View a markdown version of this page

Partagez vos services via AWS PrivateLink - Amazon Virtual Private Cloud
Présentation deNoms d'hôte DNSDNS privéSous-réseaux et zones de disponibilitéCross-Region accèsTypes d'adresses IP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partagez vos services via AWS PrivateLink

Vous pouvez héberger votre propre service AWS PrivateLink optimisé, appelé service de point de terminaison, et le partager avec d'autres AWS clients.

Table des matières

Présentation de

Le schéma suivant montre comment vous partagez votre service hébergé AWS avec d'autres AWS clients, et comment ces clients se connectent à votre service. En tant que fournisseur du service, vous créez un Network Load Balancer (équilibreur de charge de réseau) dans votre VPC comme frontal du service. Vous sélectionnez ensuite cet équilibreur de charge lorsque vous configurez le service de point de terminaison d’un VPC. Vous accordez l'autorisation à des principaux AWS spécifiques afin qu'ils puissent se connecter à votre service. En tant que consommateur du service, le client crée un point de terminaison d’un VPC d'interface, qui établit des connexions entre les sous-réseaux qu'il sélectionne dans son VPC et votre service de point de terminaison. L'équilibreur de charge reçoit les demandes du consommateur du service et les achemine vers les cibles hébergeant votre service.

Les consommateurs de services se connectent aux services de terminaux hébergés par des fournisseurs de services.

Pour une faible latence et une haute disponibilité, nous vous recommandons de rendre votre service disponible dans au moins deux zones de disponibilité.

Noms d'hôte DNS

Lorsqu'un fournisseur de services crée un service de point de terminaison VPC, il AWS génère un nom d'hôte DNS spécifique au point de terminaison pour le service. Les noms ont la syntaxe suivante :

endpoint_service_id.region.vpce.amazonaws.com

Voici un exemple de nom d'hôte DNS pour un service de point de terminaison d’un VPC dans la Région us-east-2 :

vpce-svc-071afff70666e61e0.us-east-2.vpce.amazonaws.com

Lorsqu'un consommateur de services crée un point de terminaison d’un VPC d'interface, nous créons des noms DNS régionaux et zonaux que le consommateur du service peut utiliser pour communiquer avec le service de point de terminaison. Les noms régionaux ont la syntaxe suivante :

endpoint_id.endpoint_service_id.service_region.vpce.amazonaws.com

Les noms zonaux ont la syntaxe suivante :

endpoint_id-endpoint_zone.endpoint_service_id.service_region.vpce.amazonaws.com

DNS privé

Un fournisseur du service peut également associer un nom DNS privé à son service de point de terminaison, afin que les consommateurs du service puissent continuer à accéder au service en utilisant son nom DNS existant. Si le fournisseur du service associe un nom DNS privé à son service de point de terminaison, les consommateurs du service peuvent activer les noms DNS privés pour leurs points de terminaison d'interface. Si le fournisseur du service n'active pas le DNS privé, les consommateurs du service devront peut-être mettre à jour leurs applications afin d'utiliser le nom DNS public pour le service de point de terminaison d’un VPC. Pour de plus amples informations, veuillez consulter Gestion des noms DNS.

Sous-réseaux et zones de disponibilité

Votre service de point de terminaison est disponible dans les zones de disponibilité que vous activez pour votre Network Load Balancer. Pour une disponibilité et une résilience élevées, nous vous recommandons d'activer votre équilibreur de charge dans au moins deux zones de disponibilité, de déployer des instances EC2 dans chaque zone activée et d'enregistrer ces instances auprès du groupe cible de votre équilibreur de charge.

Vous pouvez activer l'équilibrage de charge entre zones comme alternative à l'hébergement de votre service de point de terminaison dans plusieurs zones de disponibilité. Toutefois, les consommateurs perdront l'accès au service de point de terminaison depuis les deux zones en cas de défaillance de la zone qui héberge le service de point de terminaison. Sachez également que lorsque vous activez l'équilibrage de charge entre zones pour un Network Load Balancer, des frais de transfert de données EC2 s'appliquent.

Le consommateur peut créer des points de terminaison VPC d'interface dans les zones de disponibilité dans lesquelles votre service de point de terminaison est disponible. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que le consommateur configure pour le point de terminaison VPC. Nous attribuons des adresses IP à chaque interface réseau de point de terminaison à partir de son sous-réseau, en fonction du type d'adresse IP du point de terminaison d'un VPC. Lorsqu'une demande utilise le point de terminaison régional pour le service de point de terminaison VPC, nous sélectionnons une interface réseau de point de terminaison saine, en utilisant l'algorithme round robin pour alterner entre les interfaces réseau des différentes zones de disponibilité. Nous résolvons ensuite le trafic vers l'adresse IP de l'interface réseau du point de terminaison sélectionné.

Le consommateur peut utiliser les points de terminaison zonaux pour le point de terminaison VPC s'il est préférable, pour son cas d'utilisation, de maintenir le trafic dans la même zone de disponibilité.

Cross-Region accès

Un fournisseur de services peut héberger un service dans une région et le rendre disponible dans un ensemble de régions prises en charge. Un consommateur de services sélectionne une région de service lors de la création d'un point de terminaison.

Permissions

  • Par défaut, les entités IAM ne sont pas autorisées à rendre un service de point de terminaison disponible dans plusieurs régions ou à accéder à un service de point de terminaison dans plusieurs régions. Pour accorder les autorisations requises pour l'accès entre régions, un administrateur IAM peut créer des politiques IAM qui autorisent l'vpce:AllowMultiRegionaction avec autorisation uniquement.

