As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acesse recursos de VPC por meio de AWS PrivateLink
Você pode acessar um recurso de VPC em outra VPC usando um endpoint da VPC de recurso (endpoint de recurso). Um endpoint de recursos permite que você acesse de forma privada e segura os recursos da VPC, como um banco de dados, uma instância da EC2 Amazon, um endpoint de aplicativo, um destino de nome de domínio ou um endereço IP que pode estar em uma sub-rede privada em outra VPC ou em um ambiente local. Sem endpoints de recursos, você precisa adicionar um gateway de internet à sua VPC ou acessar o recurso usando AWS PrivateLink um endpoint de interface e um Network Load Balancer. Os endpoints de recurso não exigem um balanceador de carga, portanto, permitem que você acesse a VPC diretamente. Um recurso de VPC é representado por uma configuração de recurso. Uma configuração de recurso é associada a um gateway de recursos.
Preços
Quando acessa recursos usando endpoints de recurso, você é cobrado por cada hora que o endpoint da VPC de recurso é provisionado. Você também é cobrado por GB de dados processados quando acessa os recursos. Para obter mais informações, consulte Preços do AWS PrivateLink
Conteúdo
Visão geral
Você pode acessar os recursos da sua conta ou os que foram compartilhados com você de outra conta. Para acessar um recuso, você cria um endpoint da VPC de recurso, que estabelece conexões entre as sub-redes de sua VPC e o recurso usando interfaces de rede. O tráfego destinado ao recurso é resolvido para os endereços IP privados das interfaces de rede de endpoint de recurso usando o DNS. Em seguida, o tráfego é enviado ao recurso usando a conexão entre o endpoint da VPC e o recurso pelo gateway de recursos.
A imagem a seguir mostra um endpoint de recurso em uma conta de consumidor acessando um recurso que pertence a uma conta diferente e é compartilhado por meio AWS RAM de:
Considerações
-
Tráfego TCP é compatível. Tráfego UDP não é compatível.
-
As conexões de rede devem ser iniciadas da VPC que contém o endpoint do recurso, não da VPC que tem o recurso. A VPC do recurso não pode iniciar conexões de rede com a VPC de endpoint.
-
Os únicos recursos compatíveis baseados em ARN são os recursos do Amazon RDS.
-
Pelo menos uma zona de disponibilidade do endpoint da VPC e o gateway de recursos precisam se sobrepor.
Nomes de hosts DNS
Com AWS PrivateLink, você envia tráfego para recursos usando endpoints privados. Quando você cria um endpoint da VPC de recurso, criamos nomes DNS regionais (denominados nomes DNS padrão) que podem ser usados para comunicação com o recurso de sua VPC e da rede on-premises. Recomendamos que você use o DNS em vez do endpoint IPs para se conectar aos seus recursos. O nome DNS padrão para o endpoint da VPC de recurso tem a seguinte sintaxe:
endpoint_id.rcfgId.randomHash.vpc-lattice-rsc.region.on.awsAo criar um endpoint VPC de recursos para selecionar as configurações de recursos que usa ARNs, você pode habilitar o DNS privado. Com o DNS privado, você pode continuar fazendo solicitações ao recurso usando o nome DNS provisionado para o recurso pelo AWS serviço, enquanto aproveita a conectividade privada por meio do endpoint VPC do recurso. Para obter mais informações, consulte Resolução do DNS.
O describe-vpc-endpoint-associationscomando a seguir exibe as entradas de DNS de um endpoint de recurso.
aws ec2 describe-vpc-endpoint-associations --vpc-endpoint-idvpce-123456789abcdefgh--query 'VpcEndpointAssociations[*].*'
O exemplo a seguir é a saída de um endpoint de recurso para um banco de dados do Amazon RDS com nomes DNS privados habilitados. O primeiro nome DNS é o nome DNS padrão. A segunda entrada vem da zona hospedada privada oculta, que resolve as solicitações ao endpoint público para os endereços IP privados das interfaces de rede de endpoint.
