Configurazioni delle risorse per le risorse VPC - Amazon VPC Lattice
Tipi di configurazioni delle risorseProtocolloGateway per le risorseNomi di dominio personalizzati per i provider di risorseNomi di dominio personalizzati per consumatori di risorseNomi di dominio personalizzati per i proprietari di reti di serviziDefinizione delle risorseIntervalli di porteAccesso alle risorse Associazione con il tipo di rete di serviziTipi di reti di servizioCondivisione delle configurazioni delle risorse tramite AWS RAMMonitoraggio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazioni delle risorse per le risorse VPC

Una configurazione di risorse rappresenta una risorsa o un gruppo di risorse che si desidera rendere accessibili ai client di altri account VPCs . Definendo una configurazione delle risorse, puoi consentire la connettività di rete privata, sicura e unidirezionale alle risorse del tuo VPC da client di altri account. VPCs Una configurazione delle risorse è associata a un gateway di risorse attraverso il quale riceve il traffico. Affinché una risorsa sia accessibile da un altro VPC, deve disporre di una configurazione delle risorse.

Indice

Tipi di configurazioni delle risorse

Una configurazione delle risorse può essere di diversi tipi. I diversi tipi aiutano a rappresentare diversi tipi di risorse. I tipi sono:

  • Configurazione a risorsa singola: rappresenta un indirizzo IP o un nome di dominio. Può essere condivisa indipendentemente.

  • Configurazione delle risorse di gruppo: è una raccolta di configurazioni di risorse secondarie. Può essere utilizzato per rappresentare un gruppo di endpoint DNS e indirizzi IP.

  • Configurazione delle risorse secondarie: è un membro di una configurazione di risorse di gruppo. Rappresenta un indirizzo IP o un nome di dominio. Non può essere condiviso in modo indipendente; può essere condiviso solo come parte di un gruppo. Può essere aggiunto e rimosso da un gruppo. Una volta aggiunto, è automaticamente accessibile a coloro che possono accedere al gruppo.

  • Configurazione delle risorse ARN: rappresenta un tipo di risorsa supportato fornito da un servizio. AWS Qualsiasi relazione gruppo-figlio viene gestita automaticamente.

L'immagine seguente mostra una configurazione di risorse singole, secondarie e di gruppo:

Configurazioni di risorse singole, secondarie e di gruppo.

Protocollo

Quando si crea una configurazione delle risorse, è possibile definire i protocolli che la risorsa supporterà. Attualmente è supportato solo il protocollo TCP.

Gateway per le risorse

Una configurazione delle risorse è associata a un gateway di risorse. Un gateway di risorse è un insieme di ENIs dispositivi che fungono da punto di ingresso nel VPC in cui si trova la risorsa. È possibile associare più configurazioni di risorse allo stesso gateway di risorse. Quando i client di altri VPCs account accedono a una risorsa nel tuo VPC, la risorsa vede il traffico proveniente localmente dagli indirizzi IP del gateway di risorse in quel VPC.

Nomi di dominio personalizzati per i provider di risorse

I provider di risorse possono associare un nome di dominio personalizzato a una configurazione di risorse, ad esempio quali example.com risorse possono utilizzare gli utenti per accedere alla configurazione delle risorse. Il nome di dominio personalizzato può essere di proprietà e verificato dal provider di risorse oppure può essere di terze parti o di un AWS dominio. I provider di risorse possono utilizzare le configurazioni delle risorse per condividere cluster di cache e cluster Kafka, applicazioni basate su TLS o altre risorse. AWS

Le seguenti considerazioni si applicano ai fornitori di configurazioni di risorse:

  • Una configurazione di risorse può avere solo un dominio personalizzato.

  • Il nome di dominio personalizzato di una configurazione di risorse non può essere modificato.

  • Il nome di dominio personalizzato è visibile a tutti gli utenti della configurazione delle risorse.

  • Puoi verificare il tuo nome di dominio personalizzato utilizzando il processo di verifica del nome di dominio in VPC Lattice. Per ulteriori informazioni Per ulteriori informazioni, vedere. Crea e verifica un dominio

  • Per le configurazioni delle risorse di tipo group e child, è necessario innanzitutto specificare un dominio di gruppo nella configurazione delle risorse di gruppo. Successivamente, le configurazioni delle risorse secondarie possono avere domini personalizzati che sono sottodomini del dominio del gruppo. Se il gruppo non ha un dominio di gruppo, puoi utilizzare qualsiasi nome di dominio personalizzato per il figlio, ma VPC Lattice non fornirà alcuna zona ospitata per i nomi di dominio figlio nel VPC del consumatore di risorse.

Nomi di dominio personalizzati per consumatori di risorse

Quando i consumatori di risorse abilitano la connettività a una configurazione di risorse con un nome di dominio personalizzato, possono consentire a VPC Lattice di gestire una zona ospitata privata Route 53 nel proprio VPC. I consumatori di risorse hanno opzioni granulari per i domini per cui desiderano consentire a VPC Lattice di gestire zone ospitate private.

