本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 架構 1： AWS PrivateLink
<a name="architecture-1"></a>

[AWS PrivateLink](https://aws.amazon.com/privatelink/) 是 Amazon Virtual Private Cloud (Amazon VPC) 的一項功能，可在 VPCs AWS 和服務之間提供私有連線。使用 PrivateLink 的網路流量不會透過公有網際網路傳輸，從而降低了外部威脅的風險，例如遭受暴力破解和分散式拒絕服務 (DDoS) 攻擊。它為雙方提供了一種無需網際網路閘道即可建立私有連線的方法。雙方都可以部署不受網際網路威脅的私有 VPC。

若要將介面端點連接至其他服務，PrivateLink 將使用 [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html)。Network Load Balancer 提供可擴展性，每秒可以支援數百萬個請求。

您可以跨不同帳戶和 VPC 連接服務，且不需要防火牆規則、路徑定義、路由表、網際網路閘道、VPC 對等互連或受管 CIDR 區塊。網路架構的這種簡化可以讓您更輕鬆地管理全球網路。

下列架構圖顯示如何使用 PrivateLink 和 Network Load Balancer 將您帳戶中的端點連接至第三方帳戶 (例如軟體即服務 (SaaS) 提供者的帳戶) 中的介面端點。第三方帳戶託管 Network Load Balancer。

![使用 PrivateLink 和 Network Load Balancer 連接不同帳戶中的 EC2 執行個體](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/integrate-third-party-services/images/p1_privatelink.png)


此架構是整合第三方服務最常選取的方法，因為它在第三方帳戶與您的帳戶之間提供了強大的隔離，而無需共用元件。它允許重疊 CIDR 區塊，這是與外部帳戶整合時最突出的挑戰之一。它也會抽離網路通訊路徑。但是，它僅限於 TCP 流量和單向通訊。第三方工作負載無法啟動回您帳戶的通訊。

並非所有 AWS Partner都可以使用 PrivateLink 整合。若要確定您目前或潛在的合作夥伴是否有能力，請參閱 [AWS PrivateLink 合作夥伴](https://aws.amazon.com/privatelink/partners/)。

## 成本考量
<a name="cost-considerations-1"></a>
+ 每個可用區域中佈建的每個 VPC 端點均按小時收費，無論其與服務的關聯狀態如何。即使端點處於待定狀態，您也按小時付費。如需所有可能的服務狀態清單，請參閱 [AWS PrivateLink 概念](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)。
+ 無論流量的來源或目的地為何，透過 VPC 端點處理的每 GB 資料都會產生處理費用。

如需詳細資訊，請參閱 [AWS PrivateLink 定價](https://aws.amazon.com/privatelink/pricing/)。