akan menambahkan perangkat NAT ke subnet publik dan merutekan lalu lintas di subnet pribadi ke perangkat NAT. Sementara lalu lintas ke Amazon S3 atau DynamoDB melintasi gateway internet, itu tidak meninggalkan jaringan. AWS
Akses melalui titik akhir gateway
Diagram berikut menunjukkan cara instance mengakses Amazon S3 dan DynamoDB melalui titik akhir gateway. Lalu lintas dari VPC Anda ke Amazon S3 atau DynamoDB dirutekan ke titik akhir gateway. Setiap tabel rute subnet harus memiliki rute yang mengirimkan lalu lintas yang ditujukan untuk layanan ke titik akhir gateway menggunakan daftar awalan untuk layanan. Untuk informasi selengkapnya, lihat daftar awalan AWS-terkelola di Panduan Pengguna Amazon VPC.
Perutean
Saat Anda membuat titik akhir gateway, Anda memilih tabel rute VPC untuk subnet yang Anda aktifkan. Rute berikut secara otomatis ditambahkan ke setiap tabel rute yang Anda pilih. Tujuan adalah daftar awalan untuk layanan yang dimiliki oleh AWS dan targetnya adalah titik akhir gateway.
| Destinasi | Target |
|---|---|
prefix_list_id |
gateway_endpoint_id |
Pertimbangan-pertimbangan
-
Anda dapat meninjau rute titik akhir yang kami tambahkan ke tabel rute Anda, tetapi Anda tidak dapat memodifikasi atau menghapusnya. Untuk menambahkan rute titik akhir ke tabel rute, kaitkan dengan titik akhir gateway. Kami menghapus rute titik akhir saat Anda memisahkan tabel rute dari titik akhir gateway atau saat Anda menghapus titik akhir gateway.
-
Semua instance dalam subnet yang terkait dengan tabel rute yang terkait dengan titik akhir gateway secara otomatis menggunakan titik akhir gateway untuk mengakses layanan. Instance dalam subnet yang tidak terkait dengan tabel rute ini menggunakan titik akhir layanan publik, bukan titik akhir gateway.
-
Tabel rute dapat memiliki rute titik akhir ke Amazon S3 dan rute titik akhir ke DynamoDB. Anda dapat memiliki rute titik akhir ke layanan yang sama (Amazon S3 atau DynamoDB) di beberapa tabel rute. Anda tidak dapat memiliki beberapa rute titik akhir ke layanan yang sama (Amazon S3 atau DynamoDB) dalam satu tabel rute.
-
Kami menggunakan rute paling spesifik yang cocok dengan lalu lintas untuk menentukan cara merutekan lalu lintas (kecocokan awalan terpanjang). Untuk tabel rute dengan rute titik akhir, ini berarti sebagai berikut:
-
Jika ada rute yang mengirimkan semua lalu lintas internet (0.0.0.0/0) ke gateway internet, rute titik akhir diutamakan untuk lalu lintas yang ditujukan untuk layanan (Amazon S3 atau DynamoDB) di Wilayah saat ini. Lalu lintas yang ditujukan untuk yang berbeda Layanan AWS menggunakan gateway internet.
-
Lalu lintas yang ditujukan untuk layanan (Amazon S3 atau DynamoDB) di Wilayah lain masuk ke gateway internet karena daftar awalan khusus untuk Wilayah.
-
Jika ada rute yang menentukan rentang alamat IP yang tepat untuk layanan (Amazon S3 atau DynamoDB) di Wilayah yang sama, rute tersebut lebih diutamakan daripada rute titik akhir.
-
Keamanan
Saat instans Anda mengakses Amazon S3 atau DynamoDB melalui titik akhir gateway, instans mengakses layanan menggunakan titik akhir publiknya. Grup keamanan untuk contoh ini harus mengizinkan lalu lintas ke dan dari layanan. Berikut ini adalah contoh aturan outbound. Ini mereferensikan ID daftar awalan untuk layanan.
| Destinasi | Protokol | Rentang port |
|---|---|---|
prefix_list_id |
TCP | 443 |
Jaringan ACLs untuk subnet untuk contoh ini juga harus memungkinkan lalu lintas ke dan dari layanan. Berikut ini adalah contoh aturan outbound. Anda tidak dapat mereferensikan daftar awalan dalam aturan ACL jaringan, tetapi Anda bisa mendapatkan rentang alamat IP untuk layanan dari daftar awalannya.
| Destinasi | Protokol | Rentang port |
|---|---|---|
service_cidr_block_1 |
TCP | 443 |
service_cidr_block_2 |
TCP | 443 |
service_cidr_block_3 |
TCP | 443 |
Jenis alamat IP
Jenis alamat IP menentukan daftar awalan mana yang terkait dengan tabel rute Anda.
