Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Endpoint gateway
Gli endpoint VPC gateway offrono una connettività affidabile ad Amazon S3 e DynamoDB senza richiedere un gateway Internet o un dispositivo NAT per il VPC. Gli endpoint gateway non vengono utilizzati AWS PrivateLink, a differenza di altri tipi di endpoint VPC.
Amazon S3 e DynamoDB supportano sia gli endpoint gateway che gli endpoint di interfaccia. Per un confronto tra le opzioni, consulta quanto segue:
Prezzi
L'utilizzo di endpoint gateway non comporta costi supplementari.
Indice
Panoramica
Puoi accedere ad Amazon S3 e DynamoDB tramite gli endpoint di servizio pubblico o tramite gli endpoint gateway. Questa panoramica mette a confronto i due metodi.
Accesso tramite un gateway Internet
Il diagramma seguente mostra il modo in cui le istanze accedono ad Amazon S3 e DynamoDB tramite i loro endpoint di servizio pubblico. Il traffico verso Amazon S3 o DynamoDB da un'istanza presente in una sottorete pubblica viene instradato al gateway Internet del VPC e successivamente al servizio. Le istanze presenti in una sottorete privata non possono inviare traffico ad Amazon S3 o DynamoDB, perché per definizione le sottoreti private non hanno route verso un gateway Internet. Per abilitare le istanze nella sottorete privata per inviare il traffico ad Amazon S3 o DynamoDB, è necessario aggiungere un dispositivo NAT alla sottorete pubblica e instradare il traffico nella sottorete privata al dispositivo NAT. Sebbene il traffico verso Amazon S3 o DynamoDB attraversi il gateway Internet, non esce dalla rete. AWS
Accesso tramite un endpoint gateway
Il diagramma seguente mostra il modo in cui le istanze accedono ad Amazon S3 e DynamoDB tramite un endpoint gateway. Il traffico in transito dal VPC ad Amazon S3 o a DynamoDB viene instradato verso l'endpoint gateway. Ogni tabella di instradamento della sottorete deve disporre di una route che invia il traffico destinato al servizio all'endpoint gateway utilizzando l'elenco di prefissi del servizio. Per maggiori informazioni, consulta Elenchi di prefissi gestiti da AWS nella Guida dell'utente di Amazon VPC.
Routing
Quando crei un endpoint gateway, seleziona le tabelle di instradamento del VPC per le sottoreti abilitate. La route seguente viene aggiunta automaticamente a ogni tabella di instradamento selezionata. La destinazione è un elenco di prefissi per il servizio di proprietà di AWS e la destinazione è l'endpoint del gateway.
| Destinazione | Target |
|---|---|
prefix_list_id |
gateway_endpoint_id |
Considerazioni
-
Puoi esaminare le route dell'endpoint che aggiungiamo alla tabella di instradamento, ma non puoi modificarle o eliminarle. Per aggiungere una route dell'endpoint a una tabella di instradamento, associala all'endpoint gateway. La route dell'endpoint viene eliminata quando si dissocia la tabella di instradamento dall'endpoint gateway o quando si rimuove l'endpoint gateway.
-
Tutte le istanze nelle sottoreti associate a una tabella di instradamento, a sua volta associata a un endpoint gateway, utilizzano automaticamente l'endpoint gateway per accedere al servizio. Le istanze presenti nelle sottoreti non associate a queste tabelle di instradamento utilizzano l'endpoint del servizio pubblico, non l'endpoint gateway.
-
Una tabella di instradamento può presentare sia una route dell'endpoint verso Amazon S3 sia una route dell'endpoint verso DynamoDB. È possibile avere route dell'endpoint che fanno riferimento allo stesso servizio (Amazon S3 o DynamoDB) in più tabelle di instradamento. Tuttavia, non è possibile avere più route dell'endpoint per lo stesso servizio (Amazon S3 o DynamoDB) in una singola tabella di instradamento.
-
La route più specifica che corrisponde al traffico viene utilizzata per determinare come istradare il traffico (corrispondenza prefisso più lungo). Per le tabelle di instradamento con una route dell'endpoint, questo significa che:
-
Se disponi di una route che invia tutto il traffico Internet (0.0.0.0/0) a un gateway Internet, la route dell'endpoint ha la precedenza per il traffico destinato al servizio (Amazon S3 o DynamoDB) nella regione corrente. Il traffico destinato a un altro utente Servizio AWS utilizza il gateway Internet.
-
Il traffico destinato al servizio (Amazon S3 o DynamoDB) in una regione diversa viene indirizzato verso il gateway Internet perché gli elenchi di prefissi sono specifici per una regione.
-
Se disponi di una route che specifica l'intervallo esatto di indirizzi IP per il servizio (Amazon S3 o DynamoDB) nella stessa regione, tale route ha la precedenza sulla route dell'endpoint.
