- 联网和内容分发›
- AWS PrivateLink›
- 常见问题
AWS PrivateLink 常见问题
一般性问题
全部打开AWS PrivateLink 使用户能够通过高度可用且可扩展的方式来访问托管在 AWS 上的服务和资源,同时将所有网络流量限制在 AWS 网络内。用户可从其 Amazon Virtual Private Cloud(VPC)或本地对这些服务和资源进行私有访问,而无需使用公有 IP,也不需要让流量遍历整个互联网。服务所有者可以将自己的网络负载均衡器注册到 PrivateLink 服务中,以将服务提供给其他 AWS 客户。资源所有者无需使用网络负载均衡器即可直接共享他们的资源。
作为用户,您需要创建 VPC 端点(由 PrivateLink 提供支持)才能访问服务和资源。这些 VPC 端点将在 VPC 中显示为带私有 IP 的弹性网络接口。完成这些端点的创建后,任何以这些 IP 为目的地的流量都将通过私有方式路由到相应服务或资源。
作为服务拥有者,您可以在您的服务前面部署网络负载均衡器并创建 PrivateLink 服务以在其中注册网络负载均衡器,从而将您的服务加入到 AWS PrivateLink 中。在您将客户的账户和 IAM 角色加入白名单之后,他们将能够在他们的 VPC 中建立端点以连接到您的服务。
借助 VPC 端点,您能够建立从您的 VPC 到 AWS 上托管的服务和资源的私有连接,无需使用互联网网关、NAT 设备、VPN 或防火墙代理。VPC 端点是一种可水平扩展且高度可用的虚拟设备,允许 VPC 中的实例与服务/资源之间进行通信。Amazon VPC 提供五种不同类型的 VPC 端点:网关端点、接口端点、网关负载均衡器端点、资源端点和服务网络端点。除网关端点之外的所有 VPC 端点类型均由 PrivateLink 提供支持。
接口端点为由 PrivateLink 支持的服务提供私有连接。这些服务可能是 AWS 服务、您自己的服务或软件即服务(SaaS)解决方案。接口端点还支持通过 AWS Direct Connect 和 VPN 进行连接。
网关端点仅适用于包括 Amazon S3 和 Amazon DynamoDB 在内的 AWS 服务,且无法启用 PrivateLink。这类端点将向您选择的路由表添加一个条目,并通过 Amazon 的私有网络将流量路由到受支持的服务。
网关负载均衡器类型端点为由网关负载均衡器作为前端的设备提供私有连接。
资源端点为不需要负载均衡的 VPC 资源提供私有连接,如数据库、集群、域名目标和 IP 地址等。它们支持通过 AWS Direct Connect 和 VPN 进行连接。
服务网络端点允许您以私有方式连接到 Amazon VPC Lattice 服务网络中的服务和资源。它们支持通过单个 VPC 端点访问多个服务和资源。它们还支持通过 AWS Direct Connect 和 VPN 进行连接。有关 VPC 端点的定价,请参阅 AWS PrivateLink。
VPC 端点提供对特定服务或资源的安全访问,能为最终用户带来诸多好处:
- 通过 VPC 端点,无需使用任何其他网关即可访问特定服务或资源(无需使用互联网网关、NAT 网关、VPN 连接或 VPC 对等连接),可以降低将资源暴露给互联网或其他外部网络的风险。
- 您的流量仍保留在 Amazon 的私有网络内,可以降低将流量暴露给互联网的风险。
- 通过 VPC 端点访问 Amazon 服务时,可以仅限特定用户、操作和/或资源通过 VPC 端点进行访问。
- 可以仅来自特定 VPC 或通过特定 VPC 端点的流量对 Amazon 服务提供的资源进行访问。
可以。您的本地应用程序可通过 AWS Direct Connect 连接到 Amazon VPC 中的 VPC 端点。这些 VPC 端点会自动将流量定向到由 AWS PrivateLink 提供支持的服务。
您可以使用 VPC 控制台或 AWS CLI/SDK 搜索可用服务和资源。然后,您可以通过 VPC 端点访问服务、资源或服务网络。