Persyaratan IPv6 untuk mengaktifkan titik akhir gateway
-
Jenis alamat IP dari titik akhir gateway harus kompatibel dengan subnet untuk titik akhir gateway, seperti yang dijelaskan di sini:
-
IPv4— Tambahkan daftar IPv4 awalan layanan ke tabel rute Anda.
-
IPv6— Tambahkan daftar IPv6 awalan layanan ke tabel rute Anda. Opsi ini didukung hanya jika semua subnet yang dipilih IPv6 hanya subnet.
-
Dualstack - Tambahkan daftar IPv4 awalan layanan ke tabel rute Anda dan tambahkan daftar IPv6 awalan layanan ke tabel rute Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang keduanya IPv4 dan IPv6 alamat.
-
Jenis IP catatan DNS
Secara default, titik akhir gateway mengembalikan catatan DNS berdasarkan titik akhir layanan yang Anda panggil. Jika Anda membuat titik akhir gateway menggunakan titik akhir IPv4 layanan, sepertis3.us-east-2.amazonaws.com, Amazon S3 mengembalikan catatan A ke klien Anda, dan semua subnet dalam tabel rute Anda digunakan. IPv4
Sebaliknya, jika Anda membuat titik akhir gateway menggunakan endpoint layanan dualstack, seperti, Amazon s3.dualstack.us-east-2.amazonaws.com S3 mengembalikan data A dan AAAA ke klien Anda, dan subnet dalam tabel rute Anda menggunakan dan. IPv4 IPv6
catatan
Untuk bucket direktori, atau S3 Express One Zone, titik akhir gateway untuk bidang data akan menjadi s3express-use2-az1.us-east-2.amazonaws.com dan masing-masing. s3express-use2-az1.dualstack.us-east-2.amazonaws.com
Jenis IP rekaman DNS memengaruhi cara lalu lintas diarahkan ke klien Anda. Jika Anda membuat titik akhir gateway menggunakan titik akhir IPv4 layanan dan kemudian memanggil titik akhir layanan dualstack, lalu lintas yang menggunakan catatan AAAA tidak akan dirutekan melalui titik akhir gateway. Lalu lintas akan dijatuhkan atau dirutekan melalui jalur IPv6 yang kompatibel jika ada. Jika Anda menggunakan jenis IP rekaman DNS yang ditentukan layanan, pastikan layanan Anda dapat menangani panggilan variabel dari beberapa titik akhir layanan.
Alih-alih pengaturan tipe IP rekaman DNS default yang ditentukan layanan, Anda dapat menyesuaikan jenis IP rekaman DNS untuk memilih catatan mana yang dikembalikan untuk titik akhir tertentu. Tabel berikut menunjukkan jenis IP rekaman DNS yang didukung dan jenis rekaman yang dikembalikan:
| Jenis IP catatan DNS | Jenis catatan yang dikembalikan |
|---|---|
| IPv4 | A |
| IPv6 | AAAA |
| Tumpukan ganda | A dan AAAA |
| ditetapkan layanan | Catatan tergantung pada titik akhir layanan |
Untuk memilih jenis IP rekaman DNS, Anda harus menggunakan jenis alamat IP yang kompatibel untuk layanan titik akhir. Tabel berikut menunjukkan jenis IP rekaman DNS yang didukung untuk setiap jenis alamat IP untuk titik akhir gateway:
| Jenis alamat IP | Jenis IP rekaman DNS yang didukung |
|---|---|
| IPv4 | IPv4, ditentukan layanan* |
| IPv6 | IPv6, ditentukan layanan* |
| Tumpukan ganda | IPv4,, Dualstack IPv6, ditentukan layanan* |
* Merupakan tipe IP catatan DNS default.
catatan
Untuk menggunakan jenis IP rekaman DNS selain yang ditentukan layanan untuk titik akhir Gateway Anda, Anda harus mengizinkan enableDnsSupport dan atribut enableDnsHostnames dalam pengaturan VPC Anda.
Anda tidak dapat mengubah jenis IP rekaman DNS untuk titik akhir gateway DynamoDB. DynamoDB hanya mendukung jenis IP rekaman DNS yang ditentukan layanan.
Perilaku tipe IP rekaman DNS berbeda untuk titik akhir antarmuka. Untuk informasi selengkapnya, lihat Jenis IP rekaman DNS untuk titik akhir antarmuka.
