本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 亚马逊 VPC 莱迪思中的 VPC 资源
您可以与组织中的其他团队或外部独立软件供应商 (ISV) 合作伙伴共享 VPC 资源。VPC 资源可以是 AWS原生资源,例如 Amazon RDS 数据库、域名或 IP 地址。资源可以位于您的 VPC 或本地网络中,无需进行负载平衡。您可以使用 AWS RAM 指定可以访问资源的委托人。您可以创建一个资源网关,通过该网关可以访问您的资源。您还可以创建代表要共享的资源或一组资源的资源配置。
与您共享资源的委托人可以使用 VPC 终端节点私下访问这些资源。他们可以使用资源VPC终端节点访问一个资源或在VPC Lattice服务网络中汇集多个资源,并使用服务网络VPC终端节点访问服务网络。
以下各节介绍如何在 VPC Lattice 中创建和管理 VPC 资源:
**Topics**
+ [资源网关](resource-gateway.md)
+ [资源配置](resource-configuration.md)
# VPC Lattice 中的资源网关
*资源网关*是接收进入资源所在的 VPC 的流量的点。资源网关跨越多个可用区。
如果您计划让其他 VPCs 或账户访问 VPC 内的资源,VPC 必须有资源网关。您共享的每个资源都与资源网关关联。当其他 VPCs 或账户中的客户访问您的 VPC 中的资源时,该资源会看到来自该 VPC 中资源网关的本地流量。流量的源 IP 地址是可用区中资源网关的 IP 地址。可以将多个资源配置(每个配置都有多个资源)附加到资源网关。
下图显示了客户端如何通过资源网关访问资源:
![\[客户端通过资源网关访问资源。\]](http://docs.aws.amazon.com/zh_cn/vpc-lattice/latest/ug/images/resource-gateway-to-resource.png)
**Topics**
+ [注意事项](#resource-gateway-considerations)
+ [安全组](#resource-gateway-security-groups)
+ [IP 地址类型](#resource-gateway-ip-address-type)
+ [IPv4 每个 ENI 的地址数](#ipv4-address-type-per-eni)
+ [创建资源网关](create-resource-gateway.md)
+ [删除资源网关](delete-resource-gateway.md)
## 注意事项
需注意以下资源网关相关事项:
+ 为了使您的资源可以从所有[可用区](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)访问,您应该创建资源网关,使其跨越尽可能多的可用区。
+ VPC 端点和资源网关必须至少有一个可用区重叠。
+ 一个 VPC 最多可包含 100 个资源网关。有关更多信息,请参阅 [VPC Lattice 的配额](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html)。
+ VPC Lattice 可能会为您的资源网关 ENIs 添加新内容。
+ 具有共享 VPC 子网的资源网关:
+ 资源网关只能由拥有 VPC 的账户部署到共享 VPC 子网中。
+ 资源网关的资源配置只能由拥有该资源网关的账户创建。
## 安全组
您可以将安全组附加到资源网关。资源网关的安全组规则控制从资源网关到资源的出站流量。
**针对从资源网关流向数据库资源的流量建议的出站规则**
要使流量从资源网关流向资源,必须为资源接受的侦听器协议和端口范围创建出站规则。
| 目标位置 | 协议 | 端口范围 | Comment |
| --- | --- | --- | --- |
| CIDR range for resource | TCP | 3306 | 允许从资源网关流向数据库的流量。 |
## IP 地址类型
资源网关可以有 IPv4 IPv6 或双栈地址。资源网关的 IP 地址类型必须与资源网关的子网兼容,资源的 IP 地址类型如下所述:
+ **IPv4**— 为您的资源网关网络接口分配 IPv4 地址。只有当所有选定的子网都有 IPv4 地址范围并且资源也有地址时,才支持此选项。 IPv4 使用此选项时,您可以配置每个资源网关 ENI IPv4 的地址数。
+ **IPv6**— 为您的资源网关网络接口分配 IPv6 地址。仅当所有选定的子网仅为子网并且资源还有地址时, IPv6 才支持此选项。 IPv6 使用此选项时, IPv6 地址会自动分配,无需管理。
+ **Dualstack** — 将 IPv4 和 IPv6 地址分配给您的资源网关网络接口。仅当所有选定的子网同时具有 IPv4 和 IPv6 地址范围,并且资源具有 IPv4 或 IPv6 地址时,才支持此选项。使用此选项时,您可以配置每个资源网关 ENI IPv4 的地址数。
资源网关的 IP 地址类型独立于客户端的 IP 地址类型或通过其访问资源的 VPC 端点。
## IPv4 每个 ENI 的地址数
如果您的资源网关具有 IPv4 或双堆栈 IP 地址类型,则可以配置分配给资源网关每个 ENI IPv4 的地址数量。创建资源网关时,可以从 1 到 62 个 IPv4 地址中进行选择。一旦设置了 IPv4地址数量,就无法更改该值。
