- Kết nối mạng và phân phối nội dung›
- AWS PrivateLink›
- Câu hỏi thường gặp
Câu hỏi thường gặp về AWS PrivateLink
Các câu hỏi chung
AWS PrivateLink là gì?
AWS PrivateLink cho phép người dùng truy cập các dịch vụ và tài nguyên được lưu trữ trên AWS với độ sẵn sàng cao và có quy mô linh hoạt, đồng thời giữ tất cả lưu lượng truy cập mạng trong mạng AWS. Người dùng có thể truy cập riêng các dịch vụ và tài nguyên từ đám mây riêng ảo (VPC) của Amazon hoặc truy cập tại chỗ mà không cần sử dụng IP công cộng và không yêu cầu lưu lượng truy cập đi qua internet. Chủ sở hữu dịch vụ có thể đăng ký Bộ cân bằng tải mạng của họ với các dịch vụ PrivateLink nhằm cung cấp dịch vụ của họ cho các khách hàng AWS khác. Chủ sở hữu tài nguyên có thể chia sẻ tài nguyên của họ trực tiếp mà không cần sử dụng Bộ cân bằng tải mạng.
Làm thế nào để sử dụng PrivateLink?
Là người dùng, bạn sẽ cần tạo các điểm cuối VPC (do PrivateLink cung cấp) để truy cập các dịch vụ và tài nguyên. Các điểm cuối VPC này sẽ xuất hiện dưới dạng giao diện mạng linh hoạt với các IP riêng trong VPC của bạn. Sau khi đã tạo xong các điểm cuối này, mọi lưu lượng truy cập có đích đến là các IP này sẽ được định tuyến riêng đến các dịch vụ hoặc tài nguyên tương ứng.
Là chủ sở hữu dịch vụ, bạn có thể tích hợp dịch vụ của mình vào AWS PrivateLink bằng cách thiết lập Bộ cân bằng tải mạng để giới thiệu dịch vụ của bạn và tạo dịch vụ PrivateLink để đăng ký với Bộ cân bằng tải mạng. Khách hàng của bạn sẽ có thể thiết lập các điểm cuối trong VPC của họ để kết nối với dịch vụ của bạn sau khi bạn đưa tài khoản và vai trò IAM của họ vào danh sách cho phép.
PrivateLink có được kích hoạt bởi một loại điểm cuối cụ thể không?
Điểm cuối VPC cho phép bạn kết nối riêng tư VPC của mình với các dịch vụ và tài nguyên được lưu trữ trên AWS mà không cần cổng Internet, thiết bị NAT, VPN hoặc proxy tường lửa. Điểm cuối VPC là các thiết bị ảo có độ sẵn sàng cao và có thể điều chỉnh quy mô theo chiều ngang, cho phép giao tiếp giữa các phiên bản trong VPC của bạn và các dịch vụ/tài nguyên. Amazon VPC cung cấp năm loại điểm cuối VPC khác nhau: điểm cuối cổng, điểm cuối giao diện, điểm cuối bộ cân bằng tải cổng, điểm cuối tài nguyên và điểm cuối mạng dịch vụ. Tất cả các loại điểm cuối VPC đều do PrivateLink cung cấp, ngoại trừ điểm cuối cổng.
Các điểm cuối giao diện cung cấp khả năng kết nối riêng tư đến các dịch vụ do PrivateLink cung cấp. Các dịch vụ này có thể là dịch vụ của AWS, dịch vụ của riêng bạn hoặc các giải pháp phần mềm dưới dạng dịch vụ (SaaS). Các điểm cuối giao diện cũng hỗ trợ kết nối qua AWS Direct Connect và VPN.
Điểm cuối cổng chỉ được cung cấp cho các dịch vụ AWS bao gồm Amazon S3 và Amazon DynamoDB, đồng thời không được bật PrivateLink. Các điểm cuối này sẽ thêm một mục nhập vào bảng định tuyến do bạn chọn và định tuyến lưu lượng truy cập đến các dịch vụ được hỗ trợ thông qua mạng riêng của Amazon.
Các điểm cuối bộ cân bằng tải cổng cung cấp khả năng kết nối riêng cho các thiết bị mà bộ cân bằng tải cổng hỗ trợ.
