As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acessar redes de serviço pelo AWS PrivateLink
Você pode se conectar privadamente a uma rede de serviço de sua VPC usando um endpoint da VPC de rede de serviço (endpoint de rede de serviço). Um endpoint de rede de serviço permite acessar, privadamente e em segurança, os recursos e serviços associados a uma rede de serviço. Dessa maneira, você pode acessar privadamente vários recursos e serviços por um único endpoint da VPC.
Uma rede de serviço é um conjunto lógico de configurações de recursos e de serviços do VPC Lattice. Usando um endpoint de rede de serviço, você pode conectar uma rede de serviço à sua VPC e acessar privadamente esses recursos e serviços da VPC ou on-premises. O endpoint de rede de serviço permite que você se conecte a uma rede de serviço. Para se conectar de sua VPC a várias redes de serviço, você pode criar vários endpoints de rede de serviço, cada um apontando para uma rede de serviço diferente.
As redes de serviços são integradas com AWS Resource Access Manager (AWS RAM). Você pode compartilhar a rede de serviço com outra conta pelo AWS RAM. Quando você compartilha uma rede de serviços com outra AWS conta, essa conta pode criar um endpoint de rede de serviços para se conectar à rede de serviços. Você pode compartilhar uma rede de serviço usando um compartilhamento de recursos no AWS RAM.
Use o AWS RAM console para visualizar os compartilhamentos de recursos aos quais você foi adicionado, as redes de serviços compartilhados que você pode acessar e as AWS contas que compartilharam os recursos com você. Para obter mais informações, consulte Resources shared with you no AWS RAM User Guide.
Preços
Você é cobrado por hora pelas configurações de recursos associadas à rede de serviço. Você também é cobrado por GB de dados processados quando acessa os recursos pelo endpoint da VPC de rede de serviço. Você não é cobrado por hora pelo endpoint da VPC de rede de serviço em si. Para obter mais informações, consulte Preços do Amazon VPC Lattice
Conteúdo
Visão geral
É possível criar sua própria rede de serviço ou uma rede de serviço pode ser compartilhada com você por outra conta. De qualquer das duas maneiras, você pode criar um endpoint de rede de serviço para se conectar a ele de sua VPC. Para obter mais informações sobre como criar uma rede de serviço e associar a ela configurações de recursos, consulte o Amazon VPC Lattice User Guide.
O diagrama a seguir mostra como um endpoint de rede de serviço na sua VPC acessa uma rede de serviço.
As conexões de rede podem ser iniciadas apenas pela VPC que tem o endpoint de rede de serviço para os recursos e serviços na rede de serviço. A VPC com os recursos e serviços não pode iniciar conexões de rede com a VPC de endpoint.
Nomes de hosts DNS
Com AWS PrivateLink, você envia tráfego para redes de serviços usando endpoints privados. Quando você cria um endpoint da VPC de rede de serviço, nós criamos nomes DNS regionais (denominados nomes DNS padrão) para cada recurso e serviço que podem ser usados para comunicação com o recurso e o serviço de sua VPC e on-premises. Os endereços IP associados ao endpoint podem mudar. Recomendamos que você use o DNS em vez do endpoint IPs para se conectar às suas redes de serviços.
O nome DNS padrão para um recurso na rede de serviço tem a seguinte sintaxe:
endpointId-snraId.rcfgId.randomHash.vpc-lattice-rsc.region.on.awsO nome DNS padrão para um serviço do Lattice na rede de serviço tem a seguinte sintaxe:
endpointId-snsaId.randomHash.vpc-lattice-svcs.region.on.awsSe você estiver usando o Console de gerenciamento da AWS, você pode encontrar o nome DNS na guia Associações. Se você estiver usando o AWS CLI, use o describe-vpc-endpoint-associationscomando.
