VPC 資源的資源組態 - Amazon VPC Lattice
資源組態的類型通訊協定資源閘道資源提供者的自訂網域名稱資源取用者的自訂網域名稱服務網路擁有者的自訂網域名稱資源定義連接埠範圍存取 資源與服務網路類型的關聯服務網路的類型透過 共用資源組態 AWS RAM監控

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC 資源的資源組態

資源組態代表您要讓其他 VPCs和帳戶中的用戶端存取的資源或資源群組。透過定義資源組態,您可以從其他 VPC 和帳戶中的用戶端,允許私有、安全、單向網路連線至 VPCs中的資源。資源組態與其接收流量的資源閘道相關聯。若要從另一個 VPC 存取資源,它需要有資源組態。

目錄

資源組態的類型

資源組態可以有數種類型。不同類型的協助代表不同類型的資源。類型為:

  • 單一資源組態:代表 IP 地址或網域名稱。它可以獨立共用。

  • 群組資源組態:它是子資源組態的集合。它可以用來代表 DNS 和 IP 地址端點的群組。

  • 子資源組態:它是群組資源組態的成員。它代表 IP 地址或網域名稱。它無法獨立共用,只能做為群組的一部分共用。它可以從群組新增和移除。新增時,其會自動供可存取 群組的人員存取。

  • ARN 資源組態:代表由 AWS 服務佈建的支援資源類型。任何群組-子關係都會自動處理。

下圖顯示單一、子和群組資源組態:

單一、子和群組資源組態。

通訊協定

建立資源組態時,您可以定義資源將支援的通訊協定。目前僅支援 TCP 通訊協定。

資源閘道

資源組態與資源閘道相關聯。資源閘道是一組 ENIs,可做為資源所在的 VPC 傳入點。多個資源組態可以與相同的資源閘道相關聯。當其他 VPCs或帳戶中的用戶端存取 VPC 中的資源時,資源會看到來自該 VPC 中資源閘道 IP 地址的本機流量。

資源提供者的自訂網域名稱

資源提供者可以將自訂網域名稱連接至資源組態,例如 example.com,取用者可以使用該資源來存取資源組態。自訂網域名稱可以由資源提供者擁有和驗證,也可以是第三方或 AWS 網域。資源提供者可以使用資源組態來共用快取叢集和 Kafka 叢集、TLS 型應用程式或其他 AWS 資源。

下列考量適用於資源組態提供者:

  • 資源組態只能有一個自訂網域。

  • 資源組態的自訂網域名稱無法變更。

  • 所有資源組態取用者都可看見自訂網域名稱。

  • 您可以使用 VPC Lattice 中的網域名稱驗證程序來驗證自訂網域名稱。如需詳細資訊,請參閱 建立和驗證網域

  • 對於類型群組和子項的資源組態,您必須先在群組資源組態上指定群組網域。之後,子資源組態可以具有屬於群組網域子網域的自訂網域。如果群組沒有群組網域,您可以為子系使用任何自訂網域名稱,但 VPC Lattice 不會為資源消費者 VPC 中的子系網域名稱佈建任何託管區域。

資源取用者的自訂網域名稱

當資源取用者啟用具有自訂網域名稱的資源組態連線時,他們可以允許 VPC Lattice 在其 VPC 中管理 Route 53 私有託管區域。資源取用者有精細的選項,他們想要允許 VPC Lattice 管理私有託管區域的網域。

當透過資源端點、服務網路端點或服務網路 VPC 關聯啟用與資源組態的連線時,資源取用者可以設定 private-dns-enabled 參數。除了 private-dns-enabled 參數,消費者可以使用 DNS 選項來指定他們希望 VPC Lattice 管理私有託管區域的網域。消費者可以選擇下列私有 DNS 偏好設定:

ALL_DOMAINS

VPC Lattice 為所有自訂網域名稱佈建私有託管區域。

VERIFIED_DOMAINS_ONLY

只有在供應商已驗證自訂網域名稱時,VPC Lattice 才會佈建私有託管區域。

VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS

VPC Lattice 會為所有已驗證的自訂網域名稱和資源取用者指定的其他網域名稱佈建私有託管區域。資源取用者會在 private DNS specified domains 參數中指定網域名稱。

SPECIFIED_DOMAINS_ONLY

VPC Lattice 會為資源取用者指定的網域名稱佈建私有託管區域。資源取用者會在 private DNS specified domains 參數中指定網域名稱。

當您啟用私有 DNS 時,VPC Lattice 會在 VPC 中為與資源組態相關聯的自訂網域名稱建立私有託管區域。根據預設,私有 DNS 偏好設定會設為 VERIFIED_DOMAINS_ONLY。這表示只有在資源提供者已驗證自訂網域名稱時,才會建立私有託管區域。如果您將私有 DNS 偏好設定設定為 ALL_DOMAINSSPECIFIED_DOMAINS_ONLY,則無論自訂網域名稱的驗證狀態為何,VPC Lattice 都會建立私有託管區域。當為指定網域建立私有託管區域時,從 VPC 到該網域的所有流量都會透過 VPC Lattice 路由。建議您只在希望這些自訂網域名稱的流量通過 VPC Lattice ALL_DOMAINS時使用 VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS、 或 SPECIFIED_DOMAINS_ONLY偏好設定。

我們建議資源消費者將其私有 DNS 偏好設定設為 VERIFIED_DOMAINS_ONLY。這可讓消費者透過僅允許 VPC Lattice 為資源消費者帳戶中已驗證的網域佈建私有託管區域,來加強其安全周邊。

若要選取私有 DNS 指定網域中的網域,資源取用者可以輸入完整網域名稱,例如 my.example.com,或使用萬用字元,例如 *.example.com

下列考量適用於資源組態的取用者:

