AWS PrivateLink 使客户能够通过高度可用且可扩展的方式来访问托管在 AWS 上的服务,同时将所有网络流量限制在 AWS 网络内。服务用户可从其 Amazon Virtual Private Cloud(VPC)或本地对 PrivateLink 支持的服务进行私有访问,而无需使用公有 IP,也不需要让流量遍历整个 Internet。服务所有者可以将自己的网络负载均衡器注册到 PrivateLink 服务中,以将服务提供给其他 AWS 客户。
作为服务用户,您需要为 PrivateLink 支持的服务创建接口类 VPC 终端节点。这些服务终端节点将在 VPC 中显示为带私有 IP 的弹性网络接口 (ENI)。这些终端节点创建后,目标为这些 IP 的所有流量都将以私有方式路由到相应 AWS 服务。
作为服务拥有者,您可以在您的服务前面部署网络负载均衡器 (NLB) 并创建 PrivateLink 服务以在其中注册 NLB,从而将您的服务加入到 AWS PrivateLink 中。在您将客户的账户和 IAM 角色加入白名单之后,他们能够在他们的 VPC 中建立终端节点以连接到您的服务。
借助 VPC 终端节点,您能够建立从您的 VPC 到 AWS 上托管的服务的私有连接,无需使用互联网网关、NAT 设备、VPN 或防火墙代理。终端节点是可水平扩展且高度可用的虚拟设备,允许 VPC 和 AWS 产品之间的实例进行通信。Amazon VPC 提供两种不同类型的终端节点:网关类终端节点和接口类终端节点。
接口类型端点为由 PrivateLink 支持的服务提供私有连接。这些服务可能是 AWS 服务、您自己的服务或 SaaS 解决方案。接口类型端点也支持通过 Direct Connect 进行连接。请参阅 VPC 定价,了解接口类终端节点的价格。
网关类端点仅适用于包括 S3 和 DynamoDB 在内的 AWS 产品,并且无法启用 PrivateLink。这些端点将向您选择的路由表添加一个条目,并通过 Amazon 私有网络将流量路由到支持的服务。
VPC 端点提供对特定服务的安全访问,能为最终用户带来诸多好处:
符合。您的本地应用程序可通过 AWS Direct Connect 连接到 Amazon VPC 中的服务端点。这些服务终端节点会自动将流量定向到由 AWS PrivateLink 提供支持的 AWS 产品。
您可以使用 VPC 控制台或 AWS CLI/SDK 搜索可用服务。然后,您可以通过创建 VPC 端点请求访问服务并开始使用它。
PrivateLink 的定价计划包含有关费用和计费的信息:https://aws.amazon.com/privatelink/pricing/。如果您选择在 VPC 中创建接口类 VPC 终端节点,则需要按小时为将您的 VPC 终端节点预置到每个可用区中所花费的时间付费。我们将按照由 VPC 终端节点处理的每 GB 数据收取数据处理费用,无论流量的来源或目的地如何。运行未满一小时的 VPC 终端节点按一小时计费。如果您不想继续为 VPC 终端节点付费,可以使用 AWS 管理控制台、命令行界面 (CLI) 或 API 将其删除。
除非另行说明,否则我们的价格不包含适用的税费和关税(包括增值税和适用销售税)。使用日本账单地址的客户若要使用 AWS,则需缴纳日本消费税。
了解详情
尽管 VPC 对等连接限制为 125 个 VPC 连接,但 AWS PrivateLink 的规模几乎不受限制。每个 VPC 端点会将 EC2 实例连接到特定的 AWS 或基于 AWS 的服务。您可以根据需要连接的 VPC 和服务的数量添加任意数量的端点。您为 PrivateLink 部署的端点数量不收取任何费用。
答:您最多可以为每个 VPC 创建 100 个 VPC 端点。如果您需要更多信息,请联系我们,我们将与您一起寻找解决方案。
可以在您的 VPC 中创建一个 VPC 端点并指定您想要使用的服务。VPC 端点具有一个 DNS 名称,可解析为您 VPC 中的本地 IP 地址。将流量路由到此 DNS 名称时,流量将通过 VPC 端点路由到服务。
答:每个 VPC 端点默认可支持每个可用区 10Gbps 的连续带宽,之后将根据您的使用情况自动添加额外的容量。端点扩展是完全托管的,确保到您的端点的流量不受影响。
答:不能。VPC 端点直接连接到单个服务。但是,您可以创建新的 VPC 端点来将 EC2 实例连接到其他服务,并且可以创建的 VPC 端点数量不受限制。创建其他 VPC 端点不收取任何费用。
如果您使用的是最新版本的 AWS CLI/SDK,则无需更新代码。CLI/SDK 将自动发现您的 VPC 端点并默认使用它们。如果您使用的是旧版本的 CLI/SDK,则需要在 CLI/SDK 中将 DNS 名称指定为端点参数。如果需要指定端点,则可以通过查询 EC2 元数据服务来发现 DNS 名称。
不,我们可能会在未来的更新中支持此功能,但目前仅支持私有端点名称。
是的,您可以通过 Direct Connect 访问 VPC 端点。VPC 端点的 DNS 记录可公开解析,但会返回关联 VPC 内的私有 IP 地址。
AWS PrivateLink 的安全性取决于三个因素:路径、策略和通信模式。
VPC 端点与 AWS 或基于 AWS 的服务之间的路径停留在 AWS 内,不遍历互联网。因此,它不会受到互联网攻击的威胁。
在 AWS 服务中使用 VPC 端点时,您还可以创建端点策略,限制访问来自 VPC 或 VPC 端点的请求。
默认情况下,PrivateLink 不为传输中数据提供任何加密。服务使用者始终发起服务(它是单向服务),并且服务提供者仅向允许名单上的客户提供服务。
符合。您可以将安全组与 VPC 端点关联。
符合。您可以使用 AWS 管理控制台来管理 Amazon VPC 对象,例如 VPC 端点和 AWS PrivateLink 连接。
符合。有关 AWS 支持的更多信息,请单击此处。
目前,没有任何 Amazon CloudWatch 指标可用于基于接口的 VPC 端点。