这些 IPv4 地址用于网络地址转换,并确定资源的最大并发 IPv4 连接数。每个 IPv4 地址最多可以支持每个目标 IP 的 55,000 个并发连接。默认情况下,所有资源网关为每 IPv4 个 ENI 分配 16 个地址。
如果您的资源网关使用 IPv6 地址类型,则资源网关会自动为每个 ENI 接收 /80 CIDR。此值不能更改。每个连接的最大传输单位 (MTU) 为 8500 字节。
# 在 VPC Lattice 中创建资源网关
使用控制台创建资源网关。
**使用控制台创建资源网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,在 Lattice **PrivateLink 和 Lattice** 下,选择**资源网关**。
1. 选择**创建资源网关**。
1. 在**资源网关名称**中,输入一个在您的 AWS 账户中唯一的名称。
1. 对于 **IP 地址类型**,选择资源网关的 IP 地址类型。
1. 如果您选择了 **IPv4****Dualstack** 作为 **IP 地址类型**,则可以为资源网关输入每 IPv4 个 ENI 的地址数。
默认为每 IPv4 个 ENI 有 16 个地址。这是与您的后端资源 IPs 建立连接的合适数量。
1. 对于 **VPC**,请选择要在其中创建资源网关的 VPC 和子网。
1. 对于**安全组**,最多可选择五个安全组来控制从 VPC 到服务网络的入站流量。
1. (可选)若要添加标签,请选择**添加新标签**,然后输入该标签的键和值。
1. 选择**创建资源网关**。
**要使用创建资源网关 AWS CLI**
使用 [create-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-resource-gateway.html) 命令。
# 在 VPC Lattice 中删除资源网关
使用控制台删除资源网关。
**使用控制台删除资源网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,在 Lattice **PrivateLink 和 Lattice** 下,选择**资源网关**。
1. 选中要删除的资源网关的复选框,然后依次选择**操作**、**删除**。提示进行确认时,输入 **confirm**,然后选择**删除**。
**要删除资源网关,请使用 AWS CLI**
使用 [delete-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-resource-gateway.html) 命令。
# VPC 资源的资源配置
资源配置表示您希望允许其他 VPCs 和账户中的客户访问的资源或一组资源。通过定义资源配置,您可以允许从其他 VPCs 和账户中的客户端到您的 VPC 中的资源的私有、安全、单向的网络连接。资源配置与资源网关关联,通过该资源网关接收流量。要从其他 VPC 访问资源,需要对其进行资源配置。
**Topics**
+ [资源配置的类型](#resource-configuration-types)
+ [协议](#resource-configuration-protocol)
+ [资源网关](#resource-gateway)
+ [资源提供商的自定义域名](#custom-domain-name-resource-providers)
+ [资源使用者的自定义域名](#custom-domain-name-resource-consumers)
+ [服务网络所有者的自定义域名](#resource-configuration-custom-domain-name-service-network-owners)
+ [资源定义](#resource-definition)
+ [端口范围](#resource-configuration-port)
+ [访问 资源](#resource-configuration-accessing)
+ [与服务网络类型关联](#resource-configuration-service-network-association)
+ [服务网络的类型](#service-network-types)
+ [通过共享资源配置 AWS RAM](#sharing-resource-configuration-ram)
+ [监控](#resource-configuration-monitoring)
+ [创建并验证域名](create-and-verify.md)
+ [创建资源配置](create-resource-configuration.md)
+ [管理关联](resource-configuration-associations.md)
## 资源配置的类型
资源配置可以有几种类型。不同的类型有助于代表不同种类的资源。这些类型是:
+ **单一资源配置**:表示 IP 地址或域名。它可以独立共享。
+ **组资源配置**:它是子资源配置的集合。它可以用来表示一组 DNS 和 IP 地址端点。
