Вопросы и ответы для AWS PrivateLink

С помощью AWS PrivateLink клиенты получают доступ к сервисам и ресурсам, размещенным на AWS, с обеспечением высокой доступности и масштабируемости, при этом весь сетевой трафик остается в пределах сети AWS. Пользователи могут получать частный доступ к сервисам и ресурсам из Amazon Virtual Private Cloud (Amazon VPC) или локального центра обработки данных без необходимости использовать публичные IP‑адреса и передавать трафик через Интернет. Владельцы сервисов могут зарегистрировать свои Балансировщики сетевой нагрузки в сервисах PrivateLink и предоставлять эти сервисы другим клиентам AWS. Владельцы ресурсов могут напрямую предоставлять доступ к своим ресурсам без использования балансировщиков сетевой нагрузки.

Вам потребуется создать адреса VPC (на базе PrivateLink) для доступа к сервисам и ресурсам. Эти адреса VPC будут отображаться в виде эластичных сетевых интерфейсов с частными IP‑адресами в соответствующих облаках VPC. После создания адресов любой трафик, предназначенный для этих IP‑адресов, будет перенаправляться через частное подключение в соответствующие сервисы или ресурсы.

Вы можете подключить свой сервис к AWS PrivateLink. Для этого нужно установить Балансировщик сетевой нагрузки, создать сервис PrivateLink и зарегистрировать его на таком Балансировщике сетевой нагрузки. Чтобы клиенты могли подключаться к вашему сервису, им нужно будет установить адреса в своих VPC, а вам — внести в список разрешенных их аккаунты и роли IAM.

Адреса VPC обеспечивают частное подключение облака VPC к сервисам и ресурсам, размещенным на AWS, без необходимости использования шлюза Интернета, устройства NAT, VPN или прокси‑серверов брандмауэра. Адреса VPC — это горизонтально масштабируемые виртуальные устройства с высокой доступностью, которые обеспечивают взаимодействие между инстансами в облаке VPC и сервисами/ресурсами Amazon VPC включает пять различных типов адресов VPC: адрес шлюза, адрес интерфейса, адрес типа «балансировщик нагрузки шлюза», адрес ресурса и адрес сервисной сети. Все типы адресов VPC, кроме адресов шлюзов, работают на базе PrivateLink.

Адреса интерфейса обеспечивают частное подключение к сервисам на базе PrivateLink. Такими сервисами могут быть сервисы AWS, ваши собственные сервисы или программное обеспечение как услуга (SaaS). Адреса интерфейса также поддерживают подключение через AWS Direct Connect и VPN.

Адреса шлюза доступны только для сервисов AWS, включая Amazon S3 и Amazon DynamoDB, и не поддерживают PrivateLink. Такие адреса добавляют запись в выбранную таблицу маршрутизации и направляют трафик в поддерживаемые сервисы через частную сеть Amazon.

Адреса типа «балансировщик нагрузки шлюза» обеспечивают частное подключение к устройствам, обслуживаемым балансировщиком нагрузки шлюза.

Адреса ресурсов обеспечивают частное подключение к ресурсам VPC, таким как базы данных, кластеры, целевые объекты доменных имен и IP-адреса, которые не требуют балансировки нагрузки. Они поддерживают подключение через AWS Direct Connect и VPN.

Адреса сервисной сети обеспечивают частное подключение к сервисам и ресурсам, входящим в служебную сеть Amazon VPC Lattice. Они позволяют получить доступ к нескольким сервисам и ресурсам через один адрес VPC. Они также поддерживают подключение через AWS Direct Connect и VPN. Цены на адреса VPC приведены в разделе Цены на AWS PrivateLink.

Адреса VPC обеспечивают безопасный доступ к конкретному сервису или ресурсу с рядом преимуществ для конечного пользователя.

• Адреса VPC предоставляют доступ к сервису или ресурсу без необходимости использования других шлюзов, таких как шлюз Интернета, шлюз NAT, VPN-соединение или пиринговое соединение VPC, что снижает риск для ваших ресурсов в Интернете или других внешних сетях.
• Ваш трафик остается в частной сети Amazon, таким образом снижается риск несанкционированного доступа через Интернет.
• При доступе к сервисам Amazon через адреса VPC вы можете ограничить доступ через адрес VPC для выбранных пользователей, действий и (или) ресурсов.
• Доступ к ресурсам, предоставляемым сервисом Amazon, можно ограничить трафиком, исходящим из определенного VPC, или через определенный адрес VPC.

Да. Приложение, работающее в локальной сети, может подключаться к адресам VPC в Amazon VPC через AWS Direct Connect. Адреса VPC автоматически направляют трафик в сервисы, работающие на основе AWS PrivateLink.

Доступные сервисы и ресурсы можно искать с помощью консоли VPC или AWS CLI/SDK. Затем можно получить доступ к сервису, ресурсу или сервисной сети через адреса VPC.