I consumatori di risorse possono impostare il private-dns-enabled parametro quando abilitano la connettività alle configurazioni delle risorse tramite un endpoint di risorse, un endpoint di rete di servizi o un'associazione VPC di rete di servizi. Oltre al private-dns-enabled parametro, i consumatori possono utilizzare le opzioni DNS per specificare per quali domini desiderano che VPC Lattice gestisca le zone ospitate private. I consumatori possono scegliere tra le seguenti preferenze DNS private:

ALL_DOMAINS

VPC Lattice fornisce zone ospitate private per tutti i nomi di dominio personalizzati.

VERIFIED_DOMAINS_ONLY

VPC Lattice fornisce una zona ospitata privata solo se il nome di dominio personalizzato è stato verificato dal provider.

VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS

VPC Lattice fornisce zone ospitate private per tutti i nomi di dominio personalizzati verificati e altri nomi di dominio specificati dal consumatore di risorse. Il consumatore di risorse specifica i nomi di dominio nel parametro. private DNS specified domains

SPECIFIED_DOMAINS_ONLY

VPC Lattice fornisce una zona ospitata privata per i nomi di dominio specificati dal consumatore di risorse. Il consumatore di risorse specifica i nomi di dominio nel parametro. private DNS specified domains

Quando abiliti il DNS privato, VPC Lattice crea una zona ospitata privata nel tuo VPC per il nome di dominio personalizzato associato alla configurazione delle risorse. Per impostazione predefinita, la preferenza DNS privata è impostata su. VERIFIED_DOMAINS_ONLY Ciò significa che le zone private ospitate vengono create solo se il nome di dominio personalizzato è stato verificato dal provider di risorse. Se imposti la preferenza DNS privata su ALL_DOMAINS o SPECIFIED_DOMAINS_ONLY allora VPC Lattice crea zone ospitate private indipendentemente dallo stato di verifica del nome di dominio personalizzato. Quando viene creata una zona ospitata privata per un determinato dominio, tutto il traffico verso quel dominio dal tuo VPC viene instradato tramite VPC Lattice. Ti consigliamo di utilizzare le SPECIFIED_DOMAINS_ONLY preferenze ALL_DOMAINSVERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS, o solo quando desideri che il traffico verso questi nomi di dominio personalizzati passi attraverso VPC Lattice.

Consigliamo ai consumatori di risorse di impostare la propria preferenza DNS privata su. VERIFIED_DOMAINS_ONLY Ciò consente ai consumatori di rafforzare il proprio perimetro di sicurezza consentendo a VPC Lattice di fornire zone private ospitate per domini verificati nell'account del consumatore di risorse.

Per selezionare i domini nei domini privati specificati dal DNS, i consumatori di risorse possono inserire un nome di dominio completo, ad esempio o utilizzare un carattere jolly come. my.example.com *.example.com

Le seguenti considerazioni si applicano agli utenti che utilizzano configurazioni di risorse:

  • Il parametro DNS privato abilitato non può essere modificato.

  • Il DNS privato deve essere abilitato su un'associazione di risorse di rete di servizio per l'hosting privato da creare in un VPC. Per una configurazione di risorse, lo stato di abilitazione DNS privato dell'associazione di risorse di rete di servizio ha la precedenza sullo stato di abilitazione DNS privato dell'endpoint della rete di servizio o dell'associazione VPC della rete di servizio.

Nomi di dominio personalizzati per i proprietari di reti di servizi

La proprietà DNS privata abilitata dell'associazione di risorse di rete di servizio ha la precedenza sulla proprietà DNS privata abilitata dell'endpoint della rete di servizio e dell'associazione VPC della rete di servizio.

Se il proprietario di una rete di servizi crea un'associazione di risorse di rete di servizio e non abilita il DNS privato, VPC Lattice non fornirà zone ospitate private per quella configurazione di risorse in VPCs nessuna delle aree a cui è connessa la rete di servizio, anche se il DNS privato è abilitato sull'endpoint della rete di servizio o sulle associazioni VPC della rete di servizio.

Per le configurazioni delle risorse di tipo ARN, il flag DNS privato è vero e immutabile.

Definizione delle risorse

Nella configurazione della risorsa, identificate la risorsa in uno dei seguenti modi:

  • Con un Amazon Resource Name (ARN): i tipi di risorse supportati, forniti dai AWS servizi, possono essere identificati dal relativo ARN. Sono supportati solo i database Amazon RDS. Non è possibile creare una configurazione delle risorse per un cluster accessibile pubblicamente.

  • In base a un nome di dominio: puoi utilizzare qualsiasi nome di dominio risolvibile pubblicamente. Se il tuo nome di dominio punta a un IP esterno al tuo VPC, devi avere un gateway NAT nel tuo VPC.

  • Tramite un indirizzo IP: Per IPv4, specifica un IP privato tra i seguenti intervalli: 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16. Per IPv6, specifica un IP dal VPC. IPs I pubblici non sono supportati.

Intervalli di porte

Quando si crea una configurazione di risorse, è possibile definire le porte su cui verranno accettate le richieste. L'accesso del client su altre porte non sarà consentito.