-
Sicurezza
Quando le istanze accedono ad Amazon S3 o DynamoDB tramite un endpoint gateway, accedono al servizio tramite il relativo endpoint pubblico. I gruppi di sicurezza per queste istanze devono consentire il traffico dal servizio. Di seguito è riportato un esempio di una regola di uscita. Fa riferimento all'ID dell'elenco dei prefissi del servizio.
| Destinazione | Protocollo | Intervallo porte |
|---|---|---|
prefix_list_id |
TCP | 443 |
La rete ACLs per le sottoreti per questi casi deve inoltre consentire il traffico da e verso il servizio. Di seguito è riportato un esempio di una regola di uscita. Non è possibile fare riferimento agli elenchi di prefissi nelle regole ACL di rete, ma è possibile ottenere gli intervalli di indirizzi IP per il servizio dal relativo elenco di prefissi.
| Destinazione | Protocollo | Intervallo porte |
|---|---|---|
service_cidr_block_1 |
TCP | 443 |
service_cidr_block_2 |
TCP | 443 |
service_cidr_block_3 |
TCP | 443 |
Tipo di indirizzo IP
Il tipo di indirizzo IP determina quale elenco di prefissi è associato alla tabella di routing.
Requisiti da abilitare IPv6 per un endpoint gateway
-
Il tipo di indirizzo IP di un endpoint gateway deve essere compatibile con le sottoreti dell'endpoint gateway, come descritto di seguito:
-
IPv4— Aggiungere l'elenco dei IPv4 prefissi del servizio alla tabella delle rotte.
-
IPv6— Aggiungi l'elenco dei IPv6 prefissi del servizio alla tabella dei percorsi. Questa opzione è supportata solo se tutte le sottoreti selezionate sono IPv6 solo sottoreti.
-
Dualstack: aggiungi l'elenco dei IPv4 prefissi del servizio alla tabella delle rotte e aggiungi l'elenco dei prefissi del servizio alla tabella delle rotte. IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6
-
Tipo IP del record DNS
Per impostazione predefinita, un endpoint gateway restituisce i record DNS in base all'endpoint del servizio chiamato. Se crei il tuo endpoint gateway utilizzando l'endpoint del IPv4 servizio, ad esempio Amazon S3 restituisce i record A ai tuoi clienti e tutte le sottoreti nella tabella di routing vengono utilizzati. s3.us-east-2.amazonaws.com IPv4
Al contrario, se crei il tuo endpoint gateway utilizzando l'endpoint del servizio dualstack, ad esempio, Amazon s3.dualstack.us-east-2.amazonaws.com S3 restituisce i record A e AAAA ai tuoi client e le sottoreti nella tua tabella di routing utilizzano e. IPv4 IPv6
Nota
Per i directory bucket, o S3 Express One Zone, gli endpoint gateway per il piano dati sarebbero e rispettivamente. s3express-use2-az1.us-east-2.amazonaws.com s3express-use2-az1.dualstack.us-east-2.amazonaws.com
Il tipo di IP del record DNS influisce sul modo in cui il traffico viene indirizzato ai client. Se crei un endpoint gateway utilizzando l'endpoint del IPv4 servizio e poi chiami l'endpoint del servizio dualstack, il traffico che utilizza i record AAAA non verrà instradato attraverso l'endpoint del gateway. Il traffico verrà interrotto o indirizzato su un percorso compatibile, se presente. IPv6 Se utilizzi un tipo di IP di record DNS definito dal servizio, assicurati che il servizio sia in grado di gestire chiamate variabili da più endpoint di servizio.
Invece dell'impostazione predefinita del tipo di IP del record DNS definita dal servizio, puoi personalizzare il tipo IP del record DNS per scegliere quali record vengono restituiti per un endpoint specifico. La tabella seguente mostra i tipi di IP di record DNS supportati e i tipi di record restituiti:
| Tipo IP di record DNS | Tipi di record restituiti |
|---|---|
| IPv4 | A |
| IPv6 | AAAA |
| Dualstack | A e AAAA |
| definito dal servizio | I record dipendono dall'endpoint del servizio |
Per scegliere un tipo di IP di record DNS, è necessario utilizzare un tipo di indirizzo IP compatibile per il servizio endpoint. La tabella seguente mostra il tipo IP di record DNS supportato per ogni tipo di indirizzo IP per gli endpoint del gateway:
| Tipo di indirizzo IP | Tipi di IP di record DNS supportati |
|---|---|
| IPv4 | IPv4, definito dal servizio* |
| IPv6 | IPv6, definito dal servizio* |
| Dualstack | IPv4, IPv6 Dualstack, definito dal servizio* |
* Rappresenta il tipo IP di record DNS predefinito.
Nota
Per utilizzare tipi di IP di record DNS diversi da quelli definiti dal servizio per l'endpoint Gateway, è necessario consentire enableDnsSupport e attributi enableDnsHostnames nelle impostazioni VPC.
Non è possibile modificare il tipo IP del record DNS per un endpoint gateway DynamoDB. DynamoDB supporta solo il tipo IP di record DNS definito dal servizio.
Il comportamento del tipo IP del record DNS è diverso per gli endpoint dell'interfaccia. Per ulteriori informazioni, consulta Tipo di IP del record DNS per gli endpoint di interfaccia.