Các điểm cuối tài nguyên cung cấp khả năng kết nối riêng với các tài nguyên VPC không yêu cầu cân bằng tải, chẳng hạn như cơ sở dữ liệu, cụm, mục tiêu tên miền và địa chỉ IP. Chúng hỗ trợ kết nối qua AWS Direct Connect và VPN.
Điểm cuối mạng dịch vụ cho phép bạn kết nối riêng với các dịch vụ và tài nguyên nằm trong mạng dịch vụ Amazon VPC Lattice. Chúng cho phép bạn truy cập nhiều dịch vụ và tài nguyên thông qua một điểm cuối VPC duy nhất. Chúng cũng hỗ trợ kết nối qua AWS Direct Connect và VPN. Vui lòng tham khảo Định giá AWS PrivateLink để biết định giá điểm cuối VPC.
Lợi ích của việc sử dụng điểm cuối VPC với AWS PrivateLink là gì?
Các điểm cuối VPC cung cấp phương thức truy cập bảo mật vào một dịch vụ hoặc tài nguyên cụ thể, đi kèm là một số lợi ích cho người dùng cuối:
- Các điểm cuối VPC cung cấp phương thức truy cập vào một dịch vụ hoặc tài nguyên cụ thể mà không cần sử dụng bất kỳ cổng nào khác, tức là không cần sử dụng cổng Internet, cổng NAT, kết nối VPN hay kết nối ngang hàng VPC, qua đó giảm rủi ro trong việc để lộ tài nguyên của bạn với Internet hoặc các mạng bên ngoài khác.
- Lưu lượng truy cập của bạn được giữ lại bên trong mạng riêng của Amazon, giúp giảm rủi ro trong việc để lộ lưu lượng truy cập của bạn với internet.
- Khi truy cập các dịch vụ của Amazon qua các điểm cuối VPC, bạn có thể hạn chế quyền truy cập thông qua điểm cuối VPC đối với các người dùng, hành động và/hoặc tài nguyên cụ thể.
- Bạn có thể giới hạn quyền truy cập vào tài nguyên do dịch vụ Amazon cung cấp đối với lưu lượng truy cập có nguồn gốc từ một VPC cụ thể hoặc thông qua một điểm cuối VPC cụ thể.
Tôi có thể truy cập riêng các dịch vụ và tài nguyên qua AWS Direct Connect bằng AWS PrivateLink không?
Có. Ứng dụng trong môi trường tại chỗ của bạn có thể kết nối với các điểm cuối VPC trong Amazon VPC qua AWS Direct Connect. Các điểm cuối VPC sẽ tự động điều hướng lưu lượng truy cập đến các dịch vụ do AWS PrivateLink cung cấp.
Làm cách nào để tôi biết được những dịch vụ và tài nguyên nào được cung cấp hiện nay?
Bạn có thể tìm kiếm các dịch vụ và tài nguyên được cung cấp bằng bảng điều khiển VPC hoặc AWS CLI/SDK. Sau đó, bạn có thể truy cập dịch vụ, tài nguyên hoặc mạng dịch vụ thông qua các điểm cuối VPC.
Làm cách nào để tạo tài nguyên có thể truy cập qua PrivateLink?
Bạn có thể tạo tài nguyên bằng cách xác định cấu hình tài nguyên trong VPC Lattice. Là chủ sở hữu tài nguyên, bạn có thể tích hợp tài nguyên của mình vào AWS PrivateLink bằng cách tạo cấu hình tài nguyên có danh sách tài nguyên. Khách hàng của bạn sẽ có thể thiết lập các điểm cuối trong VPC của họ để kết nối với (các) tài nguyên của bạn sau khi bạn chia sẻ cấu hình tài nguyên này với tài khoản của họ bằng AWS Resource Access Manager (RAM).
Các điểm cuối loại Bộ cân bằng tải cổng có thể cung cấp khả năng kết nối riêng cho các thiết bị mà Bộ cân bằng tải cổng hỗ trợ không?
Các điểm cuối tài nguyên cung cấp khả năng kết nối riêng với các tài nguyên VPC không yêu cầu cân bằng tải, chẳng hạn như cơ sở dữ liệu, cụm, mục tiêu tên miền và địa chỉ IP. Chúng hỗ trợ kết nối qua AWS Direct Connect và VPN.