Accesso alle risorse

I consumatori possono accedere alle configurazioni delle risorse direttamente dal proprio VPC utilizzando un endpoint VPC o tramite una rete di servizi. In qualità di consumatore, puoi abilitare l'accesso dal tuo VPC a una configurazione di risorse presente nel tuo account o che è stata condivisa con te da un altro account tramite. AWS RAM

  • Accesso diretto a una configurazione delle risorse

    Puoi creare un endpoint AWS PrivateLink VPC di tipo risorsa (endpoint di risorse) nel tuo VPC per accedere a una configurazione di risorse in modo privato dal tuo VPC. Per ulteriori informazioni su come creare un endpoint di risorse, consulta Accesso alle risorse VPC nella guida per AWS PrivateLink l'utente.

  • Accesso a una configurazione di risorse tramite una rete di servizi

    Puoi associare una configurazione di risorse a una rete di servizi e connettere il tuo VPC alla rete di servizi. Puoi connettere il tuo VPC alla rete di servizio tramite un'associazione o utilizzando un endpoint VPC AWS PrivateLink della rete di servizi.

    Per ulteriori informazioni sulle associazioni delle reti di servizio, consulta Gestire le associazioni per una rete di servizi VPC Lattice.

    Per ulteriori informazioni sugli endpoint VPC della rete di servizio, consulta Accedere alle reti di servizio nella guida per l'AWS PrivateLink utente.

Quando il DNS privato è abilitato per il tuo VPC, non puoi creare un endpoint di risorse e un endpoint di rete di servizi per la stessa configurazione di risorse.

Associazione con il tipo di rete di servizi

Quando condividi una configurazione di risorse con un account consumatore, ad esempio Account-B AWS RAM, tramite Account-B puoi accedere alla configurazione delle risorse direttamente tramite un endpoint VPC di risorse o tramite una rete di servizi.

Per accedere a una configurazione delle risorse tramite una rete di servizi, l'Account-B dovrebbe associare la configurazione delle risorse a una rete di servizi. Le reti di servizio sono condivisibili tra account. Pertanto, l'Account-B può condividere la propria rete di servizi (a cui è associata la configurazione delle risorse) con l'Account-C, rendendo la risorsa accessibile dall'Account-C.

Per impedire tale condivisione transitiva, è possibile specificare che la configurazione delle risorse non può essere aggiunta alle reti di servizi condivisibili tra account. Se lo specifichi, l'Account-B non sarà in grado di aggiungere la configurazione delle risorse alle reti di servizi che sono condivise o che possono essere condivise con un altro account in futuro.

Tipi di reti di servizio

Quando condividi una configurazione di risorse con un altro account, ad esempio Account-B AWS RAM, tramite Account-B puoi accedere alle risorse specificate nella configurazione delle risorse in tre modi:

  • Utilizzo di un endpoint VPC di tipo risorsa (endpoint VPC di risorsa).

  • Utilizzo di un endpoint VPC di tipo service network (endpoint VPC della rete di assistenza).

  • Utilizzo di un'associazione VPC di rete di servizi.

    Quando si utilizza un'associazione di rete di servizi, a ciascuna risorsa viene assegnato un IP per sottorete a partire dal blocco 129.224.0.0/17, che è di proprietà e non è instradabile. AWS Questo si aggiunge all'elenco di prefissi gestiti che VPC Lattice utilizza per indirizzare il traffico verso i servizi sulla rete VPC Lattice. Entrambi IPs vengono aggiornati nella tabella di routing VPC.

Per l'endpoint VPC della rete di servizio e l'associazione VPC della rete di servizio, la configurazione delle risorse dovrebbe essere associata a una rete di servizi nell'Account-B. Le reti di servizi sono condivisibili tra account. Pertanto, l'Account-B può condividere la propria rete di servizi (che contiene la configurazione delle risorse) con l'Account-C, rendendo la risorsa accessibile dall'Account-C. Per impedire tale condivisione transitiva, è possibile impedire che la configurazione delle risorse venga aggiunta a reti di servizi condivisibili tra account. Se non consentite questa opzione, l'Account-B non sarà in grado di aggiungere la configurazione delle risorse a una rete di servizi condivisa o condivisa con un altro account.

Condivisione delle configurazioni delle risorse tramite AWS RAM

Le configurazioni delle risorse sono integrate con. AWS Resource Access ManagerÈ possibile condividere la configurazione delle risorse con un altro account tramite AWS RAM. Quando condividi una configurazione di risorse con un AWS account, i client di quell'account possono accedere privatamente alla risorsa. È possibile condividere una configurazione di risorse utilizzando una condivisione di risorse in AWS RAM.

Usa la AWS RAM console per visualizzare le condivisioni di risorse a cui sei stato aggiunto, le risorse condivise a cui puoi accedere e gli AWS account che hanno condiviso risorse con te. Per ulteriori informazioni, consulta Risorse condivise con te nella Guida AWS RAM per l'utente.

Per accedere a una risorsa da un altro VPC nello stesso account della configurazione della risorsa, non è necessario condividere la configurazione della risorsa tramite. AWS RAM

Monitoraggio

È possibile abilitare i log di monitoraggio sulla configurazione delle risorse. È possibile scegliere una destinazione a cui inviare i log.