# 使用适用于 DynamoDB Accelerator(DAX)的 AWS PrivateLink
利用适用于 DynamoDB Accelerator(DAX)的 AWS PrivateLink,您可以通过虚拟私有云(VPC)中的私有 IP 地址,安全地访问 DAX 管理 API,例如 `CreateCluster`、`DescribeClusters` 和 `DeleteCluster`。此功能让您能够从应用程序私密访问 DAX 服务,而无需向公共互联网公开流量。
DAX PrivateLink 支持双栈端点(`dax.{region}.api.aws`),可同时实现 IPv4 和 IPv6 连接。借助适用于 DAX 的 AWS PrivateLink,客户可以使用私有 DNS 名称访问服务。双栈端点支持在确保透明连接的同时,维护了网络隐私。这使得您可以通过公共互联网和 VPC 端点访问 DAX,而无需对 SDK 配置进行任何更改。
## 使用适用于 DynamoDB Accelerator(DAX)的 AWS PrivateLink 时需要考虑的因素
在实施适用于 DynamoDB Accelerator(DAX)的 AWS PrivateLink 时,有几个重要的注意事项必须予以考虑。
在为 DAX 设置接口端点之前,请考虑以下事项:
+ DAX 接口端点仅支持访问同一个 AWS 区域中的 DAX 管理 API。您不能使用接口端点访问其他区域中的 DAX 管理 API。
+ 要私密访问 AWS 管理控制台以进行 DAX 管理,您可能需要为 `com.amazonaws.region.console` 等服务及相关服务创建额外的 VPC 端点。
+ 您为 DAX 创建和使用的接口端点需要付费。有关定价信息,请参阅 [AWS PrivateLink 定价](https://aws.amazon.com/vpc/pricing/)。
## AWS PrivateLink 如何与 DAX 协同工作
当您为 DAX 创建接口端点时:
1. AWS 将在您为接口端点启用的每个子网中创建一个端点网络接口。
1. 这些是请求者托管的网络接口,用作发往 DAX 的流量的入口点。
1. 然后,您可以通过 VPC 内的私有 IP 地址访问 DAX。
1. 此架构让您可以使用 VPC 安全组来管理对端点的访问。
1. 应用程序可以通过 VPC 内各自的接口端点访问 DynamoDB 和 DAX,同时还允许本地应用程序通过 Direct Connect 或 VPN 进行连接。
1. 这为两种服务提供了一致的连接模式,可简化架构,并通过将流量保持在 AWS 网络内来提高安全性。
## 为 DAX 创建接口端点
您可以创建接口端点以使用 AWS 管理控制台、AWS SDK、CloudFormation 或 AWS API 连接到 DAX。
**使用控制台为 DAX 创建接口端点**
1. 导航到位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择**端点**。
1. 选择 **Create Endpoint**(创建端点)。
1. 在**服务类别**中,选择 **AWS 服务**,然后对于**服务名称**,搜索并选择 `com.amazonaws.region.dax`。
1. 对于 **VPC**,选择要从中访问 DAX 的 VPC;对于**子网**,选择 AWS 将在其中创建端点网络接口的子网。
1. 对于**安全组**,选择或创建要与端点网络接口关联的安全组。
1. 对于**策略**,请保留默认的**完全访问权限**或根据需要进行自定义。
1. 要为端点启用私有 DNS,请选择 **启用 DNS 名称**。保持私有 DNS 名称处于启用状态,防止在 SDK 配置中进行更改。启用后,您的应用程序可以继续使用标准服务 DNS 名称(例如:`dax.region.amazonaws.com`)。AWS 会在您的 VPC 中创建私有托管区,将此名称解析为您的端点的私有 IP 地址。
**注意**
如果需要,请使用区域 DNS 名称。建议不要使用分区 DNS 名称。此外,您还可以从 3 个或更多可用区中选择子网,确保通过 PrivateLink 实现最高可用性。
1. 选择**创建端点**。
**使用 AWS CLI 为 DAX 创建接口端点**
使用 `create-vpc-endpoint` 命令,并将 `vpc-endpoint-type` 参数设置为 `Interface`,将 `service-name` 参数设置为 `com.amazonaws.region.dax`。
```
aws ec2 create-vpc-endpoint \
--vpc-id vpc-ec43eb89 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.dax \
--subnet-ids subnet-abcd1234 subnet-1a2b3c4d \
--security-group-ids sg-1a2b3c4d \
--private-dns-enabled
```
## 其他资源
有关 AWS PrivateLink 和 VPC 端点的更多信息,请参阅以下资源:
+ [AWS PrivateLink适用于 DynamoDB 的](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html)
+ [AWS PrivateLink适用于 DynamoDB Streams 的](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-streams.html)
+ [使用 AWS PrivateLink 将 VPC 连接到服务](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [使用 AWS PrivateLink 简化与 DynamoDB 的私有连接](https://aws.amazon.com/blogs//database/simplify-private-connectivity-to-amazon-dynamodb-with-aws-privatelink)
+ [AWS PrivateLink 白皮书](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)