Câu hỏi thường gặp về AWS PrivateLink

AWS PrivateLink cho phép người dùng truy cập các dịch vụ và tài nguyên được lưu trữ trên AWS với độ sẵn sàng cao và có quy mô linh hoạt, đồng thời giữ tất cả lưu lượng truy cập mạng trong mạng AWS. Người dùng có thể truy cập riêng các dịch vụ và tài nguyên từ đám mây riêng ảo (VPC) của Amazon hoặc truy cập tại chỗ mà không cần sử dụng IP công cộng và không yêu cầu lưu lượng truy cập đi qua internet. Chủ sở hữu dịch vụ có thể đăng ký Bộ cân bằng tải mạng của họ với các dịch vụ PrivateLink nhằm cung cấp dịch vụ của họ cho các khách hàng AWS khác. Chủ sở hữu tài nguyên có thể chia sẻ tài nguyên của họ trực tiếp mà không cần sử dụng Bộ cân bằng tải mạng.

Là người dùng, bạn sẽ cần tạo các điểm cuối VPC (do PrivateLink cung cấp) để truy cập các dịch vụ và tài nguyên. Các điểm cuối VPC này sẽ xuất hiện dưới dạng giao diện mạng linh hoạt với các IP riêng trong VPC của bạn. Sau khi đã tạo xong các điểm cuối này, mọi lưu lượng truy cập có đích đến là các IP này sẽ được định tuyến riêng đến các dịch vụ hoặc tài nguyên tương ứng.

Là chủ sở hữu dịch vụ, bạn có thể tích hợp dịch vụ của mình vào AWS PrivateLink bằng cách thiết lập Bộ cân bằng tải mạng để giới thiệu dịch vụ của bạn và tạo dịch vụ PrivateLink để đăng ký với Bộ cân bằng tải mạng. Khách hàng của bạn sẽ có thể thiết lập các điểm cuối trong VPC của họ để kết nối với dịch vụ của bạn sau khi bạn đưa tài khoản và vai trò IAM của họ vào danh sách cho phép.

Điểm cuối VPC cho phép bạn kết nối riêng tư VPC của mình với các dịch vụ và tài nguyên được lưu trữ trên AWS mà không cần cổng Internet, thiết bị NAT, VPN hoặc proxy tường lửa. Điểm cuối VPC là các thiết bị ảo có độ sẵn sàng cao và có thể điều chỉnh quy mô theo chiều ngang, cho phép giao tiếp giữa các phiên bản trong VPC của bạn và các dịch vụ/tài nguyên. Amazon VPC cung cấp năm loại điểm cuối VPC khác nhau: điểm cuối cổng, điểm cuối giao diện, điểm cuối bộ cân bằng tải cổng, điểm cuối tài nguyên và điểm cuối mạng dịch vụ. Tất cả các loại điểm cuối VPC đều do PrivateLink cung cấp, ngoại trừ điểm cuối cổng.

Các điểm cuối giao diện cung cấp khả năng kết nối riêng tư đến các dịch vụ do PrivateLink cung cấp. Các dịch vụ này có thể là dịch vụ của AWS, dịch vụ của riêng bạn hoặc các giải pháp phần mềm dưới dạng dịch vụ (SaaS). Các điểm cuối giao diện cũng hỗ trợ kết nối qua AWS Direct Connect và VPN.

Điểm cuối cổng chỉ được cung cấp cho các dịch vụ AWS bao gồm Amazon S3 và Amazon DynamoDB, đồng thời không được bật PrivateLink. Các điểm cuối này sẽ thêm một mục nhập vào bảng định tuyến do bạn chọn và định tuyến lưu lượng truy cập đến các dịch vụ được hỗ trợ thông qua mạng riêng của Amazon.

Các điểm cuối bộ cân bằng tải cổng cung cấp khả năng kết nối riêng cho các thiết bị mà bộ cân bằng tải cổng hỗ trợ.

Các điểm cuối tài nguyên cung cấp khả năng kết nối riêng với các tài nguyên VPC không yêu cầu cân bằng tải, chẳng hạn như cơ sở dữ liệu, cụm, mục tiêu tên miền và địa chỉ IP. Chúng hỗ trợ kết nối qua AWS Direct Connect và VPN.

Điểm cuối mạng dịch vụ cho phép bạn kết nối riêng với các dịch vụ và tài nguyên nằm trong mạng dịch vụ Amazon VPC Lattice. Chúng cho phép bạn truy cập nhiều dịch vụ và tài nguyên thông qua một điểm cuối VPC duy nhất. Chúng cũng hỗ trợ kết nối qua AWS Direct Connect và VPN. Vui lòng tham khảo Định giá AWS PrivateLink để biết định giá điểm cuối VPC.

