- Netzwerke und Inhaltsbereitstellung›
- AWS PrivateLink›
- Häufig gestellte Fragen
AWS PrivateLink – Häufig gestellte Fragen
Allgemeine Fragen
Was ist AWS PrivateLink?
Mit AWS PrivateLink können Kunden Services, die auf AWS gehostet werden, auf hochverfügbare und skalierbare Weise aufrufen und dabei sicherstellen, dass der Netzwerkdatenverkehr ausschließlich über das AWS-Netzwerk abgewickelt wird. Service-Benutzer können von ihrer Amazon Virtual Private Cloud (VPC) oder On-Premises privat auf Services zugreifen, die von PrivateLink bereitgestellt werden, ohne öffentliche IPs zu verwenden und ohne dass der Datenverkehr über das Internet geleitet werden muss. Service-Besitzer können ihre Network Load Balancer bei PrivateLink-Services registrieren, um ihre Services für andere AWS-Kunden bereitzustellen.
Wie kann ich PrivateLink nutzen?
Als Benutzer müssen Sie VPC-Endpunkte (unterstützt von PrivateLink) erstellen, um auf Dienste und Ressourcen zugreifen zu können. Diese VPC-Endpunkte erscheinen dann als Elastic-Network-Schnittstellen mit privaten IPs in Ihren VPCs. Nach der Erstellung dieser Endpunkte wird jeder Datenverkehr an diese IP-Adressen privat an die entsprechenden Services oder Ressourcen geleitet.
Als Serviceeigentümer können Sie Ihren Service bei AWS PrivateLink registrieren, indem Sie einen Network Load Balancer vor Ihren Service schalten und einen PrivateLink-Service erstellen, den Sie beim Network Load Balancer registrieren. Ihre Kunden werden dann dazu in der Lage sein, Endpunkte in Ihrer VPC zu erstellen, um sich mit Ihrem Service zu verbinden, nachdem Sie ihre Konten und IAM-Rollen auf eine Zulassungsliste gesetzt haben.
Wird PrivateLink durch einen bestimmten Endpunkttyp aktiviert?
Über VPC-Endpunkte können Sie Ihre VPC privat ohne Internet-Gateway, NAT-Gerät, VPN oder Firewall-Proxys mit Services oder Ressourcen verbinden, die auf AWS gehostet werden. Endpunkte sind horizontal skalierbare und hochverfügbare virtuelle Geräte zur Kommunikation zwischen Instances in Ihren VPC und AWS Services/Ressourcen. Amazon VPC bietet fünf verschiedene Arten von VPC-Endpunkten: Gateway-Endpunkt, Schnittstellenendpunkt, Gateway-Load-Balancer-Endpunkt, Ressourcen-Endpunkt und Servicenetzwerk-Endpunkt. Alle VPC-Endpunkttypen außer dem Gateway-Endpunkt werden von PrivateLink betrieben.
Schnittstellen-Endpunkte bieten private Konnektivität zu Services, die von PrivateLink unterstützt werden. Bei diesen Services kann es sich um AWS-Services, Ihre eigenen Services oder Software as a Service (SaaS)-Lösungen handeln. Schnittstellen-Endpunkte unterstützen auch Konnektivität über AWS Direct Connect und VPN.
Gateway-Endpunkte sind nur für AWS-Services wie Amazon S3 und Amazon DynamoDB verfügbar und aktivieren PrivateLink nicht. Diese Endpunkte fügen der von Ihnen ausgewählten Routing-Tabelle einen Eintrag hinzu und leiten den Datenverkehr über das private Netzwerk von Amazon an die unterstützten Services weiter.
Gateway-Load-Balancer-Endpunkte bieten private Konnektivität zu Appliances, denen ein Gateway Load Balancer gegenübersteht.
Ressourcenendpunkte bieten private Konnektivität zu VPC-Ressourcen wie Datenbanken, Clustern, Domainnamenzielen und IP-Adressen, für die kein Load Balancing erforderlich ist. Sie unterstützen Konnektivität über AWS Direct Connect und VPN.
