Resource configurations for VPC resources - Amazon VPC Lattice
Tipos de configurações de recursosProtocoloGateway de recursosNomes de domínio personalizados para provedores de recursosNomes de domínio personalizados para consumidores de recursosNomes de domínio personalizados para proprietários de redes de serviçosDefinição de recursoIntervalos de portasAcesso a recursos da Associação com o tipo de rede de serviçosTipos de redes de serviçosCompartilhando configurações de recursos por meio de AWS RAMMonitoramento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Resource configurations for VPC resources

Uma configuração de recurso representa um recurso ou um grupo de recursos que você deseja tornar acessível a clientes em VPCs outras contas. Ao definir uma configuração de recursos, você pode permitir conectividade de rede privada, segura e unidirecional aos recursos em sua VPC de clientes em outras contas. VPCs Uma configuração de recurso está associada a um gateway de recursos por meio do qual ela recebe tráfego. Para que um recurso seja acessado de outra VPC, ele precisa ter uma configuração de recursos.

Conteúdo

Tipos de configurações de recursos

A configuração de um recurso pode ser de vários tipos. Os diferentes tipos ajudam a representar diferentes tipos de recursos. Os tipos são:

  • Configuração de recurso único: representa um endereço IP ou nome de domínio. Ele pode ser compartilhado de forma independente.

  • Configuração de recursos de grupo: é uma coleção de configurações de recursos secundários. Ele pode ser usado para representar um grupo de endpoints de endereços IP e DNS.

  • Configuração de recursos secundários: é membro de uma configuração de recursos de grupo. Ele representa um endereço IP ou nome de domínio. Não pode ser compartilhado de forma independente; ele só pode ser compartilhado como parte de um grupo. Ele pode ser adicionado e removido de um grupo. Quando adicionado, ele pode ser acessado automaticamente por aqueles que podem acessar o grupo.

  • Configuração do recurso ARN: representa um tipo de recurso suportado que é provisionado por um serviço. AWS Qualquer relacionamento grupo-filho é resolvido automaticamente.

A imagem a seguir mostra uma configuração de recurso único, secundário e de grupo:

Configurações de recursos individuais, infantis e de grupo.

Protocolo

Ao criar uma configuração de recurso, você pode definir os protocolos que o recurso suportará. Atualmente, somente o protocolo TCP é suportado.

Gateway de recursos

Uma configuração de recurso está associada a um gateway de recursos. Um gateway de recursos é um conjunto ENIs que serve como um ponto de entrada na VPC na qual o recurso está. Várias configurações de recursos podem ser associadas ao mesmo gateway de recursos. Quando clientes em outras VPCs contas acessam um recurso em sua VPC, o recurso vê o tráfego vindo localmente dos endereços IP do gateway de recursos nessa VPC.

Nomes de domínio personalizados para provedores de recursos

Os provedores de recursos podem anexar um nome de domínio personalizado a uma configuração de recursos, comoexample.com, por exemplo, qual recurso os consumidores podem usar para acessar a configuração do recurso. O nome de domínio personalizado pode pertencer e ser verificado pelo provedor de recursos, ou pode ser de um terceiro ou de um AWS domínio. Os provedores de recursos podem usar configurações de recursos para compartilhar clusters de cache e clusters Kafka, aplicativos baseados em TLS ou outros recursos. AWS

As considerações a seguir se aplicam aos fornecedores de configurações de recursos:

  • Uma configuração de recurso só pode ter um domínio personalizado.

  • O nome de domínio personalizado de uma configuração de recurso não pode ser alterado.

  • O nome de domínio personalizado é visível para todos os consumidores de configuração de recursos.

  • Você pode verificar seu nome de domínio personalizado usando o processo de verificação de nome de domínio no VPC Lattice. Para obter mais informações, consulteCrie e verifique um domínio.

  • Para configurações de recursos do tipo grupo e filho, você deve primeiro especificar um domínio de grupo na configuração de recursos do grupo. Depois, as configurações de recursos secundários podem ter domínios personalizados que são subdomínios do domínio do grupo. Se o grupo não tiver um domínio de grupo, você poderá usar qualquer nome de domínio personalizado para o filho, mas o VPC Lattice não provisionará nenhuma zona hospedada para os nomes de domínio secundário na VPC do consumidor do recurso.

Nomes de domínio personalizados para consumidores de recursos

Quando os consumidores de recursos habilitam a conectividade com uma configuração de recurso que tem um nome de domínio personalizado, eles podem permitir que o VPC Lattice gerencie uma zona hospedada privada do Route 53 em sua VPC. Os consumidores de recursos têm opções granulares para quais domínios desejam permitir que o VPC Lattice gerencie zonas hospedadas privadas.

