Perguntas frequentes sobre o AWS PrivateLink

O AWS PrivateLink permite que os usuários acessem serviços e recursos hospedados na AWS de forma altamente disponível e escalável enquanto mantém todo o tráfego de rede dentro da rede da AWS. Os usuários podem acessar com privacidade serviços e recursos da Amazon Virtual Private Cloud (VPC) ou on-premises, sem IPs públicos e sem precisar que o tráfego atravesse a internet. Os proprietários de serviços podem registrar seus Network Load Balancers em serviços do PrivateLink para oferecer os serviços a outros clientes da AWS. Os proprietários de recursos podem compartilhá-los diretamente sem usar Network Load Balancers.

Como usuário, você precisará criar endpoints da VPC (fornecidos pelo PrivateLink) para acessar serviços e recursos. Esses endpoints da VPC serão exibidos como interfaces de rede elástica com IP privados nas VPC. Após a criação desses endpoints, todo o tráfego destinado a esses IP será roteado de modo privado para os serviços e recursos correspondentes.

Como proprietário de serviços, você pode integrar seu serviço ao AWS PrivateLink estabelecendo um Network Load Balancer na frente do seu serviço e criando um serviço do PrivateLink para registro no Network Load Balancer. Os clientes poderão estabelecer endpoints na VPC para se conectar ao seu serviço depois que você autorizar as contas e os perfis do IAM deles.

Os endpoints da VPC permitem que você conecte de forma privada uma VPC a serviços e recursos hospedados na AWS, sem exigir um gateway da internet, um dispositivo NAT, uma VPN ou proxies de firewall. Os endpoints da VPC são dispositivos virtuais com escalabilidade horizontal e alta disponibilidade que permitem a comunicação entre instâncias nos serviços e recursos da VPC. A Amazon VPC oferece cinco tipos diferentes de endpoints da VPC: endpoint de gateway, endpoints de interface, endpoint do tipo Gateway Load Balancer, endpoint de recursos e endpoint de rede de serviços. Todos os tipos de endpoint da VPC, exceto o endpoint de gateway, são fornecidos pelo PrivateLink.

Os endpoints de interface fornecem conectividade privada a serviços do PrivateLink. Esses serviços podem ser serviços da AWS, seus próprios serviços ou soluções de software como serviço (SaaS). Os endpoints de interface também oferecem suporte à conectividade por meio do AWS Direct Connect e da VPN.

Os endpoints de gateway estão disponíveis apenas para produtos da AWS, incluindo o Amazon S3 e o Amazon DynamoDB, e não habilitam o PrivateLink. Esses endpoints adicionam uma entrada à tabela de rotas selecionada e roteiam o tráfego aos serviços com suporte por meio da rede privada da Amazon.

Os endpoints do tipo Gateway Load Balancer fornecem conectividade privada a dispositivos gerenciados por um balanceador de carga de gateway.

Os endpoints de recursos fornecem conectividade privada aos recursos da VPC, como bancos de dados, clusters, destinos de nomes de domínio e endereços IP, que não exigem balanceamento de carga. Eles oferecem suporte à conectividade por meio do AWS Direct Connect e da VPN.

Os endpoints da rede de serviços permitem que você se conecte de forma privada a serviços e recursos em uma rede de serviços do Amazon VPC Lattice. Eles permitem acessar vários serviços e recursos por meio de um único endpoint da VPC. Eles também oferecem suporte à conectividade por meio do AWS Direct Connect e da VPN. Consulte os preços do AWS PrivateLink para saber os preços dos endpoints da VPC.

Os endpoints da VPC fornecem acesso seguro a um serviço ou recurso específico, com vários benefícios ao usuário final:

• Os endpoints da VPC fornecem acesso a um serviço ou recurso específico sem que você precise usar outros gateways. Ou seja, não é preciso usar um gateway da internet, um gateway NAT, uma conexão VPN ou uma conexão de emparelhamento da VPC, o que reduz os riscos de exposição de recursos à internet ou a outras redes externas.
• O tráfego permanece na rede privada da Amazon, reduzindo o risco de exposição do tráfego à internet.
• Ao acessar serviços da Amazon usando endpoints da VPC, você pode restringir o acesso a usuários, ações e recursos específicos por meio de um endpoint da VPC.
• É possível limitar o acesso aos recursos fornecidos por um serviço da Amazon para apenas o tráfego proveniente de uma VPC específica ou por meio de um endpoint específico da VPC.

Sim. A aplicação nas instalações pode se conectar aos endpoints da VPC na Amazon VPC por meio do AWS Direct Connect. Os endpoints da VPC direcionarão automaticamente o tráfego aos serviços fornecidos pelo AWS PrivateLink.

Você pode pesquisar os serviços e recursos disponíveis usando o console da VPC ou o AWS CLI ou SDK. Depois, você pode acessar um serviço, recurso ou rede de serviços por meio de endpoints da VPC.

Você pode criar um recurso definindo uma configuração de recursos no Amazon VPC Lattice. Como proprietário do recurso, você pode integrá-lo ao PrivateLink criando uma configuração de recursos que tenha uma lista deles. Seus clientes poderão estabelecer endpoints na VPC para se conectar aos seus recursos depois que você compartilhar essa configuração de recursos com as contas deles usando o AWS Resource Access Manager (RAM).

