Considerazioni Prerequisiti Creazione di un servizio endpoint Rendi il servizio endpoint disponibile agli utenti del servizio Connessione a un servizio endpoint in qualità di utente del servizio

Crea un servizio fornito da AWS PrivateLink

È possibile creare il proprio servizio basato su AWS PrivateLink, noto come servizio endpoint. Tu sei il provider di servizi e i principali AWS che creano connessioni al servizio sono gli utenti del servizio.

I servizi endpoint richiedono un Network Load Balancer o un Gateway Load Balancer. Il load balancer riceve le richieste dagli utenti del servizio e le instrada al servizio. In questo caso, creerai un servizio endpoint utilizzando un Network Load Balancer. Per ulteriori informazioni sulla creazione di un servizio endpoint utilizzando un Gateway Load Balancer, consulta la pagina Accesso alle appliance virtuali.

Indice

Considerazioni
Prerequisiti
Creazione di un servizio endpoint
Rendi il servizio endpoint disponibile agli utenti del servizio
Connessione a un servizio endpoint in qualità di utente del servizio

Considerazioni

Un servizio endpoint è disponibile nella regione in cui è stato creato. I consumatori possono accedere al tuo servizio da altre regioni se abiliti l'accesso interregionale o se utilizzano il peering VPC o un gateway di transito.
Quando gli utenti del servizio recuperano le informazioni relative a un servizio endpoint, possono visualizzare solo le zone di disponibilità in comune con il provider di servizi. Se il provider di servizi e l'utente si trovano in account diversi, un nome della zona di disponibilità, ad esempio us-east-1a, potrebbe essere mappato a una zona di disponibilità fisica diversa in ciascun Account AWS. Puoi utilizzare gli ID AZ per identificare in modo coerente le zone di disponibilità del servizio. Per ulteriori informazioni, consulta AZ IDs nella Amazon EC2 User Guide.
Quando gli utenti del servizio inviano traffico al servizio attraverso un endpoint dell'interfaccia, gli indirizzi IP di origine forniti all'applicazione sono gli indirizzi IP privati dei nodi load balancer e non gli indirizzi IP degli utenti del servizio. Se si abilita il protocollo proxy sul load balancer, è possibile ottenere gli indirizzi degli utenti del servizio e gli ID degli endpoint dell'interfaccia dall'intestazione del protocollo proxy. Per ulteriori informazioni, vedere Proxy Protocol nel Manuale dell'utente per Network Load Balancers.
Un Network Load Balancer può essere associato a un singolo servizio endpoint, ma un servizio endpoint può essere associato a più Network Load Balancer.
Se un servizio endpoint è associato a molteplici Network Load Balancer, ogni endpoint dell'interfaccia di rete è associato a un sistema di bilanciamento del carico. Quando viene avviata la prima connessione da un'interfaccia di rete endpoint, selezioniamo a caso uno dei Network Load Balancer nella stessa zona di disponibilità dell'interfaccia di rete dell'endpoint. Tutte le richieste di connessione successive da questa interfaccia di rete endpoint utilizzano il sistema di bilanciamento del carico selezionato. Consigliamo di utilizzare la stessa configurazione di ascoltatore e gruppo di destinazione per tutti i sistemi di bilanciamento del carico per un servizio endpoint, in modo che i consumatori possano utilizzare il servizio endpoint con successo indipendentemente dal sistema di bilanciamento del carico scelto.
Le tue risorse sono soggette a quote. AWS PrivateLink Per ulteriori informazioni, consulta AWS PrivateLink quote.