Các điểm cuối VPC cung cấp phương thức truy cập bảo mật vào một dịch vụ hoặc tài nguyên cụ thể, đi kèm là một số lợi ích cho người dùng cuối:

• Các điểm cuối VPC cung cấp phương thức truy cập vào một dịch vụ hoặc tài nguyên cụ thể mà không cần sử dụng bất kỳ cổng nào khác, tức là không cần sử dụng cổng Internet, cổng NAT, kết nối VPN hay kết nối ngang hàng VPC, qua đó giảm rủi ro trong việc để lộ tài nguyên của bạn với Internet hoặc các mạng bên ngoài khác.
• Lưu lượng truy cập của bạn được giữ lại bên trong mạng riêng của Amazon, giúp giảm rủi ro trong việc để lộ lưu lượng truy cập của bạn với internet.
• Khi truy cập các dịch vụ của Amazon qua các điểm cuối VPC, bạn có thể hạn chế quyền truy cập thông qua điểm cuối VPC đối với các người dùng, hành động và/hoặc tài nguyên cụ thể.
• Bạn có thể giới hạn quyền truy cập vào tài nguyên do dịch vụ Amazon cung cấp đối với lưu lượng truy cập có nguồn gốc từ một VPC cụ thể hoặc thông qua một điểm cuối VPC cụ thể.

Có. Ứng dụng trong môi trường tại chỗ của bạn có thể kết nối với các điểm cuối VPC trong Amazon VPC qua AWS Direct Connect. Các điểm cuối VPC sẽ tự động điều hướng lưu lượng truy cập đến các dịch vụ do AWS PrivateLink cung cấp.

Bạn có thể tìm kiếm các dịch vụ và tài nguyên được cung cấp bằng bảng điều khiển VPC hoặc AWS CLI/SDK. Sau đó, bạn có thể truy cập dịch vụ, tài nguyên hoặc mạng dịch vụ thông qua các điểm cuối VPC.

Bạn có thể tạo tài nguyên bằng cách xác định cấu hình tài nguyên trong Amazon VPC Lattice. Là chủ sở hữu tài nguyên, bạn có thể tích hợp tài nguyên của mình vào PrivateLink bằng cách tạo cấu hình tài nguyên có danh sách tài nguyên. Khách hàng của bạn sẽ có thể thiết lập các điểm cuối trong VPC của họ để kết nối với (các) tài nguyên của bạn sau khi bạn chia sẻ cấu hình tài nguyên này với tài khoản của họ bằng AWS Resource Access Manager (RAM).

Các điểm cuối tài nguyên cung cấp khả năng kết nối riêng với các tài nguyên VPC không yêu cầu cân bằng tải, chẳng hạn như cơ sở dữ liệu, cụm, mục tiêu tên miền và địa chỉ IP. Chúng hỗ trợ kết nối qua AWS Direct Connect và VPN.

Điểm cuối mạng dịch vụ cho phép bạn kết nối riêng với các dịch vụ và tài nguyên nằm trong mạng dịch vụ VPC Lattice. Chúng cho phép bạn truy cập nhiều dịch vụ và tài nguyên thông qua một điểm cuối VPC duy nhất. Chúng cũng hỗ trợ kết nối qua AWS Direct Connect và VPN. Vui lòng tham khảo Giá VPC để biết giá điểm cuối VPC.

Bảng giá cho PrivateLink có thông tin về phí và thanh toán. Nếu bạn chọn tạo điểm cuối VPC giao diện hoặc bộ cân bằng tải cổng trong VPC của mình, bạn sẽ bị tính phí theo mỗi giờ cung cấp điểm cuối VPC ở mỗi Vùng sẵn sàng. Nếu bạn chọn tạo điểm cuối VPC tài nguyên trong VPC của mình, bạn sẽ bị tính phí theo mỗi giờ, bất kể số giờ cung cấp điểm cuối VPC ở các Vùng sẵn sàng. Phí xử lý dữ liệu áp dụng với từng gigabyte được xử lý qua điểm cuối VPC, bất kể nguồn hay đích đến của lưu lượng. Mỗi khoảng thời gian cung cấp điểm cuối VPC không đủ một giờ sẽ được tính phí tròn một giờ. Nếu bạn không còn muốn trả phí cho điểm cuối VPC, hãy xóa điểm cuối VPC của mình bằng cách sử dụng Bảng điều khiển quản lý AWS, giao diện dòng lệnh (CLI) hoặc API.

Trừ khi có ghi chú khác, các mức giá của chúng tôi chưa bao gồm các loại thuế và thuế quan hiện hành, trong đó có thuế GTGT và thuế doanh thu hiện hành. Đối với khách hàng có địa chỉ ghi hóa đơn ở Nhật Bản, việc sử dụng dịch vụ AWS sẽ tuân thủ Thuế tiêu thụ của Nhật Bản.