Ресурс можно создать, задав конфигурацию ресурса в Amazon VPC Lattice. Как владелец ресурса, вы можете подключить свой ресурс к PrivateLink, создав конфигурацию ресурса со списком ресурсов. Ваши клиенты смогут создавать адреса в своем облаке VPC для подключения к вашим ресурсам после того, как вы предоставите их аккаунтам доступ к этой конфигурацией ресурса с помощью Диспетчера доступа к ресурсам AWS (RAM).

Адреса ресурсов обеспечивают частное подключение к ресурсам VPC, таким как базы данных, кластеры, целевые объекты доменных имен и IP-адреса, которые не требуют балансировки нагрузки. Они поддерживают подключение через AWS Direct Connect и VPN.

Адреса сервисной сети обеспечивают частное подключение к сервисам и ресурсам, входящим в служебную сеть VPC Lattice. Они позволяют получить доступ к нескольким сервисам и ресурсам через один адрес VPC. Они также поддерживают подключение через AWS Direct Connect и VPN. Цены на конечные точки VPC см. в разделе Цены на VPC.

В тарифном плане PrivateLink содержится информация о платежах и счетах. Если вы решите создать в VPC адрес VPC типа «интерфейс» или «балансировщик нагрузки шлюза», плата будет начисляться за каждый час, в течение которого этот адрес VPC остается выделенным в каждой зоне доступности. Если вы решили создать в VPC адрес VPC типа «ресурс», плата будет взиматься за каждый час независимо от количества зон доступности, в которых находится ваш адрес VPC. Плата за обработку данных начисляется за каждый гигабайт данных, переданный через адреса VPC, независимо от источника или места назначения трафика. Каждый неполный час работы адреса VPC оплачивается как полный. Если вы больше не хотите платить за конечные точки VPC, удалите их с помощью Консоли управления AWS, интерфейса командной строки (CLI) или API.

Если не указано иное, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж. Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии.

Подробнее

В то время как пиринг VPC ограничен 125 VPC-подключениями, возможности масштабирования AWS PrivateLink практически не ограничены. Каждый адрес VPC соединяет инстансы Amazon Elastic Compute Cloud (Amazon EC2) в облаке VPC с определенным сервисом, ресурсом или сервисной сетью. Можно добавить столько адресов, сколько необходимо, в зависимости от количества облаков VPC, ресурсов и сервисов, к которым нужно подключиться.

Ответ. В каждом VPC можно создать до 100 адресов VPC. Чтобы получить дополнительное количество адресов, свяжитесь с нами, и мы вместе с вами найдем решение.

В облаке VPC можно создать адрес VPC и указать сервис, ресурс или сервисную сеть, которые необходимо использовать. Адрес VPC имеет DNS-имена, которые преобразуются в локальные IP-адреса в вашем VPC. При маршрутизации трафика на эти DNS-имена трафик направляется через адрес VPC к сервису или ресурсу, которые могут принадлежать разным аккаунтам.

Непрерывная пропускная способность каждого адреса VPC по умолчанию составляет 10 Гбит/с для каждой зоны доступности, после чего дополнительная пропускная способность будет добавляться автоматически в пределах 100 Гбит/с. Поскольку масштабирование адресов является полностью управляемым, трафик адреса не изменяется.

Шлюз, интерфейс, балансировщик нагрузки шлюза и адреса VPC с ресурсами подключаются к одному сервису или ресурсу адресов. Адреса VPC типа «сервисная сеть» подключается к сервисной сети, которая может быть связана с несколькими ресурсами и сервисами VPC Lattice.

Если вы используете последнюю версию AWS CLI/SDK, обновлять код не нужно. CLI/SDK автоматически обнаружит адреса VPC и будет использовать их по умолчанию. Если вы используете старую версию CLI/SDK, необходимо указать DNS-имя в качестве параметра адреса в CLI/SDK. Если вам нужно указать адрес, вы можете узнать имя DNS, отправив запрос в сервис метаданных EC2.

Нет, возможно, мы обеспечим поддержку этой функции в обновленных версиях, но в настоящее время мы поддерживаем только частные имена адресов.

Да, вы можете получить доступ к адресам VPC через Direct Connect. Записи DNS адреса VPC доступны для публичного разрешения, но они возвращают частный IP-адрес в соответствующем VPC.

Степень защиты AWS PrivateLink зависит от трех факторов: пути, политик и способа связи.

Трафик между адресом VPC и сервисом остается во внутренней сети AWS, не проходя через Интернет. Таким образом, возможность взломов в Интернете исключена.

При использовании адресов VPC с сервисами AWS можно также создать политики адресов, ограничивающие доступ к запросам, поступающим на адрес VPC.

PrivateLink по умолчанию не обеспечивает шифрование данных в движении. Потребитель сервиса всегда инициирует сервис (это односторонний сервис), и поставщик сервиса предоставляет сервис только разрешенным клиентам.

Да. Группы безопасности можно связать с адресами VPC.

Да. Консоль управления AWS можно использовать для управления объектами Amazon VPC, включая адреса VPC и подключения AWS PrivateLink.

Да. Нажмите здесь для получения дополнительной информации об AWS Support.

Метрики Amazon CloudWatch доступны для адресов VPC типа «интерфейс» и «балансировщик нагрузки шлюза».