本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon VPC Lattice 中的 VPC 資源
您可以與組織中的其他團隊或外部獨立軟體廠商 (ISV) 合作夥伴共用 VPC 資源。VPC 資源可以是 AWS原生資源,例如 Amazon RDS 資料庫、網域名稱或 IP 地址。資源可以位於您的 VPC 或內部部署網路中,不需要負載平衡。您可以使用 AWS RAM 來指定可存取資源的委託人。您可以建立資源閘道,以透過該閘道存取您的資源。您也可以建立資源組態,代表您要共用的資源或資源群組。
您共用資源的主體可以使用 VPC 端點私下存取這些資源。他們可以使用資源 VPC 端點存取 VPC Lattice 服務網路中的一個資源或集區多個資源,並使用服務網路 VPC 端點存取服務網路。
下列各節說明如何在 VPC Lattice 中建立和管理 VPC 資源:
**Topics**
+ [資源閘道](resource-gateway.md)
+ [資源組態](resource-configuration.md)
# VPC Lattice 中的資源閘道
*資源閘道*是將流量接收到資源所在 VPC 的點。它跨越多個可用區域。
如果您打算讓 VPC 內的資源可從其他 VPCs 必須具有資源閘道。您共用的每個資源都與資源閘道相關聯。當其他 VPCs或帳戶中的用戶端存取 VPC 中的資源時,資源會看到來自該 VPC 中資源閘道的本機流量。流量的來源 IP 地址是可用區域中資源閘道的 IP 地址。多個資源組態,每個都具有多個資源,可以連接到資源閘道。
下圖顯示用戶端如何透過資源閘道存取資源:
![\[透過資源閘道存取資源的用戶端。\]](http://docs.aws.amazon.com/zh_tw/vpc-lattice/latest/ug/images/resource-gateway-to-resource.png)
**Topics**
+ [考量事項](#resource-gateway-considerations)
+ [Security groups (安全群組)](#resource-gateway-security-groups)
+ [IP 地址類型](#resource-gateway-ip-address-type)
+ [每個 ENI 的 IPv4 位址](#ipv4-address-type-per-eni)
+ [建立資源閘道](create-resource-gateway.md)
+ [刪除資源閘道](delete-resource-gateway.md)
## 考量事項
下列考量適用於資源閘道:
+ 若要從所有[可用區域](https://aws.amazon.com/about-aws/global-infrastructure/regions_az/)存取您的資源,您應該建立資源閘道,以盡可能跨越多個可用區域。
+ VPC 端點和資源閘道的至少一個可用區域必須重疊。
+ VPC 最多可以有 100 個資源閘道。如需詳細資訊,請參閱 [VPC Lattice 的配額](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html)。
+ VPC Lattice 可能會將新的 ENIs 新增至您的資源閘道。
+ 具有共用 VPC 子網路的資源閘道:
+ 資源閘道只能由擁有 VPC 的帳戶部署到共用 VPC 子網路。
+ 資源閘道的資源組態只能由擁有資源閘道的帳戶建立。
## Security groups (安全群組)
您可以將安全群組連接至資源閘道。資源閘道的安全群組規則會控制從資源閘道到資源的傳出流量。
** 從資源閘道流向資料庫資源的流量的建議傳出規則**
若要讓流量從資源閘道流向資源,您必須為資源接受的接聽程式通訊協定和連接埠範圍建立傳出規則。
| 目標 | 通訊協定 | 連接埠範圍 | Comment |
| --- | --- | --- | --- |
| 資源的 CIDR 範圍 | TCP | 3306 | 允許從資源閘道到資料庫的流量。 |
## IP 地址類型
資源閘道可以有 IPv4, IPv6 或雙堆疊地址。資源閘道的 IP 地址類型必須與資源閘道的子網路和資源的 IP 地址類型相容,如下所述:
+ **IPv4** – 將 IPv4 地址指派給資源閘道網路介面。只有在所有選取的子網路都具有 IPv4 地址範圍,且資源也具有 IPv4 地址時,才支援此選項。使用此選項時,您可以設定每個資源閘道 ENI 的 IPv4 地址數量。
+ **IPv6** – 將 IPv6 地址指派給資源閘道網路介面。只有在所有選取的子網路都是僅限 IPv6 的子網路,且資源也具有 IPv6 地址時,才支援此選項。當您使用此選項時,IPv6 地址會自動指派,不需要管理。
