AWS PrivateLinkConceitos do - Amazon Virtual Private Cloud
Diagrama de arquiteturaProvedoresConsumidores de serviços ou recursosConexões do AWS PrivateLinkZonas hospedadas privadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS PrivateLinkConceitos do

É possível usar a Amazon VPC para definir uma nuvem privada virtual (VPC), que é uma rede virtual isolada logicamente. Você pode permitir que os clientes em sua VPC se conectem a destinos fora dela. Por exemplo, adicione um gateway da internet à VPC para permitir o acesso à internet ou adicione uma conexão de VPN para permitir o acesso à rede on-premises. Como alternativa, use o AWS PrivateLink para permitir que os clientes em sua VPC se conectem a serviços e recursos em outras VPCs usando endereços IP privados, como se esses serviços fossem hospedados diretamente em sua VPC.

Veja a seguir conceitos importantes que você deve entender ao começar a usar o AWS PrivateLink.

Diagrama de arquitetura

O seguinte diagrama fornece uma visão geral de alto nível sobre como o AWS PrivateLink funciona. Os consumidores criam endpoints da VPC para se conectarem a serviços e recursos de endpoint hospedados por provedores.

Os consumidores de serviço criam endpoints da VPC para se conectarem a serviços e recursos de endpoint hospedados por provedores.

Provedores

Entenda os conceitos relacionados a um provedor.

Provedor de serviço

O proprietário de um serviço é o provedor de serviços. Os provedores de serviços incluem a AWS, parceiros da AWS e outras Contas da AWS. Os provedores de serviços podem hospedar seus serviços usando recursos da AWS, como instâncias do EC2, ou usando servidores on-premises.

Provedor de recurso

O proprietário de um recurso, por exemplo, um banco de dados ou uma instância do Amazon EC2, é o provedor do recurso. Provedores de recursos incluem serviços da AWS, parceiros da AWS e outras contas da AWS. Os provedores de recursos podem hospedar os recursos em VPCs ou redes on-premises.

Serviços de endpoint

Um provedor de serviços cria um serviço de endpoint para disponibilizar seu serviço em uma região. Um provedor de serviços deve especificar um balanceador de carga ao criar um serviço de endpoint. O balanceador de carga recebe solicitações de consumidores do serviço e as encaminha ao serviço.

Por padrão, o serviço de endpoint não está disponível aos consumidores do serviço. É necessário adicionar permissões para que entidades principais da AWS específicas se conectem ao serviço de endpoint.

Nomes de serviço

Cada serviço de endpoint é identificado por um nome de serviço. O consumidor do serviço deve especificar o nome do serviço ao criar um endpoint da VPC. Os consumidores do serviço podem consultar os nomes dos serviços para Serviços da AWS. Os provedores de serviços devem compartilhar os nomes de seus serviços com os consumidores.

Estados do serviço

Estes são estados possíveis para um serviço de endpoint:

  • Pendente: o serviço de endpoint está sendo criado.

  • Disponível: o serviço de endpoint está disponível.

  • Com falha: não foi possível criar o serviço de endpoint.

  • Excluindo: o provedor do serviço excluiu o serviço de endpoint e a exclusão está em andamento.

  • Excluído: o serviço de endpoint foi excluído.

Configuração de recursos

O provedor do recurso cria uma configuração de recurso para compartilhar um recurso. Uma configuração de recurso é um objeto lógico que representa um único recurso, como um banco de dados, ou um grupo de recursos. Um recurso pode ser um endereço IP, um destino de nome de domínio ou um banco de dados do Amazon Relational Database Service (Amazon RDS).

Ao compartilhar com outras contas, o provedor do recurso deve compartilhar o recurso por um compartilhamento de recursos do AWS Resource Access Manager (AWS RAM) para permitir que as entidades principais do AWS na outra conta se conectem ao recurso por um endpoint da VPC de recurso.

As configurações de recursos podem ser associadas a uma rede de serviço à qual as entidades principais se conectam por um endpoint da VPC de rede de serviço.

Gateway de recursos

Um gateway de recursos é um ponto de entrada de uma VPC da qual um recurso está sendo compartilhado. O provedor cria um gateway de recursos para compartilhar recursos da VPC.

Consumidores de serviços ou recursos

O usuário de um serviço ou recurso é um consumidor. Os consumidores podem acessar serviços e recursos de endpoint de suas VPCs ou redes on-premises.

Endpoints da VPC

O consumidor cria um endpoint da VPC para conectar sua VPC a um serviço ou recurso de endpoint. O consumidor deve especificar o serviço, o recurso ou a rede de serviço de endpoint ao criar um endpoint da VPC. Há vários tipos de endpoints da VPC. Você deve criar o tipo de endpoint da VPC de que precisa.

  • Interface: crie um endpoint de interface para enviar tráfego TCP para um serviço de endpoint. O tráfego destinado ao serviço de endpoint é resolvido usando DNS.

  • GatewayLoadBalancer: crie um endpoint do Gateway Load Balancer para enviar tráfego a uma frota de dispositivos virtuais usando endereços IP privados. Encaminhe o tráfego da VPC ao endpoint do Gateway Load Balancer usando tabelas de rotas. O Gateway Load Balancer distribui o tráfego aos dispositivos virtuais e pode ser escalado conforme a demanda.