Os endpoints de recursos fornecem conectividade privada aos recursos da VPC, como bancos de dados, clusters, destinos de nomes de domínio e endereços IP, que não exigem balanceamento de carga. Eles oferecem suporte à conectividade por meio do AWS Direct Connect e da VPN.

Os endpoints da rede de serviços permitem que você se conecte de forma privada a serviços e recursos em uma rede de serviços do VPC Lattice. Eles permitem acessar vários serviços e recursos por meio de um único endpoint da VPC. Eles também oferecem suporte à conectividade por meio do AWS Direct Connect e da VPN. Consulte os preços da VPC para ver os preços do VPC endpoint.

A tabela de preços do PrivateLink contém informações sobre cobranças e cobranças. Se você decidir criar uma interface ou um endpoint de VPC de Gateway Load Balancer na sua VPC, a cobrança será feita por cada hora em que o endpoint da VPC for provisionado em cada zona de disponibilidade. Se você decidir criar um endpoint da VPC de recurso na sua VPC, a cobrança será feita por cada hora, independentemente do número de zonas de disponibilidade em que o endpoint da VPC esteja provisionado. As cobranças por processamento de dados se aplicam a cada gigabyte processado por meio dos endpoints da VPC, independentemente da origem ou do destino do tráfego. Cada fração de hora de endpoint da VPC consumida é cobrada como uma hora completa. Se você não quiser mais ser cobrado por um VPC endpoint, exclua seus VPC endpoints usando o Console de Gerenciamento da AWS, a interface de linha de comando (ILC) ou a API.

Salvo indicação em contrário, nossos preços excluem impostos e taxas aplicáveis, incluindo o IVA e o imposto de vendas aplicável. Para clientes com endereço de pagamento no Japão, o uso da AWS está sujeito ao imposto sobre consumo japonês.

Saiba mais

Embora o emparelhamento de VPC seja limitado a 125 conexões de VPC, o AWS PrivateLink tem escala praticamente ilimitada. Cada endpoint da VPC conecta instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma VPC a um serviço, recurso ou rede de serviços específicos. Você pode adicionar quantos endpoints precisar, dependendo do número de VPC, recursos e serviços aos quais precisa se conectar.

R: Você pode criar até cem endpoints da VPC por VPC. Se precisar de mais do que isso, fale conosco para fornecermos uma solução para você.

Você pode criar um endpoint da VPC na sua VPC e especificar o serviço, o recurso ou a rede de serviços que deseja usar. O endpoint da VPC tem nomes do DNS que conseguem acessar os endereços IP locais da sua VPC. Ao rotear o tráfego para esses nomes do DNS, o tráfego é roteado pelo endpoint da VPC para um serviço ou recurso, que pode estar entre contas.

Por padrão, cada endpoint da VPC oferece suporte a largura de banda contínua de 10 Gbps por zona de disponibilidade, após o qual a capacidade adicional será adicionada automaticamente até 100 Gbps. A escalabilidade do endpoint é totalmente gerenciada para garantir que o tráfego para o endpoint não seja afetado.

Os endpoints da VPC de gateway, interface, Gateway Load Balancer e recursos se conectam a um único serviço ou recurso de endpoint. Os endpoints da rede de serviços de VPC se conectam a uma rede de serviços, que pode ser associada a vários recursos e serviços VPC Lattice.

Se você estiver usando a versão mais recente da AWS CLI ou do SDK, não precisará atualizar o código. A CLI ou o SDK descobrirão automaticamente os endpoints da VPC e os usarão por padrão. Se você estiver usando CLI ou SDKs mais antigos, precisará especificar o nome do DNS como parâmetro de endpoint na CLI ou no SDK. Se precisar especificar o endpoint, consulte o serviço de metadados do EC2 para descobrir o nome do DNS.

Não. Podemos oferecer suporte esse recurso em atualizações futuras, mas atualmente só oferecemos suporte a nomes de endpoints privados.

Sim, você pode acessar os endpoints da VPC pelo Direct Connect. Os registros DNS de um endpoint da VPC podem ser resolvidos publicamente, mas retornarão o endereço IP privado dentro da VPC associada.

A segurança do AWS PrivateLink depende de três fatores: o caminho, as políticas e o modo de comunicação.

O caminho entre um endpoint da VPC e um serviço permanece na AWS e não atravessa a internet. Portanto, ele permanece fora do alcance das violações da Internet.

Ao usar os endpoints da VPC com os produtos da AWS, você também pode criar políticas de endpoint, que restringem o acesso às solicitações que chegam ao endpoint da VPC.

Por padrão, o PrivateLink não fornece criptografia para dados em trânsito. O consumidor do serviço sempre inicia o serviço (serviço unidirecional) e permite o fornecimento de serviços do provedor apenas aos clientes permitidos.

Sim. Você pode associar grupos de segurança a endpoints da VPC.

Sim. Você pode usar o Console de Gerenciamento da AWS para gerenciar objetos da VPC da Amazon, como endpoints da VPC e conexões do AWS PrivateLink.

Sim. Clique aqui para obter mais informações sobre o AWS Support.

As métricas do Amazon CloudWatch estão disponíveis para endpoints da VPC do tipo “interface” e “balanceador de carga de gateway”.