+ **Dualstack** – 將 IPv4 和 IPv6 地址指派給資源閘道網路介面。只有在所有選取的子網路同時具有 IPv4 和 IPv6 地址範圍,且資源具有 IPv4 或 IPv6 地址時,才支援此選項。使用此選項時,您可以設定每個資源閘道 ENI 的 IPv4 地址數量。
資源閘道的 IP 地址類型與用戶端的 IP 地址類型或存取資源的 VPC 端點無關。
## 每個 ENI 的 IPv4 位址
如果您的資源閘道具有 IPv4 或雙堆疊 IP 地址類型,您可以設定指派給資源閘道每個 ENI 的 IPv4 地址數目。建立資源閘道時,您可以選擇 1 到 62 個 IPv4 地址。設定 IPv4 地址的數量後,就無法變更該值。
IPv4 地址用於網路地址轉譯,並判斷與資源並行 IPv4 連線的數量上限。每個 IPv4 地址每個目的地 IP 最多可支援 55,000 個同時連線。根據預設,所有資源閘道都會為每個 ENI 指派 16 個 IPv4 地址。
如果您的資源閘道使用 IPv6 地址類型,資源閘道會自動接收每個 ENI 的 /80 CIDR。此值無法變更。每個連線的最大傳輸單位 (MTU) 為 8500 位元組。
# 在 VPC Lattice 中建立資源閘道
使用 主控台建立資源閘道。
**使用主控台建立資源閘道**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格的 **PrivateLink 和 Lattice** 下,選擇**資源閘道**。
1. 選擇**建立資源閘道**。
1. 針對**資源閘道名稱**,輸入您 AWS 帳戶中唯一的名稱。
1. 針對 **IP 地址類型**,選擇資源閘道的 IP 地址類型。
1. 如果您為 **IP 地址類型**選取 **IPv4** 或 **Dualstack**,則可以為資源閘道輸入每個 ENI 的 IPv4 地址數量。
預設為每個 ENI 16 個 IPv4 地址。這是與您的後端資源建立連線的適當 IPs 數量。
1. 對於 **VPC**,請選擇要在其中建立資源閘道的 VPC 和子網路。
1. 針對**安全群組**,選擇最多五個安全群組,以控制從 VPC 到服務網路的傳入流量。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立資源閘道**。
**使用 建立資源閘道 AWS CLI**
使用 [create-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-resource-gateway.html) 命令。
# 刪除 VPC Lattice 中的資源閘道
使用 主控台刪除資源閘道。
**使用主控台刪除資源閘道**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格的 **PrivateLink 和 Lattice** 下,選擇**資源閘道**。
1. 選取您要刪除之資源閘道的核取方塊,然後選擇**動作**、**刪除**。出現確認提示時,請輸入 **confirm**,然後選擇 **Delete** (刪除)。
**使用 刪除資源閘道 AWS CLI**
使用 [delete-resource-gateway](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-resource-gateway.html) 命令。
# VPC 資源的資源組態
資源組態代表您要讓其他 VPCs和帳戶中的用戶端存取的資源或資源群組。透過定義資源組態,您可以從其他 VPC 和帳戶中的用戶端,允許私有、安全、單向網路連線至 VPCs中的資源。資源組態與其接收流量的資源閘道相關聯。若要從另一個 VPC 存取資源,它需要有資源組態。
**Topics**
+ [資源組態的類型](#resource-configuration-types)
+ [通訊協定](#resource-configuration-protocol)
+ [資源閘道](#resource-gateway)
+ [資源提供者的自訂網域名稱](#custom-domain-name-resource-providers)
+ [資源取用者的自訂網域名稱](#custom-domain-name-resource-consumers)
+ [服務網路擁有者的自訂網域名稱](#resource-configuration-custom-domain-name-service-network-owners)
+ [資源定義](#resource-definition)
+ [連接埠範圍](#resource-configuration-port)
+ [存取 資源](#resource-configuration-accessing)
