使用适用于 DynamoDB Accelerator(DAX)的 AWS PrivateLink - Amazon DynamoDB
使用适用于 DynamoDB Accelerator(DAX)的 AWS PrivateLink 时需要考虑的因素AWS PrivateLink 如何与 DAX 协同工作为 DAX 创建接口端点其他资源

使用适用于 DynamoDB Accelerator(DAX)的 AWS PrivateLink

利用适用于 DynamoDB Accelerator(DAX)的 AWS PrivateLink,您可以通过虚拟私有云(VPC)中的私有 IP 地址,安全地访问 DAX 管理 API,例如 CreateClusterDescribeClustersDeleteCluster。此功能让您能够从应用程序私密访问 DAX 服务,而无需向公共互联网公开流量。

DAX PrivateLink 支持双栈端点(dax.{region}.api.aws),可同时实现 IPv4 和 IPv6 连接。借助适用于 DAX 的 AWS PrivateLink,客户可以使用私有 DNS 名称访问服务。双栈端点支持在确保透明连接的同时,维护了网络隐私。这使得您可以通过公共互联网和 VPC 端点访问 DAX,而无需对 SDK 配置进行任何更改。

在实施适用于 DynamoDB Accelerator(DAX)的 AWS PrivateLink 时,有几个重要的注意事项必须予以考虑。

在为 DAX 设置接口端点之前,请考虑以下事项:

  • DAX 接口端点仅支持访问同一个 AWS 区域中的 DAX 管理 API。您不能使用接口端点访问其他区域中的 DAX 管理 API。

  • 要私密访问 AWS 管理控制台以进行 DAX 管理,您可能需要为 com.amazonaws.region.console 等服务及相关服务创建额外的 VPC 端点。

  • 您为 DAX 创建和使用的接口端点需要付费。有关定价信息,请参阅 AWS PrivateLink 定价

当您为 DAX 创建接口端点时:

  1. AWS 将在您为接口端点启用的每个子网中创建一个端点网络接口。

  2. 这些是请求者托管的网络接口,用作发往 DAX 的流量的入口点。

  3. 然后,您可以通过 VPC 内的私有 IP 地址访问 DAX。

  4. 此架构让您可以使用 VPC 安全组来管理对端点的访问。

  5. 应用程序可以通过 VPC 内各自的接口端点访问 DynamoDB 和 DAX,同时还允许本地应用程序通过 Direct Connect 或 VPN 进行连接。

  6. 这为两种服务提供了一致的连接模式,可简化架构,并通过将流量保持在 AWS 网络内来提高安全性。

您可以创建接口端点以使用 AWS 管理控制台、AWS SDK、CloudFormation 或 AWS API 连接到 DAX。

使用控制台为 DAX 创建接口端点

  1. 导航到位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择端点

  3. 选择 Create Endpoint(创建端点)。

  4. 服务类别中,选择 AWS 服务,然后对于服务名称,搜索并选择 com.amazonaws.region.dax

  5. 对于 VPC,选择要从中访问 DAX 的 VPC;对于子网,选择 AWS 将在其中创建端点网络接口的子网。

  6. 对于安全组,选择或创建要与端点网络接口关联的安全组。

  7. 对于策略,请保留默认的完全访问权限或根据需要进行自定义。

  8. 要为端点启用私有 DNS,请选择 启用 DNS 名称。保持私有 DNS 名称处于启用状态,防止在 SDK 配置中进行更改。启用后,您的应用程序可以继续使用标准服务 DNS 名称(例如:dax.region.amazonaws.com)。AWS 会在您的 VPC 中创建私有托管区,将此名称解析为您的端点的私有 IP 地址。

    注意

    如果需要,请使用区域 DNS 名称。建议不要使用分区 DNS 名称。此外,您还可以从 3 个或更多可用区中选择子网,确保通过 PrivateLink 实现最高可用性。

  9. 选择创建端点

使用 AWS CLI 为 DAX 创建接口端点

使用 create-vpc-endpoint 命令,并将 vpc-endpoint-type 参数设置为 Interface,将 service-name 参数设置为 com.amazonaws.region.dax

aws ec2 create-vpc-endpoint \
    --vpc-id vpc-ec43eb89 \
    --vpc-endpoint-type Interface \
    --service-name com.amazonaws.us-east-1.dax \
    --subnet-ids subnet-abcd1234 subnet-1a2b3c4d \
    --security-group-ids sg-1a2b3c4d \
    --private-dns-enabled

有关 AWS PrivateLink 和 VPC 端点的更多信息,请参阅以下资源: