Вопросы и ответы для AWS PrivateLink
Общие вопросы
Открыть всеЧто такое AWS PrivateLink?
С помощью AWS PrivateLink клиенты получают доступ к сервисам и ресурсам, размещенным на AWS, с обеспечением высокой доступности и масштабируемости, при этом весь сетевой трафик остается в пределах сети AWS. Пользователи могут получать частный доступ к сервисам и ресурсам из Amazon Virtual Private Cloud (Amazon VPC) или локального центра обработки данных без необходимости использовать публичные IP‑адреса и передавать трафик через Интернет. Владельцы сервисов могут зарегистрировать свои Балансировщики сетевой нагрузки в сервисах PrivateLink и предоставлять эти сервисы другим клиентам AWS. Владельцы ресурсов могут напрямую предоставлять доступ к своим ресурсам без использования балансировщиков сетевой нагрузки.
Как можно использовать PrivateLink?
Вам потребуется создать адреса VPC (на базе PrivateLink) для доступа к сервисам и ресурсам. Эти адреса VPC будут отображаться в виде эластичных сетевых интерфейсов с частными IP‑адресами в соответствующих облаках VPC. После создания адресов любой трафик, предназначенный для этих IP‑адресов, будет перенаправляться через частное подключение в соответствующие сервисы или ресурсы.
Вы можете подключить свой сервис к AWS PrivateLink. Для этого нужно установить Балансировщик сетевой нагрузки, создать сервис PrivateLink и зарегистрировать его на таком Балансировщике сетевой нагрузки. Чтобы клиенты могли подключаться к вашему сервису, им нужно будет установить адреса в своих VPC, а вам — внести в список разрешенных их аккаунты и роли IAM.
Включается ли сервис PrivateLink определенным типом адресов?
Адреса VPC обеспечивают частное подключение облака VPC к сервисам и ресурсам, размещенным на AWS, без необходимости использования шлюза Интернета, устройства NAT, VPN или прокси‑серверов брандмауэра. Адреса VPC — это горизонтально масштабируемые виртуальные устройства с высокой доступностью, которые обеспечивают взаимодействие между инстансами в облаке VPC и сервисами/ресурсами Amazon VPC включает пять различных типов адресов VPC: адрес шлюза, адрес интерфейса, адрес типа «балансировщик нагрузки шлюза», адрес ресурса и адрес сервисной сети. Все типы адресов VPC, кроме адресов шлюзов, работают на базе PrivateLink.
Адреса интерфейса обеспечивают частное подключение к сервисам на базе PrivateLink. Такими сервисами могут быть сервисы AWS, ваши собственные сервисы или программное обеспечение как услуга (SaaS). Адреса интерфейса также поддерживают подключение через AWS Direct Connect и VPN.
Адреса шлюза доступны только для сервисов AWS, включая Amazon S3 и Amazon DynamoDB, и не поддерживают PrivateLink. Такие адреса добавляют запись в выбранную таблицу маршрутизации и направляют трафик в поддерживаемые сервисы через частную сеть Amazon.
Адреса типа «балансировщик нагрузки шлюза» обеспечивают частное подключение к устройствам, обслуживаемым балансировщиком нагрузки шлюза.
Адреса ресурсов обеспечивают частное подключение к ресурсам VPC, таким как базы данных, кластеры, целевые объекты доменных имен и IP-адреса, которые не требуют балансировки нагрузки. Они поддерживают подключение через AWS Direct Connect и VPN.
Адреса сервисной сети обеспечивают частное подключение к сервисам и ресурсам, входящим в служебную сеть Amazon VPC Lattice. Они позволяют получить доступ к нескольким сервисам и ресурсам через один адрес VPC. Они также поддерживают подключение через AWS Direct Connect и VPN. Цены на адреса VPC приведены в разделе Цены на AWS PrivateLink.
Каковы преимущества использования адреса VPC с AWS PrivateLink?
Адреса VPC обеспечивают безопасный доступ к конкретному сервису или ресурсу с рядом преимуществ для конечного пользователя.
- Адреса VPC предоставляют доступ к сервису или ресурсу без необходимости использования других шлюзов, таких как шлюз Интернета, шлюз NAT, VPN-соединение или пиринговое соединение VPC, что снижает риск для ваших ресурсов в Интернете или других внешних сетях.
- Ваш трафик остается в частной сети Amazon, таким образом снижается риск несанкционированного доступа через Интернет.
- При доступе к сервисам Amazon через адреса VPC вы можете ограничить доступ через адрес VPC для выбранных пользователей, действий и (или) ресурсов.
- Доступ к ресурсам, предоставляемым сервисом Amazon, можно ограничить трафиком, исходящим из определенного VPC, или через определенный адрес VPC.
Можно ли получить частный доступ к сервисам и ресурсам через AWS Direct Connect с помощью AWS PrivateLink?
Да. Приложение, работающее в локальной сети, может подключаться к адресам VPC в Amazon VPC через AWS Direct Connect. Адреса VPC автоматически направляют трафик в сервисы, работающие на основе AWS PrivateLink.
Как узнать, какие сервисы и ресурсы доступны на данный момент?
Доступные сервисы и ресурсы можно искать с помощью консоли VPC или AWS CLI/SDK. Затем можно получить доступ к сервису, ресурсу или сервисной сети через адреса VPC.
Как создать ресурсы, к которым можно получить доступ через PrivateLink?
Ресурс можно создать, задав конфигурацию ресурса в VPC Lattice. Как владелец ресурса, вы можете подключить свой ресурс к AWS PrivateLink, создав конфигурацию ресурса со списком ресурсов. Ваши клиенты смогут создавать адреса в своем облаке VPC для подключения к вашим ресурсам после того, как вы предоставите их аккаунтам доступ к этой конфигурацией ресурса с помощью Диспетчера доступа к ресурсам AWS (RAM).
Могут ли адреса балансировщиков нагрузки шлюза обеспечить частное подключение к виртуальным устройствам, обслуживаемым балансировщиком нагрузки шлюза?
Адреса ресурсов обеспечивают частное подключение к ресурсам VPC, таким как базы данных, кластеры, целевые объекты доменных имен и IP-адреса, которые не требуют балансировки нагрузки. Они поддерживают подключение через AWS Direct Connect и VPN.
Адреса сервисной сети обеспечивают частное подключение к сервисам и ресурсам, входящим в служебную сеть VPC Lattice. Они позволяют получить доступ к нескольким сервисам и ресурсам через один адрес VPC. Они также поддерживают подключение через AWS Direct Connect и VPN. Информацию о ценах на адреса VPC см. на странице цен на VPC.
Оплата
Открыть всеКак оплачивается пользование сервисом AWS PrivateLink?
На странице расценок для PrivateLink приведены данные о платежах и выставлении счетов. Если вы решите создать в VPC адрес VPC типа «интерфейс» или «балансировщик нагрузки шлюза», плата будет начисляться за каждый час, в течение которого этот адрес VPC остается выделенным в каждой зоне доступности. Если вы решили создать в VPC адрес VPC типа «ресурс», плата будет взиматься за каждый час независимо от количества зон доступности, в которых находится ваш адрес VPC. Плата за обработку данных начисляется за каждый гигабайт данных, переданный через адреса VPC, независимо от источника или места назначения трафика. Каждый неполный час работы адреса VPC оплачивается как полный. Если вы больше не хотите платить за конечные точки VPC, удалите их с помощью Консоли управления AWS, интерфейса командной строки (CLI) или API.
Ваши цены указаны с учетом налогов?
Если не указано иное, представленные здесь цены не включают применимые налоги и сборы, в том числе НДС и применимый налог с продаж. Для клиентов с платежным адресом в Японии использование сервисов AWS облагается потребительским налогом Японии.
Подробнее
Подключение
Открыть всеНасколько масштабируем сервис AWS PrivateLink?
В то время как пиринг VPC ограничен 125 VPC-подключениями, возможности масштабирования AWS PrivateLink практически не ограничены. Каждый адрес VPC соединяет инстансы Amazon Elastic Compute Cloud (Amazon EC2) в облаке VPC с определенным сервисом, ресурсом или сервисной сетью. Можно добавить столько адресов, сколько необходимо, в зависимости от количества облаков VPC, ресурсов и сервисов, к которым нужно подключиться.
Сколько адресов VPC можно создать в одном VPC?
Ответ. В каждом VPC можно создать до 100 адресов VPC. Чтобы получить дополнительное количество адресов, свяжитесь с нами, и мы вместе с вами найдем решение.
Как использовать адреса VPC и AWS PrivateLink?
В облаке VPC можно создать адрес VPC и указать сервис, ресурс или сервисную сеть, которые необходимо использовать. Адрес VPC имеет DNS-имена, которые преобразуются в локальные IP-адреса в вашем VPC. При маршрутизации трафика на эти DNS-имена трафик направляется через адрес VPC к сервису или ресурсу, которые могут принадлежать разным аккаунтам.
Какова пропускная способность адреса VPC?
Непрерывная пропускная способность каждого адреса VPC по умолчанию составляет 10 Гбит/с для каждой зоны доступности, после чего дополнительная пропускная способность будет добавляться автоматически в пределах 100 Гбит/с. Поскольку масштабирование адресов является полностью управляемым, трафик адреса не изменяется.
Можно ли подключить несколько сервисов или ресурсов к одному адресу VPC?
Шлюз, интерфейс, балансировщик нагрузки шлюза и адреса VPC с ресурсами подключаются к одному сервису или ресурсу адресов. Адреса VPC типа «сервисная сеть» подключается к сервисной сети, которая может быть связана с несколькими ресурсами и сервисами VPC Lattice.
Поскольку адреса VPC имеют собственные DNS-имена, нужно ли обновлять код, чтобы начать использовать адреса VPC?
Если вы используете последнюю версию AWS CLI/SDK, обновлять код не нужно. CLI/SDK автоматически обнаружит адреса VPC и будет использовать их по умолчанию. Если вы используете старую версию CLI/SDK, необходимо указать DNS-имя в качестве параметра адреса в CLI/SDK. Если вам нужно указать адрес, вы можете узнать имя DNS, отправив запрос в сервис метаданных EC2.
Могу ли я использовать общедоступный адрес сервиса (DNS-имя) для доступа к своим адресам VPC?
Нет, возможно, мы обеспечим поддержку этой функции в обновленных версиях, но в настоящее время мы поддерживаем только частные имена адресов.
Могу ли я получить доступ к адресам VPC из локальной сети через Direct Connect?
Да, вы можете получить доступ к адресам VPC через Direct Connect. Записи DNS адреса VPC доступны для публичного разрешения, но они возвращают частный IP-адрес в соответствующем VPC.
Безопасность и фильтрация
Открыть всеНасколько защищено подключение к AWS PrivateLink?
Степень защиты AWS PrivateLink зависит от трех факторов: пути, политик и способа связи.
Трафик между адресом VPC и сервисом остается во внутренней сети AWS, не проходя через Интернет. Таким образом, возможность взломов в Интернете исключена.
При использовании адресов VPC с сервисами AWS можно также создать политики адресов, ограничивающие доступ к запросам, поступающим на адрес VPC.
PrivateLink по умолчанию не обеспечивает шифрование данных в движении. Потребитель сервиса всегда инициирует сервис (это односторонний сервис), и поставщик сервиса предоставляет сервис только разрешенным клиентам.
Можно ли связать группы безопасности с адресами VPC?
Да. Группы безопасности можно связать с адресами VPC.
Дополнительные вопросы
Открыть всеМожно ли использовать Консоль управления AWS для управления AWS PrivateLink?
Да. Консоль управления AWS можно использовать для управления объектами Amazon VPC, включая адреса VPC и подключения AWS PrivateLink.
Можно ли получить Поддержку AWS с помощью адресов VPC и AWS PrivateLink?
Да. Нажмите здесь, чтобы получить дополнительные сведения о Поддержке AWS.
Доступны ли метрики Amazon CloudWatch для адреса VPC?
Метрики Amazon CloudWatch доступны для адресов VPC типа «интерфейс» и «балансировщик нагрузки шлюза».