透過 存取 VPC 資源 AWS PrivateLink - Amazon Virtual Private Cloud
概要DNS 主機名稱DNS 解析私有 DNS子網路與可用區域IP 地址類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過 存取 VPC 資源 AWS PrivateLink

您可以使用資源 VPC 端點 (資源端點) 私下存取另一個 VPC 中的 VPC 資源。資源端點可讓您私密且安全地存取 VPC 資源,例如資料庫、Amazon EC2 執行個體、應用程式端點、網域名稱目標,或可能位於另一個 VPC 中私有子網路或內部部署環境中的 IP 地址。如果沒有資源端點,您必須將網際網路閘道新增至 VPC,或使用 AWS PrivateLink 介面端點和 Network Load Balancer 存取資源。資源端點不需要負載平衡器,因此您可以直接存取 VPC 資源。VPC 資源由資源組態表示。資源組態與資源閘道相關聯。

定價

當您使用資源端點存取資源時,系統會針對佈建資源 VPC 端點的每個小時向您收費。當您存取 資源時,也會針對處理的每 GB 資料向您收費。如需詳細資訊,請參閱 AWS PrivateLink 定價。當您使用資源組態和資源閘道啟用對資源的存取時,系統會針對資源閘道處理的每 GB 資料向您收費。如需詳細資訊,請參閱 Amazon VPC Lattice 定價

目錄

概要

您可以存取帳戶中的資源,或從另一個帳戶與您共用的資源。若要存取資源,您可以建立資源 VPC 端點,該端點會使用網路介面在 VPC 中的子網路與資源之間建立連線。目的地為 資源的流量會使用 DNS 解析至資源端點網路介面的私有 IP 地址。然後,流量會透過資源閘道,使用 VPC 端點與資源之間的連線傳送至資源。

下圖顯示取用者帳戶中的資源端點,該端點會存取由不同帳戶擁有並透過下列方式共用的資源 AWS RAM:

取用者 VPC 中的資源端點會存取不同 VPC 中的資源。

考量事項

  • 支援 TCP 流量。不支援 UDP 流量。

  • 網路連線必須從包含資源端點的 VPC 起始,而不是從具有資源的 VPC 起始。資源的 VPC 無法啟動端點 VPC 的網路連線。

  • 唯一支援的 ARN 型資源是 Amazon RDS 資源。

  • VPC 端點和資源閘道的至少一個可用區域必須重疊。

DNS 主機名稱

使用 AWS PrivateLink,您可以使用私有端點將流量傳送至資源。當您建立資源 VPC 端點時,我們會建立區域 DNS 名稱 (稱為預設 DNS 名稱),可用來從 VPC 和內部部署與資源通訊。資源 VPC 端點的預設 DNS 名稱具有下列語法:

endpoint_id.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

當您為使用 ARNs 的特定資源組態建立資源 VPC 端點時,您可以啟用私有 DNS。透過私有 DNS,您可以繼續使用 AWS 服務為資源佈建的 DNS 名稱向資源提出請求,同時透過資源 VPC 端點利用私有連線。如需詳細資訊,請參閱DNS 解析

下列 describe-vpc-endpoint-associations 命令會顯示資源端點的 DNS 項目。

aws ec2 describe-vpc-endpoint-associations --vpc-endpoint-id vpce-123456789abcdefgh --query 'VpcEndpointAssociations[*].*'

以下是啟用私有 DNS 名稱之 Amazon RDS 資料庫的資源端點輸出範例。第一個 DNS 名稱是預設 DNS 名稱。第二個 DNS 名稱來自隱藏的私有託管區域,它會將公有端點的請求解析為端點網路介面的私有 IP 地址。

[
    [
        "vpce-rsc-asc-abcd1234abcd",
        "vpce-123456789abcdefgh",
        "Accessible",
        {
            "DnsName": "vpce-1234567890abcdefg-snra-1234567890abcdefg.rcfg-abcdefgh123456789.4232ccc.vpc-lattice-rsc.us-east-1.on.aws",
            "HostedZoneId": "ABCDEFGH123456789000"
        },
        {
            "DnsName": "database-5-test.cluster-ro-example.us-east-1.rds.amazonaws.com",
            "HostedZoneId": "A1B2CD3E4F5G6H8I91234"
        },
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890abcdefg",
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890xyz"
    ]
]

DNS 解析

我們為您的資源 VPC 端點建立的 DNS 記錄是公開的。因此,這些 DNS 名稱可公開解析。不過,來自 VPC 外部的 DNS 請求仍會傳回資源端點網路介面的私有 IP 地址。只要您能夠透過 VPN 或 Direct Connect 存取資源端點所在的 VPC,就可以使用這些 DNS 名稱從內部部署存取資源。

私有 DNS

如果您為使用 ARNs 的特定資源組態啟用資源 VPC 端點的私有 DNS,且您的 VPC 同時啟用 DNS 主機名稱和 DNS 解析,我們會為具有自訂 DNS 名稱的資源組態建立隱藏的 AWS受管私有託管區域。託管區域包含資源預設 DNS 名稱的記錄集,其會解析為您 VPC 中資源端點網路介面的私有 IP 地址。

Amazon 為您的 VPC 提供 DNS 伺服器,名為 Route 53 Resolver。Route 53 Resolver 會自動解析本機 VPC 網域名稱和私有託管區域中的記錄。但是,您無法從 VPC 外部使用 Route 53 Resolver。如果您想要從內部部署網路存取 VPC 端點,您可以使用自訂 DNS 名稱,也可以使用 Route 53 Resolver 端點和 Resolver 規則。如需詳細資訊,請參閱AWS Transit Gateway 與 AWS PrivateLink 和 整合 Amazon Route 53 Resolver

子網路與可用區域

您可以將 VPC 端點設定為每個可用區域一個子網路。我們會在子網路中建立 VPC 端點的端點網路介面。我們會根據 VPC 端點的 IP 地址類型,從其子網路中將 IP 地址指派給每個端點網路介面。在生產環境中,為了實現高可用性和彈性,我們建議為每個 VPC 端點設定至少兩個可用區域。

IP 地址類型

資源端點可以支援 IPv4, IPv6 或雙堆疊地址。支援 IPv6 的端點可以使用 AAAA 記錄回應 DNS 查詢。資源端點的 IP 地址類型必須與資源端點的子網路相容,如下所述:

  • IPv4 - 將 IPv4 地址指派給您的端點網路界面。只有當所有選取的子網都具有 IPv4 地址範圍時,才支援此選項。

  • IPv6 - 將 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都是 IPv6 子網時,才支援此選項。

  • Dualstack - 將 IPv4 和 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時,才支援此選項。

如果資源 VPC 端點支援 IPv4,則端點網路介面具有 IPv4 地址。如果資源 VPC 端點支援 IPv6,則端點網路介面具有 IPv6 地址。無法從網際網路連線端點網路界面的 IPv6 地址。如果您使用 IPv6 地址描述端點網路介面,請注意 denyAllIgwTraffic 已啟用。