+ [與服務網路類型的關聯](#resource-configuration-service-network-association)
+ [服務網路的類型](#service-network-types)
+ [透過 共用資源組態 AWS RAM](#sharing-resource-configuration-ram)
+ [監控](#resource-configuration-monitoring)
+ [建立和驗證網域](create-and-verify.md)
+ [建立資源組態](create-resource-configuration.md)
+ [管理關聯](resource-configuration-associations.md)
## 資源組態的類型
資源組態可以有數種類型。不同類型的協助代表不同類型的資源。類型為:
+ **單一資源組態**:代表 IP 地址或網域名稱。它可以獨立共用。
+ **群組資源組態**:它是子資源組態的集合。它可用來代表 DNS 和 IP 地址端點的群組。
+ **子資源組態**:它是群組資源組態的成員。它代表 IP 地址或網域名稱。它無法獨立共用,只能做為群組的一部分共用。它可以從群組中新增和移除。新增時,其會自動供可存取 群組的人員存取。
+ **ARN 資源組態**:代表由 AWS 服務佈建的支援資源類型。任何群組-子關係都會自動處理。
下圖顯示單一、子和群組資源組態:
![\[單一、子和群組資源組態。\]](http://docs.aws.amazon.com/zh_tw/vpc-lattice/latest/ug/images/resource-config-types.png)
## 通訊協定
當您建立資源組態時,您可以定義資源將支援的通訊協定。目前僅支援 TCP 通訊協定。
## 資源閘道
資源組態與資源閘道相關聯。資源閘道是一組 ENIs,可做為資源所在的 VPC 傳入點。多個資源組態可以與相同的資源閘道相關聯。當其他 VPCs或帳戶中的用戶端存取 VPC 中的資源時,資源會看到來自該 VPC 中資源閘道 IP 地址的本機流量。
## 資源提供者的自訂網域名稱
資源提供者可以將自訂網域名稱連接到資源組態,例如 `example.com`,取用者可以使用該資源來存取資源組態。自訂網域名稱可以由資源提供者擁有和驗證,也可以是第三方或 AWS 網域。資源提供者可以使用資源組態來共用快取叢集和 Kafka 叢集、TLS 型應用程式或其他 AWS 資源。
下列考量適用於資源組態提供者:
+ 資源組態只能有一個自訂網域。
+ 資源組態的自訂網域名稱無法變更。
+ 所有資源組態取用者都可看見自訂網域名稱。
+ 您可以使用 VPC Lattice 中的網域名稱驗證程序來驗證自訂網域名稱。如需詳細資訊,請參閱 [建立和驗證網域](create-and-verify.md)。
+ 對於類型群組和子項的資源組態,您必須先在群組資源組態上指定群組網域。之後,子資源組態可以具有屬於群組網域子網域的自訂網域。如果群組沒有群組網域,您可以為子系使用任何自訂網域名稱,但 VPC Lattice 不會為資源消費者 VPC 中的子系網域名稱佈建任何託管區域。
## 資源取用者的自訂網域名稱
當資源取用者啟用具有自訂網域名稱的資源組態連線時,他們可以允許 VPC Lattice 在其 VPC 中管理 Route 53 私有託管區域。資源取用者有精細的選項,他們想要允許 VPC Lattice 管理私有託管區域的網域。
當透過資源端點、服務網路端點或服務網路 VPC 關聯啟用與資源組態的連線時,資源取用者可以設定 `private-dns-enabled` 參數。除了 `private-dns-enabled` 參數,消費者可以使用 DNS 選項來指定他們希望 VPC Lattice 管理私有託管區域的網域。消費者可以選擇下列私有 DNS 偏好設定:
**`ALL_DOMAINS`**
VPC Lattice 為所有自訂網域名稱佈建私有託管區域。
**`VERIFIED_DOMAINS_ONLY`**
只有在供應商已驗證自訂網域名稱時,VPC Lattice 才會佈建私有託管區域。
**`VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`**
VPC Lattice 會為所有已驗證的自訂網域名稱和資源取用者指定的其他網域名稱佈建私有託管區域。資源取用者會在 `private DNS specified domains` 參數中指定網域名稱。
**`SPECIFIED_DOMAINS_ONLY`**
VPC Lattice 會為資源取用者指定的網域名稱佈建私有託管區域。資源取用者會在 `private DNS specified domains ` 參數中指定網域名稱。