Servicenetzwerk-Endpunkte ermöglichen es Ihnen, eine private Verbindung zu Services und Ressourcen herzustellen, die sich in einem Amazon-VPC-Lattice-Servicenetzwerk befinden. Sie ermöglichen Ihnen den Zugriff auf mehrere Dienste und Ressourcen über einen einzigen VPC-Endpunkt. Sie unterstützen auch Konnektivität über AWS Direct Connect und VPN. Informationen zu den Preisen für VPC-Endpunkte finden Sie unter AWS-PrivateLink-Preisgestaltung.
Was sind die Vorteile der Verwendung eines VPC-Endpunkts mit AWS PrivateLink?
VPC-Endpunkte bieten sicheren Zugriff auf einen bestimmten Service und bieten dem Endbenutzer mehrere Vorteile:
- VPC-Endpunkte ermöglichen den Zugriff auf einen bestimmten Service, ohne dass andere Gateways verwendet werden müssen. Sie müssen kein Internet-Gateway, kein NAT-Gateway, keine VPN-Verbindung und keine VPC-Peering-Verbindung verwenden. Dadurch wird das Risiko verringert, dass Ihre Ressourcen dem Internet oder anderen externen Netzwerken ausgesetzt werden.
- Ihr Datenverkehr bleibt innerhalb des privaten Netzwerks von Amazon. Dadurch wird das Risiko verringert, dass Ihr Datenverkehr im Internet offengelegt wird.
- Wenn Sie über VPC-Endpunkte auf Amazon-Services zugreifen, können Sie den Zugriff über einen VPC-Endpunkt auf bestimmte Benutzer, Aktionen und/oder Ressourcen beschränken.
- Sie können den Zugriff auf Ressourcen, die von einem Amazon-Service bereitgestellt werden, auf Datenverkehr beschränken, der von einer bestimmten VPC oder über einen bestimmten VPC-Endpunkt stammt.
Kann ich mit AWS PrivateLink privat über AWS Direct Connect auf Dienste und Ressourcen zugreifen?
Ja. Die Anwendung in Ihren Räumlichkeiten kann über AWS Direct Connect eine Verbindung zu den VPC-Endpunkten in Amazon VPC herstellen. Die VPC-Endpunkte leiten den Datenverkehr automatisch an durch AWS PrivateLink bereitgestellte Services.
Wie finde ich heraus, welche Services und Ressourcen heute verfügbar sind?
Sie können mithilfe der VPC-Konsole oder des AWS CLI/SDK nach verfügbaren Services und Ressourcen suchen. Dann können Sie über VPC-Endpunkte auf einen Dienst, eine Ressource oder ein Servicenetzwerk zugreifen.
Wie kann ich Ressourcen erstellen, auf die über PrivateLink zugegriffen werden kann?
Sie können eine Ressource erstellen, indem Sie eine Ressourcenkonfiguration in VPC Lattice definieren. Als Ressourcenbesitzer können Sie Ihre Ressource in AWS PrivateLink einbinden, indem Sie eine Ressourcenkonfiguration mit einer Liste von Ressourcen erstellen. Ihre Kunden können in ihrer VPC Endpunkte einrichten, um eine Verbindung zu Ihren Ressourcen herzustellen, nachdem Sie diese Ressourcenkonfiguration mithilfe von AWS Resource Access Manager (RAM) für ihre Konten freigegeben haben.
Können Gateway-Load-Balancer-Endpunkte private Konnektivität zu virtuellen Appliances bereitstellen, denen ein Gateway Load Balancer gegenübersteht?
Ressourcenendpunkte bieten private Konnektivität zu VPC-Ressourcen wie Datenbanken, Clustern, Domainnamenzielen und IP-Adressen, für die kein Load Balancing erforderlich ist. Sie unterstützen Konnektivität über AWS Direct Connect und VPN.