Tìm hiểu thêm

Mặc dù kết nối ngang hàng VPC được giới hạn ở mức 125 kết nối VPC, AWS PrivateLink hầu như có khả năng điều chỉnh quy mô vô hạn. Mỗi điểm cuối VPC kết nối các phiên bản Amazon Elastic Compute Cloud (Amazon EC2) trong VPC với một dịch vụ, tài nguyên hoặc mạng dịch vụ cụ thể. Bạn có thể thêm nhiều điểm cuối tùy theo nhu cầu của mình, điều này phụ thuộc vào số lượng VPC, tài nguyên và dịch vụ mà bạn cần kết nối.

Đáp: Bạn có thể tạo tối đa 100 điểm cuối VPC cho mỗi VPC. Nếu bạn cần nhiều hơn con số này, hãy liên hệ với chúng tôi và chúng tôi sẽ cùng bạn tìm ra giải pháp.

Bạn có thể tạo một điểm cuối VPC trong VPC của mình và chỉ định dịch vụ, tài nguyên hoặc mạng dịch vụ bạn muốn sử dụng. Điểm cuối VPC có tên DNS phân giải thành địa chỉ IP cục bộ trong VPC của bạn. Khi bạn định tuyến lưu lượng truy cập đến các tên DNS này, lưu lượng truy cập được định tuyến qua điểm cuối VPC đến một dịch vụ hoặc tài nguyên, có thể là trên nhiều tài khoản.

Theo mặc định, mỗi điểm cuối VPC có thể hỗ trợ băng thông liên tục 10 Gbps cho mỗi Vùng sẵn sàng, sau đó dung lượng bổ sung được thêm tự động đến tối đa 100 Gbps. Việc điều chỉnh quy mô điểm cuối được quản lý toàn phần nhằm đảm bảo lưu lượng truy cập đến điểm cuối của bạn không bị ảnh hưởng.

Điểm cuối VPC cổng, giao diện, bộ cân bằng tải cổng và tài nguyên kết nối với một dịch vụ hoặc tài nguyên điểm cuối duy nhất. Điểm cuối mạng dịch vụ VPC kết nối với một mạng dịch vụ, có thể được liên kết với nhiều tài nguyên và dịch vụ VPC Lattice.

Nếu bạn đang sử dụng phiên bản AWS CLI/SDK mới nhất, bạn không cần cập nhật mã của mình. CLI/SDK sẽ tự động tìm các điểm cuối VPC của bạn và sử dụng chúng theo mặc định. Nếu bạn đang sử dụng phiên bản CLI/SDK cũ, bạn sẽ cần chỉ định tên DNS làm tham số điểm cuối trong CLI/SDK. Nếu bạn cần chỉ định điểm cuối, bạn có thể tìm tên DNS bằng cách truy vấn dịch vụ siêu dữ liệu EC2.

Không, chúng tôi có thể hỗ trợ việc này trong các bản cập nhật trong tương lai, nhưng hiện tại chúng tôi chỉ hỗ trợ tên điểm cuối riêng tư.

Có, bạn có thể truy cập vào các điểm cuối VPC qua Direct Connect. Bản ghi DNS của điểm cuối VPC có thể phân giải công khai, nhưng sẽ trả về địa chỉ IP riêng trong VPC được liên kết.

Tính bảo mật của AWS PrivateLink phụ thuộc vào ba yếu tố: đường dẫn, chính sách và phương thức giao tiếp.

Đường dẫn giữa điểm cuối VPC và dịch vụ vẫn nằm trong AWS và không truyền qua Internet. Do đó, đường dẫn này nằm ngoài phạm vi của các hành động xâm phạm Internet.

Khi sử dụng điểm cuối VPC với các dịch vụ AWS, bạn cũng có thể tạo các chính sách cho điểm cuối nhằm hạn chế quyền truy cập vào các yêu cầu đến điểm cuối VPC.

Theo mặc định, PrivateLink không cung cấp bất kỳ mã hóa nào cho dữ liệu đang được truyền. Người dùng dịch vụ luôn khởi chạy dịch vụ này (dịch vụ một chiều) và nhà cung cấp dịch vụ chỉ cung cấp dịch vụ cho những khách hàng có trongdanh sách cho phép.

Có. Bạn có thể liên kết các nhóm bảo mật với các điểm cuối VPC.

Có. Bạn có thể sử dụng Bảng điều khiển quản lý AWS để quản lý các đối tượng Amazon VPC như điểm cuối VPC và kết nối AWS PrivateLink.

Có. Nhấp vào đây để biết thêm thông tin về Hỗ trợ AWS.

Chỉ số Amazon CloudWatch được cung cấp cho các điểm cuối VPC thuộc loại “giao diện” và “bộ cân bằng tải cổng”.