[ [ "vpce-rsc-asc-abcd1234abcd", "vpce-123456789abcdefgh", "Accessible", { "DnsName": "vpce-1234567890abcdefg-snra-1234567890abcdefg.rcfg-abcdefgh123456789.4232ccc.vpc-lattice-rsc.us-east-1.on.aws", "HostedZoneId": "ABCDEFGH123456789000" }, { "DnsName": "database-5-test.cluster-ro-example.us-east-1.rds.amazonaws.com", "HostedZoneId": "A1B2CD3E4F5G6H8I91234" }, "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890abcdefg", "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890xyz" ] ]
Resolução do DNS
Os registros DNS que criamos para o endpoint da VPC de recurso são públicos. Logo, esses nomes DNS podem ser resolvidos publicamente. Porém, as solicitações ao DNS de fora da VPC continuam a retornar os endereços IP privados das interfaces de rede do endpoint de recurso. Você pode usar esses nomes DNS para acessar o recurso da rede on-premises, desde que tenha acesso à VPC em que o endpoint de recurso se encontra, por VPN ou Direct Connect.
DNS privado
Se você habilitar o DNS privado para seu endpoint VPC de recursos para selecionar configurações de recursos que usa ARNs, e sua VPC tiver nomes de host DNS e resolução de DNS ativados, criaremos zonas hospedadas privadas ocultas AWS e gerenciadas para configurações de recursos com um nome DNS personalizado. A zona hospedada contém um conjunto de registros para o nome DNS padrão do recurso que é resolvido para os endereços IP privados das interfaces de rede do endpoint de recurso em sua VPC.
A Amazon fornece um servidor de DNS à VPC, o Route 53 Resolver. O Route 53 Resolver resolve automaticamente nomes de domínio de VPC locais e os registra em zonas hospedadas privadas. No entanto, não é possível usar o Route 53 Resolver de fora da sua VPC. Se desejar acessar o endpoint da VPC da sua rede on-premises, você poderá usar o nome DNS personalizado ou os endpoints do Route 53 Resolver e as regras do Resolver. Para obter mais informações, consulte Integração AWS Transit Gateway com AWS PrivateLink e. Amazon Route 53 Resolver
Zonas de disponibilidade e sub-redes
Você pode configurar um endpoint da VPC com uma sub-rede por zona de disponibilidade. Criamos uma interface de rede do endpoint para o endpoint da VPC na sub-rede. Atribuímos endereços IP a cada interface de rede de endpoint a partir de sua sub-rede, com base no tipo de endereço IP do endpoint da VPC. Em um ambiente de produção, para garantir alta disponibilidade e resiliência, recomendamos configurar pelo menos duas zonas de disponibilidade para cada endpoint da VPC.
Tipos de endereço IP
Os endpoints de recursos podem oferecer suporte a IPv4 IPv6, ou endereços de pilha dupla. Os endpoints compatíveis IPv6 podem responder a consultas de DNS com registros AAAA. O tipo de endereço IP de um endpoint de recurso deve ser compatível com as sub-redes do endpoint de recurso, como descrito aqui:
-
IPv4— Atribua IPv4 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv4 endereços.
-
IPv6— Atribua IPv6 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas forem IPv6 somente sub-redes.
-
Dualstack — atribua IPv6 endereços IPv4 e endereços às suas interfaces de rede de endpoints. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv6 endereços IPv4 e ambos.
Se um recurso VPC endpoint suportar IPv4, as interfaces de rede do endpoint terão endereços. IPv4 Se um recurso VPC endpoint suportar IPv6, as interfaces de rede do endpoint terão endereços. IPv6 O IPv6 endereço de uma interface de rede de endpoint não pode ser acessado pela Internet. Se você descrever uma interface de rede de endpoint com um IPv6 endereço, observe que ela denyAllIgwTraffic está ativada.