+ **子资源配置**:它是组资源配置的成员。它代表 IP 地址或域名。它不能单独共享;只能作为群组的一部分共享。可以将其添加到群组中或从群组中删除。添加后,有权访问这些配置的用户可以自动访问该组。
+ **ARN 资源配置**:表示由服务配置的支持的资源类型。 AWS 任何团体与子女的关系都会自动得到处理。
下图显示了单个、子资源和组资源配置:
![\[单个、子资源和组资源配置。\]](http://docs.aws.amazon.com/zh_cn/vpc-lattice/latest/ug/images/resource-config-types.png)
## 协议
创建资源配置时,可以定义该资源将支持的协议。目前仅支持 TCP 协议。
## 资源网关
资源配置与资源网关关联。资源网关是一组资源网关 ENIs ,用作资源所在的 VPC 的入口点。多个资源配置可以与同一个资源网关关联。当其他 VPCs 或账户中的客户访问您的 VPC 中的资源时,该资源会看到来自该 VPC 中资源网关 IP 地址的本地流量。
## 资源提供商的自定义域名
资源提供者可以将自定义域名附加到资源配置,例如`example.com`,资源使用者可以使用该域名来访问资源配置。自定义域名可以由资源提供者拥有和验证,也可以是第三方或 AWS 域名。资源提供者可以使用资源配置来共享缓存集群和 Kafka 集群、基于 TLS 的应用程序或其他 AWS 资源。
以下注意事项适用于资源配置提供者:
+ 一个资源配置只能有一个自定义域。
+ 资源配置的自定义域名无法更改。
+ 自定义域名对所有资源配置使用者可见。
+ 您可以使用 VPC Lattice 中的域名验证流程来验证您的自定义域名。有关更多信息,请参阅[创建并验证域名](create-and-verify.md)。
+ 对于 group 和 child 类型的资源配置,必须先在组资源配置中指定组域。之后,子资源配置可以有自定义域,这些域名是组域的子域。如果群组没有群组域,则可以为子组使用任何自定义域名,但是 VPC Lattice 不会为资源使用者的 VPC 中的子域名配置任何托管区域。
## 资源使用者的自定义域名
当资源使用者启用与具有自定义域名的资源配置的连接时,他们可以允许 VPC Lattice 管理其 VPC 中的 Route 53 私有托管区域。资源使用者可以精细地选择他们希望允许VPC Lattice为哪些域管理私有托管区域。
当通过资源终端节点、服务网络终端节点或服务网络 VPC 关联启用与资源配置的连接时,资源使用者可以设置`private-dns-enabled`参数。除了`private-dns-enabled`参数外,消费者还可以使用 DNS 选项来指定他们希望 VPC Lattice 为哪些域名管理私有托管区域。消费者可以在以下私有 DNS 首选项之间进行选择:
**`ALL_DOMAINS`**
VPC Lattice 为所有自定义域名提供私有托管区域。
**`VERIFIED_DOMAINS_ONLY`**
VPC Lattice 只有在提供商验证了自定义域名后才会配置私有托管区域。
**`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`**
VPC Lattice 为所有经过验证的自定义域名和资源使用者指定的其他域名提供私有托管区域。资源使用者在`private DNS specified domains`参数中指定域名。
**`SPECIFIED_DOMAINS_ONLY`**
VPC Lattice 为资源使用者指定的域名提供私有托管区域。资源使用者在`private DNS specified domains `参数中指定域名。
启用私有 DNS 后,VPC Lattice 会在您的 VPC 中为与资源配置关联的自定义域名创建一个私有托管区域。默认情况下,私有 DNS 首选项设置为`VERIFIED_DOMAINS_ONLY`。这意味着,只有在资源提供商验证了自定义域名后,才会创建私有托管区域。如果您将私有 DNS 首选项设置为`ALL_DOMAINS`或,`SPECIFIED_DOMAINS_ONLY`则无论自定义域名的验证状态如何,VPC Lattice 都会创建私有托管区域。为给定域创建私有托管区域时,从您的 VPC 到该域的所有流量都将通过 VPC Lattice 路由。我们建议您仅在`ALL_DOMAINS`希望这些自定义域名的流量通过 VPC Lattice 时使用`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`、或`SPECIFIED_DOMAINS_ONLY`首选项。
我们建议资源使用者将其私有 DNS 首选项设置为`VERIFIED_DOMAINS_ONLY`。这允许用户通过仅允许VPC Lattice为资源使用者账户中经过验证的域名配置私有托管区域来加强其安全边界。
要选择私有 DNS 指定域中的域,资源使用者可以输入完全限定的域名(例如)`my.example.com`或使用通配符(例如`*.example.com`)。
以下注意事项适用于资源配置的使用者:
+ 私有 DNS 启用参数无法更改。
+ 应在服务网络资源关联上启用私有 DNS,以便在 VPC 中创建私有托管。对于资源配置,服务网络资源关联的私有 DNS 启用状态会覆盖服务网络终端节点或服务网络 VPC 关联的私有 DNS 启用状态。