Os consumidores de recursos podem definir o private-dns-enabled parâmetro ao habilitar a conectividade às configurações de recursos por meio de um endpoint de recursos, de um endpoint de rede de serviços ou de uma associação VPC de rede de serviços. Junto com o private-dns-enabled parâmetro, os consumidores podem usar as opções de DNS para especificar para quais domínios desejam que o VPC Lattice gerencie zonas hospedadas privadas. Os consumidores podem escolher entre as seguintes preferências de DNS privado:

ALL_DOMAINS

O VPC Lattice provisiona zonas hospedadas privadas para todos os nomes de domínio personalizados.

VERIFIED_DOMAINS_ONLY

O VPC Lattice provisiona uma zona hospedada privada somente se o nome de domínio personalizado tiver sido verificado pelo provedor.

VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS

O VPC Lattice provisiona zonas hospedadas privadas para todos os nomes de domínio personalizados verificados e outros nomes de domínio especificados pelo consumidor do recurso. O consumidor do recurso especifica os nomes de domínio no private DNS specified domains parâmetro.

SPECIFIED_DOMAINS_ONLY

O VPC Lattice provisiona uma zona hospedada privada para nomes de domínio especificados pelo consumidor do recurso. O consumidor do recurso especifica os nomes de domínio no private DNS specified domains parâmetro.

Quando você ativa o DNS privado, o VPC Lattice cria uma zona hospedada privada em sua VPC para o nome de domínio personalizado associado à configuração do recurso. Por padrão, a preferência de DNS privado é definida como. VERIFIED_DOMAINS_ONLY Isso significa que as zonas hospedadas privadas são criadas somente se o nome de domínio personalizado tiver sido verificado pelo provedor de recursos. Se você definir sua preferência de DNS privado como ALL_DOMAINS ouSPECIFIED_DOMAINS_ONLY, em seguida, o VPC Lattice cria zonas hospedadas privadas, independentemente do status de verificação do nome de domínio personalizado. Quando uma zona hospedada privada é criada para um determinado domínio, todo o tráfego da sua VPC para esse domínio é roteado pela VPC Lattice. Recomendamos que você use as SPECIFIED_DOMAINS_ONLY preferênciasALL_DOMAINS,VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS, ou somente quando quiser que o tráfego para esses nomes de domínio personalizados passe pelo VPC Lattice.

Recomendamos que os consumidores de recursos definam suas preferências de DNS privado comoVERIFIED_DOMAINS_ONLY. Isso permite que os consumidores aumentem seu perímetro de segurança, permitindo apenas que a VPC Lattice provisione zonas hospedadas privadas para domínios verificados na conta do consumidor do recurso.

Para selecionar domínios nos domínios específicos do DNS privado, os consumidores de recursos podem inserir um nome de domínio totalmente qualificado, como, my.example.com ou usar um caractere curinga, como. *.example.com

As considerações a seguir se aplicam aos consumidores de configurações de recursos:

  • O parâmetro DNS privado habilitado não pode ser alterado.

  • O DNS privado deve estar habilitado em uma associação de recursos de rede de serviços para que uma hospedagem privada seja criada em uma VPC. Para uma configuração de recursos, o status habilitado para DNS privado da associação de recursos de rede de serviços substitui o status habilitado para DNS privado do endpoint da rede de serviços ou da associação VPC da rede de serviços.

Nomes de domínio personalizados para proprietários de redes de serviços

A propriedade habilitada para DNS privado da associação de recursos da rede de serviços substitui a propriedade habilitada para DNS privado do endpoint da rede de serviços e a associação VPC da rede de serviços.

Se o proprietário de uma rede de serviços criar uma associação de recursos de rede de serviços e não habilitar o DNS privado, o VPC Lattice não provisionará zonas hospedadas privadas para essa configuração de recursos em VPCs nenhuma das quais a rede de serviço esteja conectada, mesmo que o DNS privado esteja habilitado no endpoint da rede de serviços ou nas associações VPC da rede de serviços.

Para configurações de recursos do tipo ARN, o sinalizador DNS privado é verdadeiro e imutável.

Definição de recurso

Na configuração do recurso, identifique o recurso de uma das seguintes formas:

  • Por um nome de recurso da Amazon (ARN): os tipos de recursos compatíveis que são provisionados por AWS serviços podem ser identificados por seu ARN. Somente bancos de dados do Amazon RDS são compatíveis. Você não pode criar uma configuração de recursos para um cluster acessível ao público.

  • Por um alvo de nome de domínio: você pode usar qualquer nome de domínio que possa ser resolvido publicamente. Se seu nome de domínio apontar para um IP que esteja fora da sua VPC, você deverá ter um gateway NAT na sua VPC.

  • Por endereço IP: Para IPv4, especifique um IP privado dos seguintes intervalos: 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16. Para IPv6, especifique um IP da VPC. O público IPs não é suportado.

Intervalos de portas

Ao criar uma configuração de recurso, você pode definir as portas nas quais ela aceitará solicitações. O acesso do cliente em outras portas não será permitido.