Dienstnetzwerk-Endpunkte ermöglichen es Ihnen, eine private Verbindung zu Diensten und Ressourcen herzustellen, die sich in einem VPC-Lattice-Servicenetzwerk befinden. Sie ermöglichen Ihnen den Zugriff auf mehrere Dienste und Ressourcen über einen einzigen VPC-Endpunkt. Sie unterstützen auch Konnektivität über AWS Direct Connect und VPN. Weitere Informationen zu den Preisen für VPC-Endpunkte entnehmen Sie den Preisangaben der VPC.
Fakturierung
Wie wird mir die Nutzung von AWS PrivateLink in Rechnung gestellt?
Der Preisplan für PrivateLink enthält Informationen zu Gebühren und Abrechnung. Wenn Sie einen Schnittstellen-VPC-Endpunkt oder einen Gateway-Load-Balancer-VPC-Endpunkt in Ihrer VPC erstellen, wird jede Stunde berechnet, die der VPC-Endpunkt in jeder Availability Zone bereitgestellt wird. Wenn Sie sich dafür entscheiden, einen Ressourcen-VPC-Endpunkt in Ihrer VPC zu erstellen, wird Ihnen jede Stunde in Rechnung gestellt, unabhängig von der Anzahl der Availability Zones, in denen Ihr VPC-Endpunkt bereitgestellt wird. Für jedes Gigabyte an Daten, die durch den VPC-Endpunkt verarbeitet werden, fallen Datenverarbeitungsgebühren an, unabhängig von Quelle oder Ziel der Datenübertragung. Angebrochene VPC-Endpunkt-Stunden werden als volle Stunden abgerechnet. Löschen Sie Ihre VPC-Endpunkte über AWS Management Console, die Befehlszeilenschnittstelle (CLI) oder die API, wenn Sie einen VPC-Endpunkt nicht länger verwenden möchten. Dann fallen auch keine Kosten mehr für diesen VPC-Endpunkt an.
Sind Steuern bereits in den Preisen enthalten?
Falls nicht anders angegeben, gelten unsere Preise zuzüglich anfallender Steuern und Abgaben, u. a. MwSt. und Umsatzsteuer. Bei Kunden mit japanischer Rechnungsadresse unterliegt die Nutzung von AWS-Services der japanischen Verbrauchssteuer.
Weitere Informationen
Anbindung
Wie skalierbar ist AWS PrivateLink?
Während VPC-Peering auf 125 VPC-Verbindungen beschränkt ist, ist AWS PrivateLink praktisch unbegrenzt skalierbar. Jeder VPC-Endpunkt verbindet Amazon Elastic Compute Cloud (Amazon EC2)-Instances in einer VPC mit einem bestimmten Service, einer bestimmten Ressource oder einem bestimmten Servicenetzwerk. Sie können je nach Anzahl der VPCs, Ressourcen und Services, zu denen Sie eine Verbindung herstellen müssen, so viele Endpunkte hinzufügen, wie Sie benötigen.
Wie viele VPC-Endpunkte kann ich in einer einzelnen VPC erstellen?
A: Sie können bis zu 100 VPC-Endpunkte pro VPC erstellen. Sollten Sie mehr benötigen, kontaktieren Sie uns und wir erarbeiten gemeinsam mit Ihnen eine Lösung.
Wie verwende ich AWS-PrivateLink- und VPC-Endpunkte?
Sie können einen VPC-Endpunkt in Ihrer VPC erstellen und den Dienst, die Ressource oder das Dienstnetzwerk angeben, das Sie verwenden möchten. Der VPC-Endpunkt verfügt über einen DNS-Namen, der in lokale IP-Adressen in Ihrer VPC aufgelöst wird. Wenn Sie Datenverkehr an diese DNS-Namen weiterleiten, wird der Datenverkehr über den VPC-Endpunkt an einen Dienst oder eine Ressource weitergeleitet, die kontenübergreifend sein kann.
Wie viel Bandbreite kann ich über einen VPC-Endpunkt nutzen?