Prerequisiti

Creare un VPC per il servizio endpoint con almeno una sottorete in ogni zona di disponibilità in cui il servizio deve essere disponibile.
Per consentire agli utenti del servizio di creare endpoint VPC con interfaccia IPv6 per il servizio endpoint, il VPC e le sottoreti devono avere blocchi CIDR IPv6 associati.
Creare un Network Load Balancer nel VPC. Seleziona una sottorete per la zona di disponibilità in cui il servizio deve essere reso disponibile agli utenti. Per una bassa latenza e la tolleranza ai guasti, consigliamo di rendere il servizio disponibile in almeno due zone di disponibilità della regione.
Se il Network Load Balancer dispone di un gruppo di sicurezza, deve consentire il traffico in entrata dagli indirizzi IP dei client. In alternativa, puoi disattivare la valutazione delle regole dei gruppi di sicurezza in entrata per il traffico in transito. AWS PrivateLink Per ulteriori informazioni, consulta Gruppi di sicurezza nella Guida per l'utente di Network Load Balancers.
Per consentire al servizio endpoint di accettare richieste IPv6, i relativi Network Load Balancer devono utilizzare il tipo di indirizzo IP dualstack. Le destinazioni non devono supportare il traffico IPv6. Per ulteriori informazioni, consulta la sezione Tipo di indirizzo IP nella Guida per l'utente di Network Load Balancer.

Se si elaborano gli indirizzi IP di origine dall'intestazione della versione 2 del protocollo proxy, verificare di poter elaborare gli indirizzi IPv6.
Avviare le istanze in ogni zona di disponibilità in cui il servizio deve essere disponibile e registrale con un gruppo di destinazione del load balancer. Se non si avviano le istanze in tutte le zone di disponibilità abilitate, è possibile attivare un load balancer su più zone per supportare gli utenti del servizio che utilizzano i nomi host DNS zonali per accedervi. Quando abiliti il load balancer su più zone, si applicano i costi di trasferimento dei dati a livello regionale. Per ulteriori informazioni, consulta il bilanciamento Cross-zone del carico nella Guida per l'utente di Network Load Balancers.

Creazione di un servizio endpoint

Utilizza la procedura seguente per creare un servizio endpoint utilizzando un Network Load Balancer.

Per creare un servizio endpoint tramite la console

Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione scegli Endpoint Services (Servizi endpoint).
Scegli Create Endpoint Service (Crea servizio endpoint).
Per Load balancer type (Tipo di load balancer), scegli Network (Rete).
In Available load balancers (load balancer disponibili), selezionare i Network Load Balancers da associare al servizio endpoint. Per visualizzare le zone di disponibilità abilitate per il sistema di bilanciamento del carico selezionato, consulta Dettagli dei sistemi di bilanciamento del carico selezionati, Zone di disponibilità incluse. Il servizio endpoint sarà disponibile in queste zone di disponibilità.
(Facoltativo) Per rendere disponibile il servizio endpoint in regioni diverse dalla regione in cui è ospitato, seleziona le regioni tra le Regioni di servizio. Per ulteriori informazioni, consulta Cross-Region accesso.
In Require acceptance for endpoint (Richiedi accettazione per l'endpoint), seleziona Acceptance required (Accettazione richiesta) per richiedere l'accettazione manuale delle richieste di connessione al servizio endpoint. In caso contrario, queste richieste vengono accettate automaticamente.
In Enable private DNS (Abilita nomi DNS privati), seleziona Associate a private DNS name with the service (Associa un nome DNS privato al servizio) per associare un nome DNS privato al servizio e consentire l'accesso agli utenti, quindi immetti il nome DNS privato. Altrimenti, gli utenti del servizio possono utilizzare il nome DNS specifico dell'endpoint fornito da. AWS Il provider di servizi deve dimostrare di essere il proprietario del dominio prima che gli utenti possano utilizzare il nome DNS privato. Per ulteriori informazioni, consulta Gestione dei nomi DNS.
Per Supported IP address types (Tipi di indirizzo IP supportati), esegui una delle operazioni seguenti:
- Seleziona IPv4 per consentire al servizio endpoint di accettare richieste IPv4.
- Seleziona IPv6 per consentire al servizio endpoint di accettare richieste IPv6.
- Seleziona IPv4 e IPv6 per consentire al servizio endpoint di accettare richieste IPv4 e IPv6.
(Facoltativo) Per aggiungere un tag, scegliere Add new tag (Aggiungi nuovo tag) e immettere la chiave e il valore del tag.
Scegli Create (Crea).

