VPC Lattice 中的資源閘道 - Amazon VPC Lattice
考量安全群組IP 地址類型每個 ENI 的 IPv4 地址

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC Lattice 中的資源閘道

資源閘道是將流量接收到資源所在 VPC 的點。它跨越多個可用區域。

如果您打算讓 VPC 內的資源可從其他 VPCs 或帳戶存取,VPC 必須具有資源閘道。您共用的每個資源都與資源閘道相關聯。當其他 VPCs或帳戶中的用戶端存取 VPC 中的資源時,資源會看到來自該 VPC 中資源閘道的本機流量。流量的來源 IP 地址是可用區域中資源閘道的 IP 地址。多個資源組態,每個都具有多個資源,可以連接到資源閘道。

下圖顯示用戶端如何透過資源閘道存取資源:

透過資源閘道存取資源的用戶端。
目錄

考量

下列考量適用於資源閘道:

  • 若要從所有可用區域存取您的資源,您應該建立資源閘道,以盡可能跨越多個可用區域。

  • VPC 端點和資源閘道的至少一個可用區域必須重疊。

  • VPC 最多可以有 100 個資源閘道。如需詳細資訊,請參閱 VPC Lattice 的配額

  • 您無法在共用子網路中建立資源閘道。

  • VPC Lattice 可能會將新的 ENIs 新增至您的資源閘道。

安全群組

您可以將安全群組連接至資源閘道。資源閘道的安全群組規則會控制從資源閘道到資源的傳出流量。

從資源閘道流向資料庫資源的流量的建議傳出規則

若要讓流量從資源閘道流向資源,您必須為資源接受的接聽程式通訊協定和連接埠範圍建立傳出規則。

目的地 通訊協定 連接埠範圍 註解
資源的 CIDR 範圍 TCP 3306 允許從資源閘道到資料庫的流量。

IP 地址類型

資源閘道可以有 IPv4, IPv6 或雙堆疊地址。資源閘道的 IP 地址類型必須與資源閘道的子網路和資源的 IP 地址類型相容,如下所述:

  • IPv4 – 將 IPv4 地址指派給資源閘道網路介面。只有在所有選取的子網路都具有 IPv4 地址範圍,且資源也具有 IPv4 地址時,才支援此選項。使用此選項時,您可以設定每個資源閘道 ENI 的 IPv4 地址數量。

  • IPv6 – 將 IPv6 地址指派給資源閘道網路介面。只有在所有選取的子網路都是僅限 IPv6 的子網路,且資源也具有 IPv6 地址時,才支援此選項。當您使用此選項時,IPv6 地址會自動指派,不需要管理。

  • Dualstack – 將 IPv4 和 IPv6 地址指派給資源閘道網路介面。只有在所有選取的子網路同時具有 IPv4 和 IPv6 地址範圍,且資源具有 IPv4 或 IPv6 地址時,才支援此選項。使用此選項時,您可以設定每個資源閘道 ENI 的 IPv4 地址數量。

資源閘道的 IP 地址類型與用戶端的 IP 地址類型或存取資源的 VPC 端點無關。

每個 ENI 的 IPv4 地址

如果您的資源閘道具有 IPv4 或雙堆疊 IP 地址類型,您可以設定指派給資源閘道每個 ENI 的 IPv4 地址數目。建立資源閘道時,您可以選擇 1 到 62 個 IPv4 地址。設定 IPv4 地址的數量後,就無法變更該值。

IPv4 地址用於網路地址轉譯,並判斷與資源並行 IPv4 連線的數量上限。每個 IPv4 地址最多可支援每個目的地 IP 55,000 個同時連線。根據預設,每個 ENI 會指派 16 個 IPv4 地址給所有資源閘道。

如果您的資源閘道使用 IPv6 地址類型,資源閘道會自動接收每個 ENI 的 /80 CIDR。此值無法變更。每個連線的最大傳輸單位 (MTU) 為 8500 位元組。