Điểm cuối mạng dịch vụ cho phép bạn kết nối riêng với các dịch vụ và tài nguyên nằm trong mạng dịch vụ VPC Lattice. Chúng cho phép bạn truy cập nhiều dịch vụ và tài nguyên thông qua một điểm cuối VPC duy nhất. Chúng cũng hỗ trợ kết nối qua AWS Direct Connect và VPN. Vui lòng tham khảo Định giá VPC để biết định giá điểm cuối VPC.
Tính phí
Tôi sẽ được tính phí và xuất hóa đơn như thế nào cho việc sử dụng AWS PrivateLink?
Biểu giá cho PrivateLink có thông tin về phí và thanh toán. Nếu bạn chọn tạo điểm cuối VPC giao diện hoặc bộ cân bằng tải cổng trong VPC của mình, bạn sẽ bị tính phí theo mỗi giờ cung cấp điểm cuối VPC ở mỗi Vùng sẵn sàng. Nếu bạn chọn tạo điểm cuối VPC tài nguyên trong VPC của mình, bạn sẽ bị tính phí theo mỗi giờ, bất kể số giờ cung cấp điểm cuối VPC ở các Vùng sẵn sàng. Phí xử lý dữ liệu áp dụng với từng gigabyte được xử lý qua điểm cuối VPC, bất kể nguồn hay đích đến của lưu lượng. Mỗi khoảng thời gian cung cấp điểm cuối VPC không đủ một giờ sẽ được tính phí tròn một giờ. Nếu bạn không còn muốn trả phí cho điểm cuối VPC, hãy xóa điểm cuối VPC của mình bằng cách sử dụng Bảng điều khiển quản lý AWS, giao diện dòng lệnh (CLI) hoặc API.
Các mức giá của bạn đã bao gồm thuế chưa?
Trừ khi có ghi chú khác, các mức giá của chúng tôi chưa bao gồm các loại thuế hiện hành, bao gồm cả thuế GTGT và thuế doanh thu hiện hành. Đối với khách hàng có địa chỉ ghi hóa đơn ở Nhật Bản, việc sử dụng dịch vụ AWS sẽ tuân thủ Thuế tiêu thụ của Nhật Bản.
Tìm hiểu thêm
Khả năng kết nối
AWS PrivateLink có khả năng điều chỉnh quy mô ra sao?
Mặc dù kết nối ngang hàng VPC được giới hạn ở mức 125 kết nối VPC, AWS PrivateLink hầu như có khả năng điều chỉnh quy mô vô hạn. Mỗi điểm cuối VPC kết nối các phiên bản Amazon Elastic Compute Cloud (Amazon EC2) trong VPC với một dịch vụ, tài nguyên hoặc mạng dịch vụ cụ thể. Bạn có thể thêm nhiều điểm cuối tùy theo nhu cầu của mình, điều này phụ thuộc vào số lượng VPC, tài nguyên và dịch vụ mà bạn cần kết nối.
Tôi có thể tạo bao nhiêu điểm cuối VPC cho mỗi VPC?
Đáp: Bạn có thể tạo tối đa 100 điểm cuối VPC cho mỗi VPC. Nếu bạn cần nhiều hơn con số này, hãy liên hệ với chúng tôi và chúng tôi sẽ cùng bạn tìm ra giải pháp.
Làm cách nào để sử dụng AWS PrivateLink và các điểm cuối VPC?
Bạn có thể tạo một điểm cuối VPC trong VPC của mình và chỉ định dịch vụ, tài nguyên hoặc mạng dịch vụ bạn muốn sử dụng. Điểm cuối VPC có tên DNS phân giải thành địa chỉ IP cục bộ trong VPC của bạn. Khi bạn định tuyến lưu lượng truy cập đến các tên DNS này, lưu lượng truy cập được định tuyến qua điểm cuối VPC đến một dịch vụ hoặc tài nguyên, có thể là trên nhiều tài khoản.
Tôi có thể sử dụng bao nhiêu băng thông qua một điểm cuối VPC?