  • Pour contrôler les régions qu'une entité IAM peut spécifier comme région prise en charge lors de la création d'un service de point de terminaison, utilisez la clé de ec2:VpceSupportedRegion condition.

  • Pour contrôler les régions qu'une entité IAM peut spécifier en tant que région de service lors de la création d'un point de terminaison VPC, utilisez ec2:VpceServiceRegion la clé de condition.

Considérations

  • Un fournisseur de services doit choisir une région optionnelle avant de l'ajouter en tant que région prise en charge pour un service de point de terminaison.

  • Votre service de point de terminaison doit être accessible depuis sa région hôte. Vous ne pouvez pas supprimer la région hôte de l'ensemble des régions prises en charge. À des fins de redondance, vous pouvez déployer votre service de point de terminaison dans plusieurs régions et activer l'accès entre régions pour chaque service de point de terminaison.

  • Un consommateur de services doit choisir une région optionnelle avant de la sélectionner comme région de service pour un terminal. Dans la mesure du possible, nous recommandons aux consommateurs d'accéder à un service en utilisant la connectivité intra-régionale plutôt que la connectivité interrégionale. Intra-Region la connectivité permet de réduire la latence et les coûts.

  • Si un fournisseur de services supprime une région de l'ensemble des régions prises en charge, les consommateurs de services ne peuvent pas sélectionner cette région comme région de service lorsqu'ils créent de nouveaux points de terminaison. Notez que cela n'affecte pas l'accès au service de point de terminaison à partir de points de terminaison existants qui utilisent cette région comme région de service.

  • Pour garantir une haute disponibilité, les fournisseurs doivent utiliser au moins deux zones de disponibilité. Cross-Region l'accès n'exige pas que les fournisseurs et les consommateurs utilisent les mêmes zones de disponibilité.

  • Cross-Region l'accès n'est pas pris en charge pour les zones de disponibilité suivantes : use1-az3 usw1-az2apne1-az3,apne2-az2,, etapne2-az4.

  • Avec un accès interrégional, AWS PrivateLink gère le basculement entre les zones de disponibilité. Il ne gère pas le basculement entre les régions.

  • Cross-Region l'accès n'est pas pris en charge pour les équilibreurs de charge réseau dont une valeur personnalisée est configurée pour le délai d'inactivité TCP.

  • Cross-Region l'accès n'est pas pris en charge avec la fragmentation UDP.

  • Cross-Region l'accès n'est pris en charge que pour les services que vous partagez AWS PrivateLink.

Types d'adresses IP

Les fournisseurs du service peuvent mettre leurs points de terminaison à la disposition des consommateurs du service sur IPv4, IPv6 ou IPv4 et IPv6, même si leurs serveurs backend ne prennent en charge qu'IPv4. Si vous activez le support dualstack, les consommateurs existants peuvent continuer à utiliser le protocole IPv4 pour accéder à votre service et les nouveaux consommateurs peuvent choisir d'utiliser le protocole IPv6 pour accéder à votre service.

Si le point de terminaison d'un VPC d'interface prend en charge le protocole IPv4, les interfaces réseau du point de terminaison possèdent des adresses IPv4. Si le point de terminaison d'un VPC d'interface prend en charge le protocole IPv6, les interfaces réseau du point de terminaison possèdent des adresses IPv6. L'adresse IPv6 d'une interface réseau de point de terminaison est inaccessible depuis Internet. Si vous décrivez une interface réseau de point de terminaison avec une adresse IPv6, remarquez que denyAllIgwTraffic est activé.

Exigences pour activer IPv6 pour un service de point de terminaison

  • Le VPC et les sous-réseaux du service de point de terminaison doivent être associés à des blocs CIDR IPv6.

  • Tous les équilibreurs de charge de réseau Network Load Balancers du service de point de terminaison doivent utiliser le type d'adresse IP dualstack. Les cibles n'ont pas besoin de prendre en charge le trafic IPv6. Si le service traite les adresses IP sources à partir de l'en-tête du protocole proxy version 2, il doit traiter les adresses IPv6.

Exigences pour activer IPv6 pour un point de terminaison d'interface

  • Le service de point de terminaison doit prendre en charge les requêtes IPv6.

  • Le type d'adresse IP d'un point de terminaison d'interface doit être compatible avec les sous-réseaux du point de terminaison d'interface, comme décrit ici :

    • IPv4 – Attribuez des adresses IPv4 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4.

    • IPv6 – Attribuez des adresses IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés sont des sous-réseaux IPv6 uniquement.

    • Dualstack – Attribuez à la fois des adresses IPv4 et IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4 et IPv6.

Type d'adresse IP d'enregistrement DNS pour un point de terminaison d'interface

Le type d'adresse IP d'enregistrement DNS pris en charge par un point de terminaison d'interface détermine les enregistrements DNS que nous créons. Le type d'adresse IP de l'enregistrement DNS d'un point de terminaison d'interface doit être compatible avec le type d'adresse IP du point de terminaison d'interface, comme décrit ici :

  • IPv4 – Créez des enregistrements A pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être IPv4 ou Dualstack.

  • IPv6 – Créez des enregistrements AAAA pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être IPv6 ou Dualstack.

  • Dualstack – Créez des enregistrements A et AAAA pour les noms DNS privés, régionaux et zonaux. Le type d'adresse IP doit être Dualstack.