View a markdown version of this page

Bagikan layanan Anda melalui AWS PrivateLink - Amazon Virtual Private Cloud
IkhtisarNama host DNSDNS privatSubnet dan Availability ZoneCross-Region aksesJenis alamat IP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagikan layanan Anda melalui AWS PrivateLink

Anda dapat meng-host layanan AWS PrivateLink bertenaga Anda sendiri, yang dikenal sebagai layanan titik akhir, dan membagikannya dengan AWS pelanggan lain.

Daftar Isi

Ikhtisar

Diagram berikut menunjukkan bagaimana Anda membagikan layanan yang di-host AWS dengan AWS pelanggan lain, dan bagaimana pelanggan tersebut terhubung ke layanan Anda. Sebagai penyedia layanan, Anda membuat Network Load Balancer di VPC Anda sebagai front end layanan. Anda kemudian memilih penyeimbang beban ini ketika Anda membuat konfigurasi layanan titik akhir VPC. Anda memberikan izin kepada AWS prinsipal tertentu sehingga mereka dapat terhubung ke layanan Anda. Sebagai konsumen layanan, pelanggan membuat titik akhir VPC antarmuka, yang menetapkan koneksi antara subnet yang mereka pilih dari VPC mereka dan layanan titik akhir Anda. Penyeimbang beban menerima permintaan dari konsumen layanan dan mengarahkannya ke target yang menghosting layanan Anda.

Konsumen layanan terhubung ke layanan endpoint yang diselenggarakan oleh penyedia layanan.

Untuk latensi rendah dan ketersediaan tinggi, kami sarankan Anda menyediakan layanan Anda di setidaknya dua Availability Zone.

Nama host DNS

Saat penyedia layanan membuat layanan titik akhir VPC, AWS buat nama host DNS khusus titik akhir untuk layanan tersebut. Nama-nama ini memiliki sintaks berikut:

endpoint_service_id.region.vpce.amazonaws.com

Berikut ini adalah contoh nama host DNS untuk layanan titik akhir VPC di Wilayah us-east-2:

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Ketika konsumen layanan membuat titik akhir VPC antarmuka, kami membuat nama DNS Regional dan zona yang dapat digunakan konsumen layanan untuk berkomunikasi dengan layanan endpoint. Nama daerah memiliki sintaks berikut:

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

Nama zona memiliki sintaks berikut:

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

DNS privat

Penyedia layanan juga dapat mengaitkan nama DNS pribadi untuk layanan endpoint mereka, sehingga konsumen layanan dapat terus mengakses layanan menggunakan nama DNS yang ada. Jika penyedia layanan mengaitkan nama DNS pribadi dengan layanan endpoint mereka, maka konsumen layanan dapat mengaktifkan nama DNS pribadi untuk titik akhir antarmuka mereka. Jika penyedia layanan tidak mengaktifkan DNS pribadi, maka konsumen layanan mungkin perlu memperbarui aplikasi mereka untuk menggunakan nama DNS publik dari layanan titik akhir VPC. Untuk informasi selengkapnya, lihat Kelola nama DNS.

Subnet dan Availability Zone

Layanan endpoint Anda tersedia di Availability Zones yang Anda aktifkan untuk Network Load Balancer Anda. Untuk ketersediaan dan ketahanan yang tinggi, kami sarankan Anda mengaktifkan penyeimbang beban di setidaknya dua Availability Zone, menerapkan instans EC2 di setiap zona yang diaktifkan, dan mendaftarkan instans ini ke grup target penyeimbang beban Anda.

Anda dapat mengaktifkan penyeimbangan beban lintas zona sebagai alternatif untuk menghosting layanan titik akhir Anda di beberapa Availability Zone. Namun, konsumen akan kehilangan akses ke layanan endpoint dari kedua zona jika zona yang menghosting layanan endpoint gagal. Juga pertimbangkan bahwa ketika Anda mengaktifkan penyeimbangan beban lintas zona untuk Network Load Balancer, biaya transfer data EC2 berlaku.

Konsumen dapat membuat titik akhir VPC antarmuka di Availability Zones tempat layanan endpoint Anda tersedia. Kami membuat antarmuka jaringan titik akhir di setiap subnet yang dikonfigurasi konsumen untuk titik akhir VPC. Kami menetapkan alamat IP ke setiap antarmuka jaringan titik akhir dari subnetnya, berdasarkan jenis alamat IP dari titik akhir VPC. Ketika permintaan menggunakan titik akhir regional untuk layanan titik akhir VPC, kami memilih antarmuka jaringan titik akhir yang sehat, menggunakan algoritma round robin untuk bergantian antara antarmuka jaringan di Availability Zone yang berbeda. Kami kemudian menyelesaikan lalu lintas ke alamat IP dari antarmuka jaringan titik akhir yang dipilih.

Konsumen dapat menggunakan titik akhir zona untuk titik akhir VPC jika kasus penggunaannya lebih baik untuk menjaga lalu lintas di Availability Zone yang sama.

Cross-Region akses

Penyedia layanan dapat meng-host layanan di satu Wilayah dan membuatnya tersedia dalam satu set Wilayah yang didukung. Konsumen layanan memilih Wilayah layanan saat membuat titik akhir.

Izin

  • Secara default, entitas IAM tidak memiliki izin untuk membuat layanan endpoint tersedia di beberapa Wilayah atau mengakses layanan endpoint di seluruh Wilayah. Untuk memberikan izin yang diperlukan untuk akses lintas wilayah, administrator IAM dapat membuat kebijakan IAM yang mengizinkan tindakan khusus izin. vpce:AllowMultiRegion

  • Untuk mengontrol Wilayah yang dapat ditentukan oleh entitas IAM sebagai Wilayah yang didukung saat membuat layanan titik akhir, gunakan kunci ec2:VpceSupportedRegion kondisi.