  • 私有 DNS 啟用參數無法變更。

  • 應在服務網路資源關聯上啟用私有 DNS,以便在 VPC 中建立私有託管。對於資源組態,服務網路資源關聯的私有 DNS 啟用狀態會覆寫服務網路端點或服務網路 VPC 關聯的私有 DNS 啟用狀態。

服務網路擁有者的自訂網域名稱

服務網路資源關聯的私有 DNS 啟用屬性會覆寫服務網路端點的私有 DNS 啟用屬性和服務網路 VPC 關聯。

如果服務網路擁有者建立服務網路資源關聯,但未啟用私有 DNS,即使服務網路端點或服務網路 VPC 關聯上已啟用私有 DNS,VPC Lattice 也不會在服務網路連線的任何 VPCs 中為該資源組態佈建私有託管區域。

對於 ARN 類型的資源組態,私有 DNS 旗標為 true 且不變。

資源定義

在資源組態中,以下列其中一種方式識別資源:

  • 透過 Amazon Resource Name (ARN):由 AWS 服務佈建的支援資源類型可由其 ARN 識別。僅支援 Amazon RDS 資料庫。您無法為可公開存取的叢集建立資源組態。

  • 網域名稱目標:您可以使用任何可公開解析的網域名稱。如果您的網域名稱指向 VPC 外部的 IP,則必須在 VPC 中具有 NAT 閘道。

  • IP 地址:針對 IPv4,從下列範圍指定私有 IP:10.0.0.0/8、100.64.0.0/10、172.16.0.0/12、192.168.0.0/16。針對 IPv6,從 VPC 指定 IP。不支援公IPs。

連接埠範圍

當您建立資源組態時,您可以定義其將接受請求的連接埠。不允許在其他連接埠上存取用戶端。

存取 資源

消費者可以使用 VPC 端點或透過服務網路,直接從其 VPC 存取資源組態。身為消費者,您可以從 VPC 存取您帳戶中的資源組態,或透過其他帳戶與您共用的資源組態 AWS RAM。

  • 直接存取資源組態

    您可以在 AWS PrivateLink VPC 中建立類型資源的 VPC 端點 (資源端點),從 VPC 私下存取資源組態。如需如何建立資源端點的詳細資訊,請參閱AWS PrivateLink《 使用者指南》中的存取 VPC 資源

  • 透過服務網路存取資源組態

    您可以將資源組態與服務網路建立關聯,並將 VPC 連接到服務網路。您可以透過 關聯或使用服務網路 VPC 端點,將 VPC 連線到 AWS PrivateLink 服務網路。

    如需服務網路關聯的詳細資訊,請參閱管理 VPC Lattice 服務網路的關聯

    如需服務網路 VPC 端點的詳細資訊,請參閱 AWS PrivateLink 使用者指南中的存取服務網路

為您的 VPC 啟用私有 DNS 時,您無法為相同的資源組態建立資源端點和服務網路端點。

與服務網路類型的關聯

當您與取用者帳戶共用資源組態時,例如 Account-B,透過 AWS RAM,Account-B 可以直接透過資源 VPC 端點或透過服務網路存取資源組態。

若要透過服務網路存取資源組態,Account-B 必須將資源組態與服務網路建立關聯。服務網路可在帳戶之間共用。因此,Account-B 可以與 Account-C 共用其服務網路 (與資源組態相關聯的),讓您的資源可從 Account-C 存取。

為了防止這類暫時性共用,您可以指定資源組態無法新增至可在帳戶之間共用的服務網路。如果您指定此選項,則 Account-B 將無法將您的資源組態新增至已共用或未來可與其他帳戶共用的服務網路。

服務網路的類型

當您透過 與其他帳戶共用資源組態時, AWS RAM Account-B 可以透過下列三種方式之一存取資源組態中指定的資源:

  • 使用類型資源的 VPC 端點 (資源 VPC 端點)。

  • 使用類型為服務網路的 VPC 端點 (服務網路 VPC 端點)。

  • 使用服務網路 VPC 關聯。

    當您使用服務網路關聯時,每個資源都會從 129.224.0.0/17 區塊指派給每個子網路的 IP,這是 AWS 擁有且不可路由的。這是 VPC Lattice 用來透過 VPC Lattice 網路將流量路由至 服務的受管字首清單以外的項目。這兩個 IPs都會更新為您的 VPC 路由表。

對於服務網路 VPC 端點和服務網路 VPC 關聯,資源組態必須與 Account-B 中的服務網路相關聯。 服務網路可在帳戶之間共用。因此,Account-B 可以與 Account-C 共用其服務網路 (包含資源組態),讓您的資源可從 Account-C 存取。 為了防止這類暫時性共用,您可以不允許將資源組態新增至可在帳戶之間共用的服務網路。如果您不允許,則 Account-B 將無法將您的資源組態新增至共用或可以與其他帳戶共用的服務網路。

透過 共用資源組態 AWS RAM

資源組態已與 整合 AWS Resource Access Manager。您可以透過 與其他 帳戶共用資源組態 AWS RAM。當您與 AWS 帳戶共用資源組態時,該帳戶中的用戶端可以私下存取資源。您可以使用 中的資源共用來共用資源組態 AWS RAM。

使用 AWS RAM 主控台來檢視您已新增的資源共用、您可以存取的共用資源,以及與您共用資源 AWS 的帳戶。如需詳細資訊,請參閱AWS RAM 《 使用者指南》中的與您共用的資源

若要從與資源組態相同的帳戶中的另一個 VPC 存取資源,您不需要透過 共用資源組態 AWS RAM。

監控

您可以在資源組態上啟用監控日誌。您可以選擇要傳送日誌的目的地。