## 服务网络所有者的自定义域名
服务网络资源关联的私有 DNS 启用属性会覆盖服务网络终端节点和服务网络 VPC 关联的启用私有 DNS 的属性。
如果服务网络所有者创建了服务网络资源关联但未启用私有 DNS,则即使在服务网络终端节点或服务网络 VPC 关联上启用了私有 DNS VPCs ,VPC Lattice 也不会在服务网络所连接的任何资源配置中为该资源配置预置私有托管区域。
对于 ARN 类型的资源配置,私有 DNS 标志为真且不可变。
## 资源定义
在资源配置中,通过以下方式之一标识资源:
+ 按**亚马逊资源名称 (ARN)**:由 AWS 服务配置的支持的资源类型可以通过其 ARN 来识别。仅支持 Amazon RDS 数据库。您无法为可公开访问的集群创建资源配置。
+ 按**域名目标**:您可以使用任何可公开解析的域名。如果您的域名指向位于您 VPC 之外的 IP,则您的 VPC 中必须有 NAT 网关。
+ 按 **IP 地址**:对于 IPv4,请指定以下范围内的私有 IP:10.0.0.0/8、100.64.0.0/10、172.16.0.0/12、192.16.0.0/12、192.168.0.0/16。对于 IPv6,请指定来自 VPC 的 IP。 IPs 不支持公开。
## 端口范围
创建资源配置时,您可以定义它将在其上接受请求的端口。不允许客户端通过其他端口进行访问。
## 访问 资源
使用者可以通过 VPC 端点或服务网络,直接从其 VPC 访问资源配置。作为使用者,您可以启用从自己的 VPC 访问位于您账户中或通过 AWS RAM从其他账户与您共享的资源配置。
+ *直接访问资源配置*
您可以在 AWS PrivateLink VPC 中创建资源类型(资源终端节点)的 VPC 终端节点,以便从您的 VPC 私下访问资源配置。有关如何创建资源端点的更多信息,请参阅 *AWS PrivateLink用户指南*中的[访问 VPC 资源](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-resources.html)。
+ *通过服务网络访问资源配置*
您可以将资源配置关联到服务网络,并将您的 VPC 连接到该服务网络。您可以通过关联或使用服务网络 VPC 终端节点将您的 VPC 连接到 AWS PrivateLink 服务网络。
有关服务网络关联的更多信息,请参阅[管理 VPC Lattice 服务网络的关联](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html)。
有关服务网络 VPC 端点的更多信息,请参阅 *AWS PrivateLink 用户指南*中的[访问服务网络](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-service-networks.html)。
当您的 VPC 启用私有 DNS 后,您无法为相同的资源配置创建资源端点和服务网络端点。
## 与服务网络类型关联
当您与使用者账户(例如 Account-B)共享资源配置时,Account-B 可以通过资源 VPC 终端节点直接访问资源配置,也可以通过服务网络访问资源配置。 AWS RAM
要通过服务网络访问资源配置,Account-B 必须将资源配置与服务网络相关联。服务网络可在账户之间共享。因此,Account-B 可以与 Account-C 共享其服务网络(资源配置与之关联),从而使您的资源可以从 Account-C 访问。
为了防止此类传递共享,您可以指定不能将自己的资源配置添加到可在账户之间共享的服务网络中。如果您指定此项,则 Account-B 无法将您的资源配置添加到已共享或将来可以与其他账户共享的服务网络中。
## 服务网络的类型
当您通过 AWS RAM与其他账户(例如 Account-B)共享资源配置时,Account-B 可以通过以下三种方式之一访问资源配置中指定的资源:
+ 使用*资源*类型的 VPC 端点(资源 VPC 端点)。
+ 使用*服务网络*类型的 VPC 端点(服务网络 VPC 端点)。
+ 使用服务网络 VPC 关联。
使用服务网络关联时,每个资源都将从 129.224.0.0/17 区块中为每个子网分配一个 IP,该区块归所有且不可路由。 AWS 这是对[托管前缀列表](security-groups.md#managed-prefix-list)的补充,VPC Lattice 使用该列表,通过 VPC Lattice 网络将流量路由到服务。这两项 IPs 都已更新到您的 VPC 路由表中。
对于服务网络 VPC 端点和服务网络 VPC 关联,资源配置必须与账户 B 中的服务网络相关联。 服务网络可在账户之间共享。因此,Account-B 可以与 Account-C 共享其服务网络(包含资源配置),从而使您的资源可以从 Account-C 访问。 为了防止此类传递共享,您可以禁止将自己的资源配置添加到可在账户之间共享的服务网络中。如果您禁止此操作,那么 Account-B 就无法将您的资源配置添加到已共享或可以与其他账户共享的服务网络中。
