本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 架构 1： AWS PrivateLink
<a name="architecture-1"></a>

[AWS PrivateLink](https://aws.amazon.com/privatelink/)是 Amazon Virtual Private Cloud（亚马逊 VPC）的一项功能，可在 VPCs 和 AWS 服务之间提供私有连接。使用的网络流量 PrivateLink 不会通过公共互联网传输，这降低了外部威胁的风险，例如暴露于暴力和分布式 denial-of-service (DDoS) 攻击。它为双方提供了一种无需互联网网关即可建立私有连接的方法。双方都可以部署不受互联网威胁影响的私 VPCs 有部署。

要将接口端点连接到其他服务，请 PrivateLink 使用[网络负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html)。网络负载均衡器具有可扩展性，每秒可以支持数百万次请求。

您可以跨不同账户连接服务 VPCs，并且不需要防火墙规则、路径定义、路由表、Internet 网关、VPC 对等连接或托管 CIDR 块。这种网络架构的简化可让您更轻松地管理全局网络。

以下架构图显示了如何使用 PrivateLink 和 Network Load Balancer 将账户中的端点连接到第三方账户（例如软件即服务 (SaaS) 提供商的账户）中的终端节点。第三方账户托管网络负载均衡器。

![\[使用 PrivateLink 和 Network Load Balancer 连接不同账户中的 EC2 实例\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/integrate-third-party-services/images/p1_privatelink.png)


这种架构是集成第三方服务最常用的方法，因为它在第三方账户和您的账户之间提供了强大的隔离，且无需共享组件。它允许重叠 CIDR 块，这是与外部账户集成时最突出的挑战之一。它还抽象了网络通信路径。但它仅限于 TCP 流量和单向通信。第三方工作负载无法向您的账户发起通信。

并非所有 AWS Partner人都可以通过使用进行集成 PrivateLink。要确定您当前或潜在的合作伙伴是否有能力，请参阅 [AWS PrivateLink Partners](https://aws.amazon.com/privatelink/partners/)。

## 成本考虑因素
<a name="cost-considerations-1"></a>
+ 无论每个可用区中预置的每个 VPC 端点与服务的关联状态如何，均按小时收费。即使端点处于待处理状态，也按小时付费。有关所有可能的服务状态的列表，请参阅 [AWS PrivateLink concepts](https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html)。
+ 对于通过 VPC 端点处理的每个 GB 都会收取数据处理费用，无论流量的来源或目的地如何。

有关更多信息，请参阅 [AWS PrivateLink 定价](https://aws.amazon.com/privatelink/pricing/)。