- 網路和內容交付›
- AWS PrivateLink›
- 常見問答集
AWS PrivateLink 常見問答集
一般問題
全部開啟AWS PrivateLink 可讓使用者以高度可用和可擴展的方式存取 AWS 上託管的服務和資源,同時將所有網路流量保留在 AWS 網路內。使用者可從其 Amazon Virtual Private Cloud (VPC) 或內部部署,以私有方式存取服務和資源,無需使用公有 IP,流量也無需周遊網際網路。服務擁有者可以將他們的 Network Load Balancer 註冊到 PrivateLink 服務,以便將其服務提供給其他 AWS 客戶。資源擁有者可以直接共享其資源,而無需使用 Network Load Balancer。
作為使用者,您需要建立 VPC 端點 (採用 PrivateLink 技術) 才能存取服務和資源。這些 VPC 端點會顯示為彈性網路介面並包含您 VPC 的私有 IP。建立這些端點之後,傳送到這些 IP 的所有流量都會以私有方式路由到對應的服務或資源。
做為服務擁有者,您可以透過建立 Network Load Balancer 做為服務的前端,然後建立 PrivateLink 服務並註冊到 Network Load Balancer,即可將您的服務加入 AWS PrivateLink。將客戶的帳戶和 IAM 角色加入允許清單之後,他們就能在自己的 VPC 中建立端點以連接您的服務。
VPC 端點可讓您透過私有連線將 VPC 連接到 AWS 上託管的服務和資源,無需網際網路閘道、NAT 裝置、VPN 或防火牆代理。VPC 端點是具備水平可擴展性和高度可用性的虛擬裝置,允許 VPC 和服務/資源中執行個體之間的通訊。Amazon VPC 提供五種不同類型的 VPC 端點:閘道端點、介面端點、Gateway Load Balancer 端點、資源端點和服務網路端點。除閘道端點之外,所有 VPC 端點類型均採用 PrivateLink 技術。
介面端點提供私有連線至採用 PrivateLink 技術的服務。這些服務可能是 AWS 服務、您自己的服務或軟體即服務 (SaaS) 解決方案。介面端點還支援透過 AWS Direct Connect 和 VPN 進行的連線。
閘道端點僅適用於 Amazon S3 和 Amazon DynamoDB 等 AWS 服務,且無法啟用 PrivateLink。這些端點會將項目新增到您選擇的路由表,並透過 Amazon 的私有網路將流量路由至支援的服務。
Gateway Load Balancer 端點可提供私有連線至 Gateway Load Balancer 前端的設備。
資源端點可為 VPC 資源 (例如資料庫、叢集、網域名稱目標和 IP 位址) 提供私有連線,而這些資源不需要負載平衡。它們支援透過 AWS Direct Connect 和 VPN 進行的連線。
服務網路端點讓您能夠以私有方式連線至 Amazon VPC Lattice 服務網路中的服務和資源。它們可讓您透過單一 VPC 端點存取多個服務和資源。它們還支援透過 AWS Direct Connect 和 VPN 進行的連線。請參閱 AWS PrivateLink 定價,以了解 VPC 端點的定價。
VPC 端點提供對特定服務或資源的安全存取,並為最終使用者帶來多項優勢:
- VPC 端點提供對特定服務或資源的存取,而無需使用任何其他閘道,無需使用網際網路閘道、NAT 閘道、VPN 連線或 VPC 對等互連,從而降低資源暴露給網際網路或其他外部網路的風險。
- 您的流量保持在 Amazon 的私有網路內,從而降低流量暴露到網際網路的風險。
- 透過 VPC 端點存取 Amazon 服務時,您可以限制透過 VPC 端點對特定使用者、動作及/或資源的存取。
- 您可以將對 Amazon 服務所提供資源的存取,限於源自特定 VPC 或特定 VPC 端點的流量。
是。內部部署中的應用程式可透過 AWS Direct Connect 連接到 Amazon VPC 中的 VPC 端點。這些 VPC 端點會自動將流量導向採用 AWS PrivateLink 技術的服務。
您可以使用 VPC 主控台或 AWS CLI/SDK 搜尋可用的服務和資源。然後,您可以透過 VPC 端點存取服務、資源或服務網路。
