本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 透過 存取虛擬設備 AWS PrivateLink
您可以使用 Gateway Load Balancer,將流量散發給網路虛擬設備的機群。設備可用於安全檢查、合規、政策控制和其他聯網服務。您可以在建立 VPC 端點服務時指定 Gateway Load Balancer。其他 AWS 主體會透過建立 Gateway Load Balancer 端點來存取端點服務。
**定價**
系統會針對每個可用區域中佈建閘道Load Balancer端點的每個小時向您收費。系統也會針對處理的每 GB 資料向您收費。如需詳細資訊,請參閱[AWS PrivateLink 定價](https://aws.amazon.com/privatelink/pricing/)。
**Topics**
+ [概觀](#gwlbe-overview)
+ [IP 地址類型](#gwlbe-ip-address-type)
+ [路由](#gateway-load-balancer-endpoints-routing)
+ [建立 Gateway Load Balancer 端點服務](create-gateway-load-balancer-endpoint-service.md)
+ [建立 Gateway Load Balancer 端點](gateway-load-balancer-endpoints.md)
如需詳細資訊,請參閱 [Gateway Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/)。
## 概觀
下圖顯示應用程式伺服器如何透過 存取安全設備 AWS PrivateLink。應用程式伺服器在服務消費者 VPC 的子網中執行。您可以在相同 VPC 的另一個子網中建立 Gateway Load Balancer 端點。所有透過網際網路閘道進入服務消費者 VPC 的流量會先路由至 Gateway Load Balancer 端點以便進行檢查,然後再路由至目的地子網。同樣,離開應用程式伺服器的所有流量會路由至 Gateway Load Balancer 端點,以便進行檢查,然後再透過網際網路閘道傳回。
**從網際網路到應用程式伺服器的流量 (藍色箭頭):**
1. 流量透過網際網路閘道進入服務消費者 VPC。
1. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。
1. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。
1. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。
1. 根據路由表組態,將流量傳送至應用程式伺服器。
**從應用程式伺服器到網際網路的流量 (橙色箭頭):**
1. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。
1. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。
1. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。
1. 根據路由表組態,將流量傳送至網際網路閘道。
1. 流量會傳回網際網路。
## IP 地址類型
服務提供者可以透過 IPv4、IPv6、或者同時使用 IPv4 和 IPv6 向服務取用者提供其服務端點,即使其安全設備僅支援 IPv4 也一樣。如果您啟用雙堆疊支援,現有消費者可以繼續使用 IPv4 存取您的服務,而新客戶可以選擇使用 IPv6 存取您的服務。
如果 Gateway Load Balancer 端點支援 IPv4,則端點網路界面具有 IPv4 地址。如果 Gateway Load Balancer 端點支援 IPv6,則端點網路界面具有 IPv6 地址。無法從網際網路連線端點網路界面的 IPv6 地址。如果您使用 IPv6 地址描述端點網路介面,請注意 `denyAllIgwTraffic` 已啟用。
**為端點服務啟用 IPv6 的要求**
+ 端點服務的 VPC 和子網必須具有相關聯的 IPv6 CIDR 區塊。
+ 端點服務的所有 Gateway Load Balancer 都必須使用雙堆疊 IP 地址類型。安全設備不需要支援 IPv6 流量。
**為 Gateway Load Balancer 端點啟用 IPv6 的要求**
+ 端點服務必須具有包含 IPv6 支援的 IP 地址類型。
+ Gateway Load Balancer 的 IP 地址類型必須與 Gateway Load Balancer 的子網路相容,如下所述:
+ **IPv4** - 將 IPv4 地址指派給您的端點網路界面。只有當所有選取的子網都具有 IPv4 地址範圍時,才支援此選項。
+ **IPv6** - 將 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都是 IPv6 子網時,才支援此選項。
+ **Dualstack** - 將 IPv4 和 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時,才支援此選項。
+ 服務取用者 VPC 中的子網路路由表必須路由 IPv6 流量,而這些子網路的網路 ACL 必須允許 IPv6 流量。
## 路由
若要將流量路由至端點服務,請使用其 ID,將 Gateway Load Balancer 端點指定為路由表中的目標。對於上圖,將路由新增到路由表中,如下所示。如果將 Gateway Load Balancer 端點作為目標,您無法將字首清單指定為目的地。在這些資料表中,雙堆疊組態包含 IPv6 路由。
**網際網路閘道的路由表**
此路由表必須具有路由,將目的地為應用程式伺服器的流量傳送至 Gateway Load Balancer 端點。
| 目標 | Target |
| --- | --- |
| {{VPC A IPv4 CIDR}} | 區域 |
| {{VPC A IPv6 CIDR}} | 區域 |
| {{應用程式子網路 IPv4 CIDR}} | {{vpc-endpoint-id}} |
| {{應用程式子網路 IPv6 CIDR}} | {{vpc-endpoint-id}} |
**具有應用程式伺服器的子網路由表**
此路由表必須具有路由,將應用程式伺服器傳出的所有流量傳送至 Gateway Load Balancer 端點。
| 目標 | Target |
| --- | --- |
| {{VPC A IPv4 CIDR}} | 區域 |
| {{VPC A IPv6 CIDR}} | 區域 |
| 0.0.0.0/0 | {{vpc-endpoint-id}} |
| ::/0 | {{vpc-endpoint-id}} |
**具有 Gateway Load Balancer 端點的子網路由表**
此路由表必須將檢查傳回的流量傳送至其最終目的地。對於源自網際網路的流量,本機路由會將流量傳送至應用程式伺服器。對於源自應用程式伺服器的流量,請新增路由,將所有流量傳送至網際網路閘道。
| 目標 | Target |
| --- | --- |
| {{VPC A IPv4 CIDR}} | 區域 |
| {{VPC A IPv6 CIDR}} | 區域 |
| 0.0.0.0/0 | {{internet-gateway-id}} |
| ::/0 | {{internet-gateway-id}} |