As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Compartilhe seus serviços por meio de AWS PrivateLink
Você pode hospedar seu próprio serviço AWS PrivateLink motorizado, conhecido como serviço de endpoint, e compartilhá-lo com outros AWS clientes.
Conteúdo
Visão geral
O diagrama a seguir mostra como você compartilha seu serviço hospedado AWS com outros AWS clientes e como esses clientes se conectam ao seu serviço. Como provedor de serviços, crie um Network Load Balancer em sua VPC como o front-end do serviço. Em seguida, selecione esse balanceador de carga ao criar a configuração do serviço de endpoint da VPC. Conceda permissão a entidades principais da AWS específicas para que elas possam se conectar ao serviço. Como consumidor do serviço, o cliente cria um endpoint da VPC de interface, que estabelece conexões entre as sub-redes que ele selecionou da VPC e o serviço de endpoint. O balanceador de carga recebe solicitações do consumidor do serviço e as encaminha aos destinos que hospedam o serviço.
Para garantir baixa latência e alta disponibilidade, recomenda-se disponibilizar o serviço em pelo menos duas zonas de disponibilidade.
Nomes de hosts DNS
Quando um provedor de serviços cria um serviço de endpoint VPC, AWS gera um nome de host DNS específico do endpoint para o serviço. Esses nomes apresentam a seguinte sintaxe:
endpoint_service_id.region.vpce.amazonaws.com.rproxy.govskope.caVeja a seguir um exemplo de nome de host de DNS para um serviço de endpoint da VPC na região us-east-2:
vpce-svc-071afff70666e61e0---us-east-2---vpce.amazonaws.com.rproxy.govskope.caQuando um consumidor do serviço cria um endpoint da VPC de interface, criamos nomes DNS regionais e zonais que o consumidor do serviço pode usar para se comunicar com o serviço de endpoint. Os nomes regionais apresentam a seguinte sintaxe:
endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com.rproxy.govskope.caOs nomes zonais apresentam a seguinte sintaxe:
endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com.rproxy.govskope.caDNS privado
Um provedor de serviços também pode associar um nome DNS privado ao serviço de endpoint para que os consumidores possam continuar acessando o serviço com o nome DNS existente. Se um provedor de serviços tiver associado um nome de DNS privado ao serviço de endpoint, os consumidores do serviço poderão habilitar nomes de DNS privados para seus endpoints de interface. Se um provedor de serviços não habilitar o DNS privado, talvez os consumidores do serviço precisem atualizar suas aplicações para usar o nome de DNS público para o serviço de endpoint da VPC. Para obter mais informações, consulte Gerenciar nomes DNS.
Zonas de disponibilidade e sub-redes
O serviço de endpoint está disponível nas zonas de disponibilidade que você habilita para o Network Load Balancer. Para alta disponibilidade e resiliência, recomendamos que você habilite seu balanceador de carga em pelo menos duas zonas de disponibilidade, implante EC2 instâncias em cada zona habilitada e registre essas instâncias com seu grupo-alvo do balanceador de carga.
Você pode habilitar o balanceamento de carga entre zonas como alternativa a hospedar o serviço de endpoint em várias zonas de disponibilidade. Porém, os consumidores perderão o acesso ao serviço de endpoint em ambas as zonas se houver falha na zona que hospeda o serviço. Considere também que quando você ativa o balanceamento de carga entre zonas para um Network Load Balancer EC2 , cobranças de transferência de dados se aplicam.
O consumidor pode criar endpoints da VPC de interface nas zonas de disponibilidade em que o serviço de endpoint está disponível. Criaremos uma interface de rede de endpoint em cada sub-rede que o cliente configurar para o endpoint da VPC. Atribuímos endereços IP a cada interface de rede de endpoint a partir de sua sub-rede, com base no tipo de endereço IP do endpoint da VPC. Quando uma solicitação usa o endpoint regional para o serviço de endpoint da VPC, selecionamos uma interface de rede de endpoint íntegra utilizando o algoritmo round robin para alternar entre as interfaces de rede em diferentes zonas de disponibilidade. Em seguida, resolvemos o tráfego para o endereço IP da interface de rede do endpoint selecionada.
O consumidor poderá usar os endpoints zonais para o endpoint da VPC se for melhor para seu caso de uso manter o tráfego na mesma zona de disponibilidade.
Acesso entre regiões
Um provedor de serviço pode hospedar um serviço em uma região e disponibilizá-lo em um conjunto de regiões compatíveis. O consumidor de um serviço seleciona uma região de serviço ao criar um endpoint.
Permissões
-
Por padrão, as entidades do IAM não têm permissão para disponibilizar um serviço de endpoint em várias regiões nem para acessar um serviço de endpoint inter-regional. Para conceder as permissões necessárias para acesso inter-regional, um administrador do IAM pode criar políticas do IAM que permitam a ação de permissão somente
vpce:AllowMultiRegion. -
Para controlar as regiões que uma entidade do IAM pode especificar como uma região compatível ao criar um serviço de endpoint, use a chave de condição
ec2:VpceSupportedRegion. -
Para controlar as regiões que uma entidade do IAM pode especificar como uma região de serviço ao criar um endpoint da VPC, use a chave de condição
ec2:VpceServiceRegion.