您可以透過在 Amazon VPC Lattice 中定義資源組態來建立資源。身為資源擁有者,您可以建立包含資源清單的資源組態,將資源佈設到 PrivateLink。使用 AWS Resource Access Manager (RAM) 與他們的帳戶共享此資源組態之後,您的客戶將能夠在其 VPC 內建立端點以連線至您的資源。
資源端點可為 VPC 資源 (例如資料庫、叢集、網域名稱目標和 IP 位址) 提供私有連線,而這些資源不需要負載平衡。它們支援透過 AWS Direct Connect 和 VPN 進行的連線。
服務網路端點讓您能夠以私有方式連線至 VPC Lattice 服務網路中的服務和資源。它們可讓您透過單一 VPC 端點存取多個服務和資源。它們還支援透過 AWS Direct Connect 和 VPN 進行的連線。有關 VPC 端點定價,請參閱 VPC 定價。
計費
全部開啟PrivateLink 的定價表包含有關費用和帳單的信息。如果您選擇在 VPC 建立介面或 Gateway Load Balancer VPC 端點,會根據每個可用區域佈建的 VPC 端點依小時計費。如果您選擇在 VPC 建立資源 VPC 端點,則會依小時計費,而無論佈建 VPC 端點的可用區域數目。無論流量的來源或目的地為何,透過 VPC 端點處理的每個 GB 都按照資料處理的標準收費。執行未滿一小時的 VPC 端點時數按一小時計費。如果您不想再支付 VPC 端點的費用,可使用 AWS 管理主控台、命令列界面 (CLI) 或 API 刪除 VPC 端點。
除非另有說明,否則我們的價格不包括適用的稅金和稅收 (包括加值稅和適用的營業稅)。帳單地址在日本的客戶若使用 AWS 服務,則需負擔日本消費稅。
進一步了解
連線
全部開啟雖然 VPC 對等互連僅限於 125 個 VPC 連線,但 AWS PrivateLink 幾乎具有無限的擴展能力。每個 VPC 端點會將 VPC 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體連線至特定的服務、資源或服務網路。視乎您需要連線的 VPC、資源和服務數目,您可以根據需要新增任意數量的端點。
答:每個 VPC 最多可建立 100 個 VPC 端點。如果您需要更多,請與我們聯絡,我們將為您提供解決方案。
您可以在 VPC 中建立 VPC 端點,並指定要使用的服務、資源或服務網路。VPC 端點具有 DNS 名稱,可解析為 VPC 中的本機 IP 位址。當您將流量路由至這些 DNS 名稱時,流量會透過 VPC 端點路由到可跨帳戶的服務或資源。
依預設,每個可用區域每個 VPC 端點可支援 10 Gbps 的持續頻寬,之後會自動新增高達 100 Gbps 的額外容量。端點擴展為全受管,以確保到端點的流量不會受到影響。
閘道、介面、Gateway Load Balancer 和資源 VPC 端點會連線至單一端點服務或資源。VPC 服務網路端點會連線至服務網路,該網路可與多個資源和 VPC Lattice 服務關聯。
如果您使用最新版 AWS CLI/SDK,則無需更新程式碼。CLI/SDK 預設會自動探索您的 VPC 端點並使用它們。如果您使用舊版 CLI/SDK,需要在 CLI/SDK 中指定 DNS 名稱做為端點參數。如果您需要指定端點,可以查詢 EC2 中繼資料服務來探索 DNS 名稱。
否,我們可能會在未來的更新中支援此功能,但目前僅支援私有端點名稱。
是,您可以透過 Direct Connect 存取 VPC 端點。VPC 端點的 DNS 記錄可公開解析,但會傳回關聯 VPC 內的私人 IP 位址。
安全與篩選
全部開啟AWS PrivateLink 的安全性取決於三個因素:路徑、政策和通訊方式。
VPC 端點與服務之間的路徑會保留在 AWS 內,而不會遍歷網際網路。因此,它仍然遠離網際網路漏洞。
搭配 AWS 服務使用 VPC 端點時,您還可以建立端點政策,以限制存取來自 VPC 端點的請求。
PrivateLink 預設不會為傳輸中的資料提供任何加密。服務取用者始終會啟用服務 (這是單向服務),且服務供應商僅為允許清單客戶提供服務。
是。您可以將安全群組與 VPC 端點建立關聯。