Você pode habilitar o DNS privado apenas quando a rede de serviço tem uma configuração de recursos do tipo ARN para um serviço de banco de dados do Amazon RDS. Com o DNS privado, você pode continuar fazendo solicitações ao recurso usando o nome DNS provisionado para o recurso pelo AWS serviço, enquanto aproveita a conectividade privada por meio do endpoint VPC da rede de serviços. Para obter mais informações, consulte Resolução do DNS.
Resolução do DNS
Quando você cria um endpoint de rede de serviço, nós criamos nomes DNS para cada configuração de recurso e serviço do Lattice associado à rede de serviço. Esses registros DNS são públicos. Logo, esses nomes DNS podem ser resolvidos publicamente. Porém, as solicitações ao DNS de fora da VPC continuam a retornar os endereços IP privados das interfaces de rede do endpoint de rede de serviço. Você pode usar esses nomes DNS para acessar o recurso e os serviços da rede on-premises, desde que tenha acesso à VPC em que o endpoint de rede de serviço se encontra, por VPN ou Direct Connect.
DNS privado
Se você habilitar o DNS privado para seu endpoint VPC de rede de serviços e sua VPC tiver nomes de host DNS e resolução de DNS ativados, criaremos zonas hospedadas privadas AWS ocultas e gerenciadas para as configurações de recursos que têm nomes DNS personalizados. A zona hospedada contém um conjunto de registros para o nome DNS padrão do recurso que é resolvido para os endereços IP privados das interfaces de rede do endpoint em sua rede de serviço.
A Amazon fornece um servidor de DNS à VPC, o Route 53 Resolver. O Route 53 Resolver resolve automaticamente nomes de domínio de VPC locais e os registra em zonas hospedadas privadas. No entanto, não é possível usar o Route 53 Resolver de fora da sua VPC. Se desejar acessar o endpoint da VPC da sua rede on-premises, você poderá usar os nomes DNS padrão ou os endpoints do Route 53 Resolver e as regras do Resolver. Para obter mais informações, consulte Integração AWS Transit Gateway com AWS PrivateLink e. Amazon Route 53 Resolver
Zonas de disponibilidade e sub-redes
Você pode configurar um endpoint da VPC com uma sub-rede por zona de disponibilidade. Criamos uma interface de rede elástica para o endpoint da VPC na sua sub-rede. Atribuímos endereços IP a cada interface de rede elástica de sua sub-rede em múltiplos de /28, se o tipo de endereço IP do VPC endpoint for. IPv4 O número de endereços IP atribuídos em cada sub-rede depende do número de configurações de recursos e adicionamos mais blocos IPs em /28 conforme necessário. Em um ambiente de produção, para alta disponibilidade e resiliência, recomendamos configurar pelo menos duas zonas de disponibilidade para cada VPC endpoint e ter uma disponibilidade contígua. IPs
Tipos de endereço IP
Os endpoints da rede de serviços podem suportar endereços de pilha dupla ou IPv4 de IPv6 pilha dupla. Os endpoints compatíveis IPv6 podem responder a consultas de DNS com registros AAAA. O tipo de endereço IP de um endpoint de rede de serviço deve ser compatível com as sub-redes de endpoint de recurso, como descrito aqui:
-
IPv4— Atribua IPv4 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv4 endereços.
-
IPv6— Atribua IPv6 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas forem IPv6 somente sub-redes.
-
Dualstack — atribua IPv6 endereços IPv4 e endereços às suas interfaces de rede de endpoints. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv6 endereços IPv4 e ambos.
Se um endpoint VPC de rede de serviços oferecer suporte IPv4, as interfaces de rede do endpoint terão endereços. IPv4 Se um endpoint VPC de rede de serviços oferecer suporte IPv6, as interfaces de rede do endpoint terão endereços. IPv6 O IPv6 endereço de uma interface de rede de endpoint não pode ser acessado pela Internet. Se você descrever uma interface de rede de endpoint com um IPv6 endereço, observe que ela denyAllIgwTraffic está ativada.