  • Untuk mengontrol Wilayah yang dapat ditentukan oleh entitas IAM sebagai Wilayah layanan saat membuat titik akhir VPC, gunakan ec2:VpceServiceRegion kunci kondisi.

Pertimbangan-pertimbangan

  • Penyedia layanan harus memilih masuk ke Wilayah keikutsertaan sebelum menambahkannya sebagai Wilayah yang didukung untuk layanan titik akhir.

  • Layanan endpoint Anda harus dapat diakses dari Wilayah tuan rumahnya. Anda tidak dapat menghapus Wilayah host dari kumpulan Wilayah yang didukung. Untuk redundansi, Anda dapat menerapkan layanan endpoint Anda di beberapa Wilayah dan mengaktifkan akses lintas wilayah untuk setiap layanan endpoint.

  • Konsumen layanan harus memilih masuk ke Wilayah keikutsertaan sebelum memilihnya sebagai Wilayah layanan untuk titik akhir. Jika memungkinkan, kami menyarankan agar konsumen layanan mengakses layanan menggunakan konektivitas intra-wilayah, bukan konektivitas lintas wilayah. Intra-Region konektivitas memberikan latensi yang lebih rendah dan biaya yang lebih rendah.

  • Jika penyedia layanan menghapus Wilayah dari kumpulan Wilayah yang didukung, konsumen layanan tidak dapat memilih Wilayah tersebut sebagai Wilayah layanan saat mereka membuat titik akhir baru. Perhatikan bahwa ini tidak memengaruhi akses ke layanan titik akhir dari titik akhir yang ada yang menggunakan Wilayah ini sebagai Wilayah layanan.

  • Untuk ketersediaan tinggi, penyedia harus menggunakan setidaknya dua Availability Zone. Cross-Region akses tidak mengharuskan penyedia dan konsumen menggunakan Availability Zone yang sama.

  • Cross-Region akses tidak didukung untuk Availability Zone berikut:use1-az3,usw1-az2,apne1-az3,apne2-az2, danapne2-az4.

  • Dengan akses lintas wilayah, AWS PrivateLink mengelola failover antara Availability Zones. Itu tidak mengelola failover di seluruh Wilayah.

  • Cross-Region akses tidak didukung untuk Network Load Balancers dengan nilai kustom yang dikonfigurasi untuk batas waktu idle TCP.

  • Cross-Region akses tidak didukung dengan fragmentasi UDP.

  • Cross-Region akses hanya didukung untuk layanan yang Anda bagikan AWS PrivateLink.

Jenis alamat IP

Penyedia layanan dapat membuat titik akhir layanan mereka tersedia untuk konsumen layanan melalui IPv4, IPv6, atau IPv4 dan IPv6, bahkan jika server backend mereka hanya mendukung IPv4. Jika Anda mengaktifkan dukungan dualstack, konsumen yang ada dapat terus menggunakan IPv4 untuk mengakses layanan Anda dan konsumen baru dapat memilih untuk menggunakan IPv6 untuk mengakses layanan Anda.

Jika antarmuka VPC endpoint mendukung IPv4, antarmuka jaringan endpoint memiliki alamat IPv4. Jika antarmuka VPC endpoint mendukung IPv6, antarmuka jaringan endpoint memiliki alamat IPv6. Alamat IPv6 untuk antarmuka jaringan endpoint tidak dapat dijangkau dari internet. Jika Anda mendeskripsikan antarmuka jaringan endpoint dengan alamat IPv6, perhatikan bahwa itu denyAllIgwTraffic diaktifkan.

Persyaratan untuk mengaktifkan IPv6 untuk layanan endpoint

  • VPC dan subnet untuk layanan endpoint harus memiliki blok CIDR IPv6 terkait.

  • Semua Network Load Balancer untuk layanan endpoint harus menggunakan tipe alamat IP dualstack. Target tidak perlu mendukung lalu lintas IPv6. Jika layanan memproses alamat IP sumber dari header protokol proxy versi 2, itu harus memproses alamat IPv6.

Persyaratan untuk mengaktifkan IPv6 untuk titik akhir antarmuka

  • Layanan endpoint harus mendukung permintaan IPv6.

  • Jenis alamat IP dari titik akhir antarmuka harus kompatibel dengan subnet untuk titik akhir antarmuka, seperti yang dijelaskan di sini:

    • IPv4 — Tetapkan alamat IPv4 ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang alamat IPv4.

    • IPv6 — Tetapkan alamat IPv6 ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih hanya subnet IPv6.

    • Dualstack — Tetapkan alamat IPv4 dan IPv6 ke antarmuka jaringan endpoint Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang alamat IPv4 dan IPv6.

Jenis alamat IP rekaman DNS untuk titik akhir antarmuka

Jenis alamat IP rekaman DNS yang didukung oleh titik akhir antarmuka menentukan catatan DNS yang kita buat. Jenis alamat IP rekaman DNS dari titik akhir antarmuka harus kompatibel dengan jenis alamat IP dari titik akhir antarmuka, seperti yang dijelaskan di sini:

  • IPv4 — Buat catatan untuk nama DNS pribadi, Regional, dan zona. Jenis alamat IP harus IPv4 atau Dualstack.

  • IPv6 — Buat catatan AAAA untuk nama DNS pribadi, Regional, dan zona. Jenis alamat IP harus IPv6 atau Dualstack.

  • Dualstack — Buat catatan A dan AAAA untuk nama DNS pribadi, Regional, dan zona. Jenis alamat IP harus Dualstack.