您可以通过在 Amazon VPC Lattice 中定义资源配置来创建资源。作为资源所有者,您可以通过创建包含资源列表的资源配置,将您的资源加入到 PrivateLink。在您使用 AWS Resource Access Manager(RAM)与客户账户共享此资源配置后,客户将能够在其 VPC 中建立端点以连接您的资源。
资源端点为不需要负载均衡的 VPC 资源提供私有连接,如数据库、集群、域名目标和 IP 地址等。它们支持通过 AWS Direct Connect 和 VPN 进行连接。
服务网络端点允许您以私有方式连接到 VPC Lattice 服务网络中的服务和资源。它们支持通过单个 VPC 端点访问多个服务和资源。它们还支持通过 AWS Direct Connect 和 VPN 进行连接。有关 VPC 终端节点的定价,请参阅 VPC 定价。
计费
全部打开PrivateLink的定价表包含有关费用和账单的信息。如果您选择在 VPC 中创建接口或网关负载均衡器 VPC 端点,则需要按小时为将您的 VPC 端点预置到每个可用区中所花费的时间付费。如果您选择在 VPC 中创建资源 VPC 端点,则需要按小时为将您的 VPC 端点预置到可用区(不管数量多少)中所花费的时间付费。我们将按照由 VPC 端点处理的每 GB 数据收取数据处理费用,无论流量的来源或目的地如何。运行未满一小时的 VPC 端点按一小时计费。如果您不想继续为 VPC 终端节点付费,可以使用 AWS 管理控制台、命令行界面 (CLI) 或 API 将其删除。
除非另行说明,否则我们的价格不包含适用的税费和关税(包括增值税和适用的销售税)。使用日本账单地址的客户若要使用 AWS,则需缴纳日本消费税。
了解详情
连接
全部打开尽管 VPC 对等连接限制为 125 个 VPC 连接,但 AWS PrivateLink 的规模几乎不受限制。每个 VPC 端点都可将 VPC 中的 Amazon Elastic Compute Cloud(Amazon EC2)实例连接到特定的服务、资源或服务网络。您可以根据需要连接的 VPC、资源和服务的数量添加任意数量的端点。
答:您最多可以为每个 VPC 创建 100 个 VPC 端点。如果您需要更多信息,请联系我们,我们将与您一起寻找解决方案。
您可以在 VPC 中创建 VPC 端点并指定要使用的服务、资源或服务网络。VPC 端点具有可解析到 VPC 中的本地 IP 地址的 DNS 名称。当您将流量路由到这些 DNS 名称时,流量将通过 VPC 端点路由到服务或资源,这些服务或资源可以跨账户存在。
每个 VPC 端点默认支持每个可用区 10 Gbps 的连续带宽,超过这一带宽后,容量会自动增加,最大可达 100 Gbps。端点扩展是完全托管的,确保到您的端点的流量不受影响。
网关、接口、网关负载均衡器和资源 VPC 端点仅能连接单个端口服务或资源。VPC 服务网络端点可以连接服务网络,该网络可关联多项资源和 VPC Lattice 服务。
如果您使用的是最新版本的 AWS CLI/SDK,则无需更新代码。CLI/SDK 将自动发现您的 VPC 端点并默认使用它们。如果您使用的是旧版本的 CLI/SDK,则需要在 CLI/SDK 中将 DNS 名称指定为端点参数。如果需要指定端点,则可以通过查询 EC2 元数据服务来发现 DNS 名称。
不,我们可能会在未来的更新中支持此功能,但目前仅支持私有端点名称。
是的,您可以通过 Direct Connect 访问 VPC 端点。VPC 端点的 DNS 记录可公开解析,但会返回关联 VPC 内的私有 IP 地址。
安全和筛选
全部打开AWS PrivateLink 的安全性取决于三个因素:路径、策略和通信模式。
VPC 端点与服务之间的路径位于 AWS 内,不需要遍历互联网。因此,它不会受到互联网攻击的威胁。
在 AWS 服务中使用 VPC 端点时,您还可以创建端点策略,限制访问发往 VPC 端点的请求。
默认情况下,PrivateLink 不为传输中数据提供任何加密。服务使用者始终发起服务(它是单向服务),并且服务提供者仅向允许名单上的客户提供服务。
可以。您可以将安全组与 VPC 端点关联。