Per creare un servizio endpoint utilizzando la riga di comando

create-vpc-endpoint-service-configuration (AWS CLI)
New-EC2VpcEndpointServiceConfiguration(Strumenti per Windows) PowerShell

AWS i responsabili possono connettersi al servizio endpoint in modo privato creando un endpoint VPC di interfaccia. Per mettere a disposizione i propri servizi agli utenti, i provider devono eseguire le operazioni seguenti.

Aggiungere le autorizzazioni che consentono a ciascun utente del servizio di connettersi al servizio endpoint. Per ulteriori informazioni, consulta Gestione delle autorizzazioni.
Fornire all'utente del servizio il nome del servizio e le zone di disponibilità supportate in modo che possa creare un endpoint dell'interfaccia per connettersi al servizio. Per ulteriori informazioni, consulta Connessione a un servizio endpoint in qualità di utente del servizio.
Accettare la richiesta di connessione all'endpoint inviata dall'utente del servizio. Per ulteriori informazioni, consulta Accettare o rifiutare le richieste di connessione.

Connessione a un servizio endpoint in qualità di utente del servizio

Un utente del servizio utilizza la procedura seguente per creare un endpoint dell'interfaccia per connettersi al servizio endpoint.

Per creare un endpoint dell'interfaccia mediante la console

Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona Crea endpoint.
Per Tipo, scegli i servizi Endpoint che utilizzano NLB e GWLB.
Per Nome servizio, inserisci il nome del servizio (ad esempio,com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc), quindi scegli Verifica servizio.
(Facoltativo) Per connetterti a un servizio endpoint disponibile in una regione diversa da quella dell'endpoint, seleziona Area del servizio, Abilita endpoint interregionale, quindi seleziona la regione. Per ulteriori informazioni, consulta Cross-Region accesso.
Per VPC, seleziona il VPC da cui accederai al servizio endpoint.
Per Subnet, seleziona le sottoreti in cui creare interfacce di rete endpoint.
Per IP address type (Tipo di indirizzo IP), seleziona una delle opzioni seguenti:
- IPv4: assegna gli indirizzi IPv4 alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate dispongono di intervalli di indirizzi IPv4 e il servizio endpoint accetta richieste IPv4.
- IPv6: assegna gli indirizzi IPv6 alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono sottoreti solo IPv6 e il servizio endpoint accetta richieste IPv6.
- Dualstack: assegna indirizzi IPv4 e IPv6 alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate dispongono di intervalli di indirizzi IPv4 e IPv6 e il servizio endpoint accetta sia richieste IPv4 e IPv6.
Per DNS record IP type (Tipo di IP record DNS), seleziona una delle opzioni seguenti:
- IPv4: consente di creare record A per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere IPv4 o Dualstack.
- IPv6: consente di creare record AAAA per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere IPv6 o Dualstack.
- Dualstack: consente di creare record A e AAAA per i nomi DNS privati, regionali e zonali. Il tipo di indirizzo IP deve essere Dualstack.
- Servizio definito: consente di creare record A per i nomi DNS privati, regionali e zonali e record AAAA per i nomi DNS regionali e zonali. Il tipo di indirizzo IP deve essere Dualstack.
In Security group (Gruppo di sicurezza), selezionare i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint.
Seleziona Crea endpoint.

Per creare un endpoint dell'interfaccia mediante la riga di comando

create-vpc-endpoint (AWS CLI)
New-EC2VpcEndpoint( PowerShellStrumenti per Windows)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Condividi i tuoi servizi

Configurazione di servizio endpoint