  • Resource: crie um endpoint de recurso para acessar um recurso que foi compartilhado com você e que reside em outra VPC. Um endpoint de recurso permite que você acesse, privadamente e em segurança, recursos como um banco de dados, uma instância do Amazon EC2, um endpoint de aplicação, um destino de nome de domínio ou um endereço IP que pode estar em uma sub-rede privada em outra VPC ou no local. Os endpoints de recursos não exigem um balanceador de carga e permitem que você acesse o recurso diretamente.

  • Service network: crie um endpoint de rede de serviço para acessar uma rede de serviço que criou ou que foi compartilhada com você. Você pode usar um único endpoint de rede de serviço para acessar, privadamente e em segurança, vários recursos e serviços associados a uma rede de serviço.

Há outro tipo de endpoint da VPC, o Gateway, que cria um endpoint de gateway para enviar tráfego ao Amazon S3 ou ao DynamoDB. Os endpoints de gateway não usam o AWS PrivateLink, ao contrário dos outros tipos de endpoints da VPC. Para obter mais informações, consulte Endpoints de gateway.

Interfaces de rede de endpoint

Uma interface de rede de endpoint é uma interface de rede gerenciada pelo solicitante que serve como ponto de entrada para o tráfego destinado a um serviço, um recurso ou uma rede de serviço de endpoint. Para cada sub-rede que você especifica ao criar um endpoint da VPC, nós criamos uma interface de rede de endpoint na sub-rede.

Se um endpoint da VPC for compatível com IPv4, suas interfaces de rede de endpoint terão endereços IPv4. Se um endpoint da VPC for compatível com IPv6, suas interfaces de rede de endpoint terão endereços IPv6. Não é possível acessar o endereço IPv6 de uma interface de rede de endpoint pela Internet. Ao descrever um endpoint de interface de rede com um endereço IPv6, observe que denyAllIgwTraffic está habilitado.

Políticas de endpoint

Uma política de endpoint da VPC é uma política de recursos do IAM que você anexa a um endpoint da VPC. Ele determina quais entidades principais poderão usar o endpoint da VPC para acessar o serviço de endpoint. A política padrão de endpoint da VPC permite todas as ações realizadas por todas as entidades principais em todos os recursos sobre o endpoint da VPC.

Estados do endpoint

Quando você cria um endpoint da VPC de interface, o serviço de endpoint recebe uma solicitação de conexão. O provedor de serviços pode aceitar ou rejeitar a solicitação. Se o provedor do serviço aceitar a solicitação, o consumidor do serviço poderá usar o endpoint da VPC quando ele entrar no estado Disponível.

Estes são os estados possíveis para um endpoint da VPC:

  • PendingAcceptance: a solicitação de conexão está pendente. Esse será o estado inicial se as solicitações forem aceitas manualmente.

  • Pendente: o provedor do serviço aceitou a solicitação de conexão. Esse será o estado inicial se as solicitações forem aceitas automaticamente. O endpoint da VPC retornará a esse estado se o consumidor do serviço modificar o endpoint da VPC.

  • Disponível: o endpoint da VPC está disponível para uso.

  • Rejeitado: o provedor do serviço rejeitou a solicitação de conexão. O provedor de serviços também poderá rejeitar uma conexão depois que ela estiver disponível para uso.

  • Expirado: a solicitação de conexão expirou.

  • Com falha: não foi possível disponibilizar o endpoint da VPC.

  • Excluindo: o consumidor do serviço excluiu o endpoint da VPC, e a exclusão está em andamento.

  • Excluído: o endpoint da VPC foi excluído.

A API do AWS PrivateLink retorna os estados possíveis com as palavras sem espaços.

O tráfego de sua VPC é enviado para um serviço ou recurso de endpoint usando uma conexão entre o endpoint da VPC e o serviço ou recuso de endpoint. O tráfego entre um endpoint da VPC e um serviço ou recurso de endpoint permanece na rede da AWS sem atravessar a internet pública.

Um provedor de serviços adiciona permissões para que os consumidores possam acessar o serviço de endpoint. O consumidor do serviço inicia a conexão e o provedor aceita ou rejeita as solicitações de conexão. O proprietário de um recurso ou o proprietário de uma rede de serviço compartilha uma configuração de recurso ou uma rede de serviço com os consumidores pelo AWS Resource Access Manager para que eles possam acessar a rede de recurso ou serviço.

Com endpoints da VPC de interface, os consumidores podem usar políticas de endpoint para controlar quais entidades principais do IAM podem usar um endpoint da VPC para acessar o serviço ou recurso de endpoint.

Zonas hospedadas privadas

Uma zona hospedada é um contêiner para registros DNS que define como encaminhar o tráfego a um domínio ou subdomínio. Com uma zona hospedada pública, os registros especificam a forma como você quer encaminhar o tráfego na Internet. Com uma zona hospedada privada, os registros especificam como encaminhar o tráfego nas VPCs.

É possível configurar o Amazon Route 53 para encaminhar o tráfego do domínio a um endpoint da VPC. Para obter mais informações, consulte: Routing traffic to a VPC endpoint using your domain name (Encaminhar tráfego a um endpoint da VPC usando seu nome de domínio).

Você pode usar o Route 53 para configurar o DNS de omissão de rotas, em que você usa o mesmo nome de domínio para um site público e um serviço de endpoint com o AWS PrivateLink. As solicitações de DNS para o nome de host público da VPC do consumidor são direcionadas aos endereços IP privados das interfaces de rede do endpoint, mas as solicitações de fora da VPC continuam sendo resolvidas para os endpoints públicos. Para obter mais informações, consulte Mecanismos DNS para encaminhar tráfego e habilitar failover para implantações de AWS PrivateLink.