## 通过共享资源配置 AWS RAM
资源配置与集成 AWS Resource Access Manager。也可以通过 AWS RAM与其他账户共享资源配置。当您与账户共享资源配置时,该 AWS 账户中的客户可以私下访问该资源。您可在 AWS RAM中使用[资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html)来共享资源配置。
使用 AWS RAM 控制台查看您已添加到的资源共享、您可以访问的共享资源以及与您共享资源的 AWS 账户。有关更多信息,请参阅 *AWS RAM 用户指南*中的[与您共享的资源](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html)。
要从与资源配置相同的账户中的其他 VPC 访问资源,您无需通过共享资源配置 AWS RAM。
## 监控
您可以对资源配置启用监控日志。您可以选择要将日志发送到其中的目的地。
# 创建并验证域名
域名验证是一个允许您证明自己对给定域名的所有权的实体。作为资源提供商,您可以使用域及其子域名作为资源配置的自定义域名。资源使用者在描述资源配置时可以看到您的自定义域名的验证状态。
## 开始域名验证
您使用 VPC Lattice 开始域名验证,然后使用您的 DNS 区域来完成该过程。
------
#### [ AWS 管理控制台 ]
**开始域名验证**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格的**PrivateLink 和莱迪思**下,选择**域名验证**
1. 选择 “**开始域名验证**”。
1. 在 “**域名**” 中,输入您拥有的域名。
1. (可选)若要添加标签,请选择**添加新标签**,然后输入该标签的键和值。
1. 选择 “**开始域名验证”**。
成功开始域名验证后,VPC Lattice 会返回`Id`和。`txtMethodConfig`您可以使用`txtMethodConfig`来完成对您的域名的验证。
------
#### [ AWS CLI ]
以下`start-domain-verification`命令启动域名验证:
```
aws vpc-lattice start-domain-verification \
--domain-name example.com
```
输出内容如下所示:
```
{
"id": "dv-aaaa0000000111111",
"arn": "arn:aws:vpc-lattice:us-west-2:111122223333:domainverification/dv-aaaa0000000111111",
"domainName": "example.com",
"status": "PENDING",
"txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
}
```
VPC Lattice 返回`Id`和。`txtMethodConfig`您可以使用`txtMethodConfig`来完成对您的域名的验证。在此示例中,`txtMethodConfig`如下所示:
```
txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
```
------
## 完成域名验证
要完成域名验证,您需要在您的 DNS 区域中添加 TXT 记录。如果您使用 Route 53,请使用您的域名的托管区域。验证域名时,所有子域名也会被验证。例如,如果您进行验证`example.com`,则可以将资源配置与任何其他验证关联起来`alpha.example.com`,`beta.example.com`而不必执行任何其他验证。
要使用创建 TXT 记录 AWS 管理控制台,请参阅使用 [Amazon Route 53 控制台创建记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)。
**使用 Route 53 创建 TXT 记录 AWS CLI**
1. 使用带有以下示例`TXT-record.json`文件的[change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/r53/change-resource-record-sets.html)命令:
```
{
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "_11111aaaaaaaaa",
"Type": "TXT",
"ResourceRecords": [
{
"value": "vpc-lattice:1111aaaaaaa"
}
]
}
}
]
}
```
1. 使用以下 AWS CLI 命令将上一步中的 TXT 记录添加到 Route 53 托管区域:
```
aws route53 change-resource-record-sets \
--hosted-zone-id ABCD123456 \
--change-batch file://path/to/your/TXT-record.json
```
将`hosted-zone-id`替换为您账户中托管区域的 Route 53 托管区域 ID。change-batch 参数值指向文件夹 () 中的 JSON 文件 (txt-Record.json)。path/to/your