Considerações
-
Um provedor de serviço deve fazer a opção por uma região opcional antes de adicioná-la como uma região compatível para um serviço de endpoint.
-
O serviço de endpoint deve ser acessado da região em que está hospedado. Você não pode remover a região hospedeira do conjunto de regiões compatíveis. Para garantir redundância, é possível implantar o serviço de endpoint em várias regiões e habilitar o acesso inter-regional para cada serviço de endpoint.
-
Um consumidor de serviço deve fazer a opção por uma região opcional antes de selecioná-la como uma região de serviço para um endpoint. Sempre que possível, recomendamos que os consumidores de serviço acessem um serviço usando conectividade intrarregional em vez de conectividade inter-regional. A conectividade intrarregional oferece menor latência e custos mais baixos.
-
Se um provedor de serviço remover uma região do conjunto de regiões compatíveis, os consumidores do serviço não poderão selecionar essa região como a região de serviço ao criar novos endpoints. Observe que isso não afeta o acesso ao serviço de endpoint a partir de endpoints existentes que usam essa região como a região de serviço.
-
Para garantir alta disponibilidade, os provedores devem usar pelo menos duas zonas de disponibilidade. O acesso inter-regional não exige que provedores e consumidores usem as mesmas zonas de disponibilidade.
-
O acesso inter-regional não é compatível nas seguintes zonas de disponibilidade:
use1-az3,usw1-az2,apne1-az3,apne2-az2eapne2-az4. -
Com o acesso entre regiões, AWS PrivateLink gerencia o failover entre as zonas de disponibilidade. Ele não gerencia o failover inter-regional.
-
O acesso inter-regional não é possível em Network Load Balancers com um valor personalizado configurado para o tempo limite de inatividade de TCP.
-
O acesso inter-regional não é compatível com fragmentação UDP.
-
O acesso entre regiões só é suportado para serviços por meio AWS PrivateLink dos quais você compartilha.
Tipos de endereço IP
Os provedores de serviços podem disponibilizar seus endpoints de serviço para os consumidores de serviços em IPv4 IPv6, ou em ambos IPv4 IPv6, mesmo que seus servidores de back-end suportem apenas. IPv4 Se você habilitar o suporte dualstack, os consumidores existentes poderão continuar usando IPv4 para acessar seu serviço e os novos consumidores poderão optar por usar IPv6 para acessar seu serviço.
Se houver suporte para uma interface VPC endpoint IPv4, as interfaces de rede de endpoints terão endereços. IPv4 Se houver suporte para uma interface VPC endpoint IPv6, as interfaces de rede de endpoints terão endereços. IPv6 O IPv6 endereço de uma interface de rede de endpoint não pode ser acessado pela Internet. Se você descrever uma interface de rede de endpoint com um IPv6 endereço, observe que ela denyAllIgwTraffic está ativada.
Requisitos IPv6 para habilitar um serviço de endpoint
-
A VPC e as sub-redes do serviço de endpoint devem ter blocos CIDR associados. IPv6
-
Todos os Network Load Balancers do serviço de endpoint devem usar o tipo de endereço IP dualstack. Os alvos não precisam suportar o IPv6 tráfego. Se o serviço processar os endereços IP de origem do cabeçalho da versão 2 do protocolo proxy, ele deverá processar IPv6 os endereços.
Requisitos IPv6 para habilitar um endpoint de interface
-
O serviço de endpoint deve oferecer suporte às IPv6 solicitações.
-
O tipo de endereço IP de um endpoint da interface deve ser compatível com as sub-redes do endpoint da interface, conforme descrito aqui:
-
IPv4— Atribua IPv4 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv4 endereços.
-
IPv6— Atribua IPv6 endereços às interfaces de rede do seu terminal. Essa opção é suportada somente se todas as sub-redes selecionadas forem IPv6 somente sub-redes.
-
Dualstack — atribua IPv6 endereços IPv4 e endereços às suas interfaces de rede de endpoints. Essa opção é suportada somente se todas as sub-redes selecionadas tiverem intervalos de IPv6 endereços IPv4 e ambos.
-
Tipo de endereço IP do registro DNS para um endpoint da interface
O tipo de endereço IP do registro DNS compatível com um endpoint da interface determina os registros DNS que criamos. O tipo de endereço IP do registro DNS de um endpoint de interface deve ser compatível com o tipo de endereço IP do endpoint da interface, conforme descrito aqui:
-
IPv4— Crie registros A para os nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser IPv4ou Dualstack.
-
IPv6— Crie registros AAAA para os nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser IPv6ou Dualstack.
-
Dualstack: crie registros A e AAAA para nomes DNS privados, regionais e zonais. O tipo de endereço IP deve ser Dualstack.
