本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
VPC Lattice 中的資源閘道
資源閘道是資源所在之 VPC 的傳入流量點。它跨越多個可用區域。
如果您打算讓 VPC 內的資源可從其他 VPCs或帳戶存取,VPC 必須具有資源閘道。您共用的每個資源都與資源閘道相關聯。當其他 VPCs或帳戶中的用戶端存取 VPC 中的資源時,資源會看到來自該 VPC 中資源閘道的本機流量。流量的來源 IP 是資源閘道的 IP 地址。您可以將多個 IP 地址指派給資源閘道,以允許與資源進行更多網路連線。VPC 中的多個資源可以與相同的資源閘道相關聯。
資源閘道不提供負載平衡功能。
考量事項
下列考量適用於資源閘道:
若要從所有可用區域
存取您的資源,您應該建立資源閘道,以盡可能跨越多個可用區域。 VPC 端點和資源閘道的至少一個可用區域必須重疊。
VPC 最多可以有 100 個資源閘道。如需詳細資訊,請參閱 VPC Lattice 的配額。
您無法在共用子網路中建立資源閘道。
Security groups (安全群組)
您可以將安全群組連接至資源閘道。資源閘道的安全群組規則會控制從資源閘道到資源的傳出流量。
從資源閘道流向資料庫資源的流量的建議傳出規則
若要讓流量從資源閘道流向資源,您必須為資源接受的接聽程式通訊協定和連接埠範圍建立傳出規則。
| 目標 | 通訊協定 | 連接埠範圍 | Comment |
|---|---|---|---|
資源的 CIDR 範圍 |
TCP | 3306 | 允許從資源閘道到資料庫的流量。 |
IP 地址類型
資源閘道可以有 IPv4、IPv6 或雙堆疊地址。資源閘道的 IP 地址類型必須與資源閘道的子網路和資源的 IP 地址類型相容,如下所述:
-
IPv4 – 將 IPv4 地址指派給閘道網路介面。只有在所有選取的子網路都具有 IPv4 地址範圍,且資源也具有 IPv4 地址時,才支援此選項。
-
IPv6 – 將 IPv6 地址指派給閘道網路介面。只有在所有選取的子網路都是僅限 IPv6 的子網路,且資源也具有 IPv6 地址時,才支援此選項。
-
Dualstack – 將 IPv4 和 IPv6 地址指派給閘道網路介面。只有在所有選取的子網路同時具有 IPv4 和 IPv6 地址範圍,且資源具有 IPv4 或 IPv6 地址時,才支援此選項。
資源閘道的 IP 地址類型與用戶端的 IP 地址類型或存取資源的 VPC 端點無關。
每個 ENI 的 IPv4 位址
如果您的資源閘道具有 IPv4 或雙堆疊 IP 地址類型,您可以設定指派給資源閘道每個 ENI 的 IPv4 地址數目。建立資源閘道時,您可以選擇 1 到 62 個 IPv4 地址。設定 IPv4 地址的數量後,就無法變更該值。
IPv4 地址用於網路地址轉譯,並判斷與資源並行 IPv4 連線的數量上限。根據預設,所有資源閘道都會為每個 ENI 指派 16 個 IPv4 地址。這是與您的後端資源建立連線的適當 IPs 數量。
如果您的資源閘道使用 IPv6 地址類型,資源閘道會自動接收每個 ENI 的 /80 CIDR。此值無法變更。
資源組態 DNS 解析
您可以指定資源閘道如何針對作為網域名稱目標的資源組態進行 DNS 解析。這個屬性是不可改變的。您可以選擇:
-
PUBLIC (預設) - 使用公有 DNS 解析程式解析網域名稱。
-
IN_VPC - 網域名稱會使用資源閘道所在的 VPC 的 DHCP 選項集中設定的 DNS 伺服器來解析。如果您使用的是私有 DNS 伺服器,或您的網域名稱目標位於 Route53 私有託管區域中,則應使用此選項。
如果 DNS 解析為 IN_VPC,則您無法將 ARN 定義的資源組態連接到資源閘道。如果資源閘道使用IPv6-only 的子網路,則無法將 DNS 解析設定為 IN_VPC。