要检查您的域名的验证状态,您可以使用 VPC Lattice 控制台或`get-domain-verification`命令。
验证域名后,域名将一直处于验证状态,直到您将其删除。如果您从 DNS 区域中删除 TXT 记录,VPC Lattice 会删除,您需要重新验证域名。`verification-id`如果您删除 DNS 区域中的 TXT 记录,VPC Lattice 会将您的域名验证状态设置为`UNVERIFIED`。这不会影响任何现有资源终端节点、服务网络终端节点或服务网络 VPC 与您的资源配置的关联。要重新验证您的域名,请重新开始域名验证流程。
# 在 VPC Lattice 中创建资源配置
创建资源配置。
------
#### [ AWS 管理控制台 ]
**使用控制台创建资源配置**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的**PrivateLink 和莱迪思**下,选择**资源配置**。
1. 选择**创建资源配置**。
1. 输入一个在您的 AWS 账户中唯一的名称。在创建资源配置后无法更改此名称。
1. 对于**配置类型**,为单个资源或子资源选择**资源**,为一组子资源选择**资源组**。
1. 选择您之前创建的资源网关或立即创建一个资源网关。
1. (可选)要输入自定义域名,请执行以下任一操作:
+ 如果您的资源配置类型为 single,则可以输入自定义域名。资源使用者可以使用此域名来访问您的资源配置。
+ 如果您的资源配置类型为 group 和 child,则必须先在组资源配置中指定组域。接下来,子资源配置可以有自定义域,这些域名是组域的子域。
1. (可选)输入验证 ID。
如果您想验证您的域名,请提供验证 ID。这可以让资源使用者知道您拥有域名。
1. 选择您希望此资源配置代表的资源的标识符。
1. 选择与您要通过其共享资源的端口范围。
1. 对于**关联设置**,指定此资源配置是否可以与可共享的服务网络相关联。
1. 对于**共享资源配置**,请选择标识可以访问此资源的主体的资源共享。
1. (可选)对于**监控**,如果您要监控资源配置的请求和响应,请启用**资源访问日志**和传输目的地。
1. (可选)若要添加标签,请选择**添加新标签**,然后输入该标签的键和值。
1. 选择**创建资源配置**。
------
#### [ AWS CLI ]
以下[create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)命令创建单个资源配置并将其与自定义域名关联`example.com`。
```
aws vpc-lattice create-resource-configuration \
--name my-resource-config \
--type SINGLE \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--resource-configuration-definition 'ipResource={ipAddress=10.0.14.85}' \
--custom-domain-name example.com \
--verification-id dv-aaaa0000000111111
```
以下[create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)命令创建群组资源配置并将其与自定义域名关联`example.com`。
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-group \
--type GROUP \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--domain-verification-identifier dv-aaaa0000000111111
```
以下[create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html)命令创建子资源配置并将其与自定义域名关联`child.example.com`。
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-child \
--type CHILD \
--resource-configuration-definition 'dnsResource={domainName=my-alb-123456789.us-west-2.elb.amazonaws.com,ipAddressType=IPV4}' \
--resource-configuration-group-identifier rcfg-07129f3acded87626 \
--custom-domain-name child.example.com
```
------
# 管理 VPC Lattice 资源配置的关联
与您共享资源配置的消费者账户以及您账户中的客户可以直接使用资源类型的 VPC 终端节点或通过服务网络类型的 VPC 终端节点访问资源配置。因此,您的资源配置将具有端点关联和服务网络关联。
## 管理服务网络资源关联
创建或删除服务网络关联。