Jeder VPC-Endpunkt kann standardmäßig eine kontinuierliche Bandbreite von 10 Gbit/s pro Availability Zone unterstützen. Danach wird automatisch zusätzliche Kapazität bis zu 100 Gbit/s hinzugefügt. Die Endpunkt-Skalierung wird vollständig verwaltet, um sicherzustellen, dass der Datenverkehr zu Ihrem Endpunkt nicht beeinträchtigt wird.
Kann ich mehrere Services mit einem einzigen VPC-Endpunkt verbinden?
Gateway-, Interface-, Gateway-Load-Balancer und Ressourcen-VPC-Endpunkte stellen eine Verbindung zu einem einzelnen Endpunktdienst oder einer einzelnen Endpunktressource her. VPC-Servicenetzwerk-Endpunkte stellen eine Verbindung zu einem Servicenetzwerk her, das mehreren Ressourcen und VPC-Lattice-Services zugeordnet werden kann.
Da VPC-Endpunkte über eigene DNS-Namen verfügen, muss ich meinen Code aktualisieren, um VPC-Endpunkte verwenden zu können?
Wenn Sie die neueste Version von AWS CLI/SDK verwenden, müssen Sie Ihren Code nicht aktualisieren. Das CLI/SDK erkennt Ihre VPC-Endpunkte automatisch und verwendet sie standardmäßig. Wenn Sie CLI/SDKs der alten Version verwenden, müssen Sie den DNS-Namen als Endpunkt-Parameter im CLI/SDK angeben. Wenn Sie den Endpunkt angeben müssen, können Sie den DNS-Namen ermitteln, indem Sie den EC2-Metadaten-Service abfragen.
Kann ich den öffentlichen Endpunkt (DNS-Name) eines Services verwenden, um auf meine VPC-Endpunkte zuzugreifen?
Nein, wir unterstützen dies möglicherweise in zukünftigen Aktualisierungen, unterstützen jedoch derzeit nur private Endpunktnamen.
Kann ich über Direct Connect von meinem On-Premises-Netzwerk aus auf VPC-Endpunkte zugreifen?
Ja, Sie können über Direct Connect auf VPC-Endpunkte zugreifen. Die DNS-Einträge eines VPC-Endpunkts sind öffentlich auflösbar, geben jedoch die private IP-Adresse innerhalb der zugehörigen VPC zurück.
Sicherheit und Filterung
Wie sicher ist eine AWS-PrivateLink-Verbindung?
Die Sicherheit von AWS PrivateLink hängt von drei Faktoren ab: dem Pfad, den Richtlinien und der Art der Kommunikation.
Der Pfad zwischen einem VPC-Endpunkt und einem Service bleibt innerhalb von AWS und durchquert nicht das Internet. Es bleibt daher außerhalb der Reichweite von Internetverstößen.
Wenn Sie VPC-Endpunkte mit AWS-Services verwenden, können Sie auch Endpunktrichtlinien erstellen, die den Zugriff auf Anfragen einschränken, die vom VPC-Endpunkt kommen.
PrivateLink bietet standardmäßig keine Verschlüsselung für Daten während der Übertragung. Der Verbraucher des Service initiiert den Service immer (es handelt sich um einen Einweg-Service) und der Service-Anbieter stellt den Service nur für Kunden auf der Whitelist bereit.
Kann ich Sicherheitsgruppen VPC-Endpunkten zuordnen?
Ja. Sie können Sicherheitsgruppen VPC-Endpunkten zuordnen.
Weitere Fragen
Kann ich AWS PrivateLink mit der AWS-Managementkonsole steuern und verwalten?
Ja. Mit der AWS-Managementkonsole können Sie Amazon-VPC-Elemente wie VPC-Endpunkte und AWS-PrivateLink-Verbindungen verwalten.
Kann ich AWS-Support mit VPC-Endpunkten und AWS PrivateLink erhalten?
Ja. Klicken Sie hier, um weitere Informationen über den AWS Support zu erhalten.
Welche Amazon CloudWatch-Metriken sind für den schnittstellenbasierten VPC-Endpunkt verfügbar?
Derzeit ist keine Amazon CloudWatch-Metrik für den schnittstellenbasierten VPC-Endpunkt verfügbar.