Acesso a recursos da

Os consumidores podem acessar as configurações de recursos diretamente de sua VPC usando um VPC endpoint ou por meio de uma rede de serviços. Como consumidor, você pode habilitar o acesso da sua VPC a uma configuração de recursos que esteja em sua conta ou que tenha sido compartilhada com você por meio de outra conta por meio de. AWS RAM

  • Acessando a configuração de um recurso diretamente

    Você pode criar um AWS PrivateLink VPC endpoint do tipo resource (endpoint de recurso) na sua VPC para acessar uma configuração de recursos de forma privada a partir da sua VPC. Para obter mais informações sobre como criar um endpoint de recursos, consulte Como acessar recursos de VPC no guia AWS PrivateLink do usuário.

  • Acessando uma configuração de recursos por meio de uma rede de serviços

    Você pode associar uma configuração de recursos a uma rede de serviços e conectar sua VPC à rede de serviços. Você pode conectar sua VPC à rede de serviços por meio de uma associação ou usando um endpoint VPC de AWS PrivateLink rede de serviços.

    Para obter mais informações sobre associações de redes de serviços, consulte Gerenciar as associações de uma rede de serviços VPC Lattice.

    Para obter mais informações sobre os endpoints VPC da rede de serviços, consulte Acesse redes de serviços no guia do AWS PrivateLink usuário.

Quando o DNS privado está habilitado para sua VPC, você não pode criar um endpoint de recursos e um endpoint de rede de serviços para a mesma configuração de recursos.

Associação com o tipo de rede de serviços

Quando você compartilha uma configuração de recurso com uma conta de consumidor, por exemplo, Conta-B, por meio AWS RAM de, a Conta B pode acessar a configuração do recurso diretamente por meio de um endpoint VPC de recursos ou por meio de uma rede de serviços.

Para acessar uma configuração de recursos por meio de uma rede de serviços, a Conta B precisaria associar a configuração do recurso a uma rede de serviços. As redes de serviços podem ser compartilhadas entre contas. Assim, a Conta B pode compartilhar sua rede de serviços (à qual a configuração do recurso está associada) com a Conta C, tornando seu recurso acessível a partir da Conta C.

Para evitar esse compartilhamento transitivo, você pode especificar que sua configuração de recursos não pode ser adicionada às redes de serviços que podem ser compartilhadas entre contas. Se você especificar isso, a Conta B não poderá adicionar sua configuração de recursos às redes de serviços que são compartilhadas ou podem ser compartilhadas com outra conta no futuro.

Tipos de redes de serviços

Quando você compartilha uma configuração de recurso com outra conta, por exemplo, Conta-B, por meio AWS RAM de, a Conta-B pode acessar os recursos especificados na configuração do recurso de uma das três maneiras:

  • Usando um endpoint VPC do tipo recurso (recurso VPC endpoint).

  • Usando um endpoint VPC do tipo service network (rede de serviços VPC endpoint).

  • Usando uma associação VPC de rede de serviços.

    Quando você usa uma associação de serviço-rede, cada recurso recebe um IP por sub-rede do bloco 129.224.0.0/17, que é próprio e não roteável. AWS Isso é um acréscimo à lista de prefixos gerenciados que o VPC Lattice usa para rotear o tráfego para serviços pela rede VPC Lattice. Ambos IPs são atualizados na tabela de rotas da sua VPC.

Para o endpoint VPC da rede de serviços e a associação VPC da rede de serviços, a configuração do recurso precisaria estar associada a uma rede de serviços na Conta B. As redes de serviços podem ser compartilhadas entre contas. Assim, a Conta B pode compartilhar sua rede de serviços (que contém a configuração do recurso) com a Conta C, tornando seu recurso acessível a partir da Conta C. Para evitar esse compartilhamento transitivo, você pode impedir que sua configuração de recursos seja adicionada às redes de serviços que podem ser compartilhadas entre contas. Se você não permitir isso, a Conta B não poderá adicionar sua configuração de recursos a uma rede de serviços que seja compartilhada ou possa ser compartilhada com outra conta.

Compartilhando configurações de recursos por meio de AWS RAM

As configurações de recursos são integradas com o. AWS Resource Access Manager Você pode compartilhar sua configuração de recursos com outra conta por meio de AWS RAM. Quando você compartilha uma configuração de recurso com uma AWS conta, os clientes dessa conta podem acessar o recurso de forma privada. Você pode compartilhar uma configuração de recursos usando um compartilhamento de recursos em AWS RAM.

Use o AWS RAM console para ver os compartilhamentos de recursos aos quais você foi adicionado, os recursos compartilhados que você pode acessar e as AWS contas que compartilharam recursos com você. Para obter mais informações, consulte Recursos compartilhados com você no Guia AWS RAM do usuário.

Para acessar um recurso de outra VPC na mesma conta da configuração do recurso, você não precisa compartilhar a configuração do recurso por meio de. AWS RAM

Monitoramento

Você pode ativar os registros de monitoramento na configuração do seu recurso. Você pode escolher um destino para o qual enviar os registros.