**注意**
如果您在创建服务网络和资源配置之间的关联时收到拒绝访问的消息,请检查您的 AWS RAM 策略版本并确保其为版本 2。有关更多信息,请参阅[AWS RAM 用户指南](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)。
**使用控制台管理服务网络关联**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的**PrivateLink 和莱迪思**下,选择**资源配置**。
1. 选择资源配置名称以打开其详细信息页面。
1. 选择**服务网络关联**选项卡。
1. 选择**创建关联**。
1. 从 **VPC Lattice 服务网络**中选择一个服务网络。要创建服务网络,请选择**创建 VPC Lattice 网络**。
1. (可选)要添加标签,请展开**服务关联标签**,选择**添加新标签**,然后输入标签键和标签值。
1. (可选)要为此服务网络资源关联启用私有 DNS 名称,请选择**启用私有 DNS 名称**。有关更多信息,请参阅 [服务网络所有者的自定义域名](resource-configuration.md#resource-configuration-custom-domain-name-service-network-owners)。
1. 选择**保存更改**。
1. 要删除关联,请选中关联的复选框,然后依次选择**操作**和**删除**。提示进行确认时,输入 **confirm**,然后选择**删除**。
**使用创建服务网络关联 AWS CLI**
使用 [create-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-resource-association.html) 命令。
**要删除服务网络关联,请使用 AWS CLI**
使用 [delete-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-resource-association.html) 命令。
## 管理资源 VPC 终端节点关联
有权访问您的资源配置的消费者账户或您账户中的客户可以使用资源 VPC 终端节点访问资源配置。如果您的资源配置具有自定义域名,则可以使用启用私有 DNS 来允许 VPC Lattice 为您的资源终端节点或服务网络终端节点配置私有托管区域。这样,客户端就可以直接卷曲域名来访问资源配置。有关更多信息,请参阅 [资源使用者的自定义域名](resource-configuration.md#custom-domain-name-resource-consumers)。
------
#### [ AWS 管理控制台 ]
1. 要创建新的端点关联,请转到左侧导航窗**格中的PrivateLink 和**莱迪思,然后选择**终端节点**。
1. 选择**创建端点**。
1. 选择要连接到 VPC 的资源配置。
1. 选择 VPC、子网和安全组。
1. (可选)要打开私有 DNS 并配置 DNS 选项,请选择**启用私有 DNS 名称**。
1. (可选)要向 VPC 端点添加标签,请选择**添加新标签**,然后输入标签键和标签值。
1. 选择**创建端点**。
------
#### [ AWS CLI ]
以下[create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)命令创建使用私有 DNS 的 VPC 终端节点。私有 DNS 首选项设置为,`VERIFIED_AND_SELECTED`所选域名设置为`example.com`和`example.org`。VPC Lattice 仅为任何经过验证的域名或`example.com`或`example.org`提供私有托管区域。
```
aws ec2 create-vpc-endpoint \
--vpc-endpoint-type Resource \
--vpc-id vpc-111122223333aabbc \
--subnet-ids subnet-0011aabbcc2233445 \
--resource-configuration-arn arn:aws:vpc-lattice:us-west-2:111122223333:resourceconfiguration/rcfg-07129f3acded87625 \
--private-dns-enabled \
--private-dns-preferences VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS \
--private-domains-set example.com, example.org
```
------
**使用创建 VPC 终端节点关联 AWS CLI**
使用 [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) 命令。
**要删除 VPC 终端节点关联,请使用 AWS CLI**
使用 [delete-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint.html) 命令。