Theo mặc định, mỗi điểm cuối VPC có thể hỗ trợ băng thông liên tục 10 Gbps cho mỗi Vùng sẵn sàng, sau đó dung lượng bổ sung được thêm tự động đến tối đa 100 Gbps. Việc điều chỉnh quy mô điểm cuối được quản lý toàn phần nhằm đảm bảo lưu lượng truy cập đến điểm cuối của bạn không bị ảnh hưởng.
Tôi có thể kết nối nhiều dịch vụ hoặc tài nguyên chỉ bằng một điểm cuối VPC không?
Điểm cuối VPC cổng, giao diện, bộ cân bằng tải cổng và tài nguyên kết nối với một dịch vụ hoặc tài nguyên điểm cuối duy nhất. Điểm cuối mạng dịch vụ VPC kết nối với một mạng dịch vụ, có thể được liên kết với nhiều tài nguyên và dịch vụ VPC Lattice.
Vì các điểm cuối VPC có tên DNS riêng, tôi có cần cập nhật mã để bắt đầu sử dụng điểm cuối VPC không?
Nếu bạn đang sử dụng phiên bản AWS CLI/SDK mới nhất, bạn không cần cập nhật mã của mình. CLI/SDK sẽ tự động tìm các điểm cuối VPC của bạn và sử dụng chúng theo mặc định. Nếu bạn đang sử dụng phiên bản CLI/SDK cũ, bạn sẽ cần chỉ định tên DNS làm tham số điểm cuối trong CLI/SDK. Nếu bạn cần chỉ định điểm cuối, bạn có thể tìm tên DNS bằng cách truy vấn dịch vụ siêu dữ liệu EC2.
Tôi có thể sử dụng điểm cuối công khai (tên DNS) của một dịch vụ để truy cập vào các điểm cuối VPC của mình không?
Không, chúng tôi có thể hỗ trợ việc này trong các bản cập nhật trong tương lai, nhưng hiện tại chúng tôi chỉ hỗ trợ tên điểm cuối riêng tư.
Tôi có thể truy cập vào các điểm cuối VPC từ mạng tại chỗ qua Direct Connect không?
Có, bạn có thể truy cập vào các điểm cuối VPC qua Direct Connect. Bản ghi DNS của điểm cuối VPC có thể phân giải công khai, nhưng sẽ trả về địa chỉ IP riêng trong VPC được liên kết.
Bảo mật và lọc
Kết nối AWS PrivateLink an toàn ra sao?
Tính bảo mật của AWS PrivateLink phụ thuộc vào ba yếu tố: đường dẫn, chính sách và phương thức giao tiếp.
Đường dẫn giữa điểm cuối VPC và dịch vụ vẫn nằm trong AWS và không truyền qua Internet. Do đó, đường dẫn này nằm ngoài phạm vi của các hành động xâm phạm Internet.
Khi sử dụng điểm cuối VPC với các dịch vụ AWS, bạn cũng có thể tạo các chính sách cho điểm cuối nhằm hạn chế quyền truy cập vào các yêu cầu đến điểm cuối VPC.
Theo mặc định, PrivateLink không cung cấp bất kỳ mã hóa nào cho dữ liệu đang được truyền. Người dùng dịch vụ luôn khởi chạy dịch vụ này (dịch vụ một chiều) và nhà cung cấp dịch vụ chỉ cung cấp dịch vụ cho những khách hàng có trongdanh sách cho phép.
Tôi có thể liên kết các nhóm bảo mật với điểm cuối VPC không?
Có. Bạn có thể liên kết các nhóm bảo mật với các điểm cuối VPC.
Câu hỏi khác
Tôi có thể sử dụng Bảng điều khiển quản lý AWS để kiểm soát và quản lý AWS PrivateLink không?
Có. Bạn có thể sử dụng Bảng điều khiển quản lý AWS để quản lý các đối tượng Amazon VPC như điểm cuối VPC và kết nối AWS PrivateLink.
Tôi có thể nhận được Hỗ trợ AWS với các điểm cuối VPC và AWS PrivateLink không?
Có. Hãy nhấp vào đây để biết thêm thông tin về Hỗ trợ AWS.
Có các chỉ số Amazon CloudWatch cho Điểm cuối VPC không?
Chỉ số Amazon CloudWatch được cung cấp cho các điểm cuối VPC thuộc loại “giao diện” và “bộ cân bằng tải cổng”.