當您啟用私有 DNS 時,VPC Lattice 會在 VPC 中為與資源組態相關聯的自訂網域名稱建立私有託管區域。根據預設,私有 DNS 偏好設定會設為 `VERIFIED_DOMAINS_ONLY`。這表示只有在資源提供者已驗證自訂網域名稱時,才會建立私有託管區域。如果您將私有 DNS 偏好設定設定為 `ALL_DOMAINS`或 `SPECIFIED_DOMAINS_ONLY`,則無論自訂網域名稱的驗證狀態為何,VPC Lattice 都會建立私有託管區域。為指定網域建立私有託管區域時,從 VPC 到該網域的所有流量都會透過 VPC Lattice 路由。建議您只在希望這些自訂網域名稱的流量通過 VPC Lattice `ALL_DOMAINS`時使用 `VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS`、 或 `SPECIFIED_DOMAINS_ONLY`偏好設定。
我們建議資源消費者將其私有 DNS 偏好設定設為 `VERIFIED_DOMAINS_ONLY`。這可讓消費者透過僅允許 VPC Lattice 為資源消費者帳戶中已驗證的網域佈建私有託管區域,來加強其安全周邊。
若要選取私有 DNS 指定網域中的網域,資源取用者可以輸入完整網域名稱,例如 `my.example.com`,或使用萬用字元,例如 `*.example.com`。
下列考量適用於資源組態的取用者:
+ 私有 DNS 啟用參數無法變更。
+ 應在服務網路資源關聯上啟用私有 DNS,以便在 VPC 中建立私有託管。對於資源組態,服務網路資源關聯的私有 DNS 啟用狀態會覆寫服務網路端點或服務網路 VPC 關聯的私有 DNS 啟用狀態。
## 服務網路擁有者的自訂網域名稱
服務網路資源關聯的私有 DNS 啟用屬性會覆寫服務網路端點的私有 DNS 啟用屬性和服務網路 VPC 關聯。
如果服務網路擁有者建立服務網路資源關聯,但未啟用私有 DNS,即使已在服務網路端點或服務網路 VPC 關聯上啟用私有 DNS,VPC Lattice 也不會在服務網路連線的任何 VPCs 中為該資源組態佈建私有託管區域。
對於 ARN 類型的資源組態,私有 DNS 旗標為 true 且不變。
## 資源定義
在資源組態中,以下列其中一種方式識別資源:
+ 透過 **Amazon Resource Name (ARN)**:由 AWS 服務佈建的支援資源類型可由其 ARN 識別。僅支援 Amazon RDS 資料庫。您無法為可公開存取的叢集建立資源組態。
+ 依**網域名稱目標**:您可以使用任何可公開解析的網域名稱。如果您的網域名稱指向 VPC 外部的 IP,則必須在 VPC 中具有 NAT 閘道。
+ 依 **IP 地址**:針對 IPv4,從下列範圍指定私有 IP:10.0.0.0/8、100.64.0.0/10、172.16.0.0/12、192.168.0.0/16。針對 IPv6,從 VPC 指定 IP。不支援公IPs。
## 連接埠範圍
當您建立資源組態時,您可以定義其將接受請求的連接埠。不允許在其他連接埠上存取用戶端。
## 存取 資源
消費者可以使用 VPC 端點或透過服務網路直接從其 VPC 存取資源組態。身為取用者,您可以啟用從 VPC 存取您帳戶中的資源組態,或透過其他帳戶與您共用的資源組態 AWS RAM。
+ * 直接存取資源組態*
您可以在 AWS PrivateLink VPC 中建立類型資源的 VPC 端點 (資源端點),以從 VPC 私下存取資源組態。如需如何建立資源端點的詳細資訊,請參閱*AWS PrivateLink《 使用者指南*》中的[存取 VPC 資源](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-resources.html)。
+ *透過服務網路存取資源組態*
您可以將資源組態關聯至服務網路,並將 VPC 連線至服務網路。您可以透過 關聯或使用服務網路 VPC 端點,將 VPC 連線至 AWS PrivateLink 服務網路。
如需服務網路關聯的詳細資訊,請參閱[管理 VPC Lattice 服務網路的關聯](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html)。
如需服務網路 VPC 端點的詳細資訊,請參閱*AWS PrivateLink 《 使用者指南*》中的[存取服務網路](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-service-networks.html)。
為您的 VPC 啟用私有 DNS 時,您無法為相同的資源組態建立資源端點和服務網路端點。
## 與服務網路類型的關聯
當您與取用者帳戶共用資源組態時,例如 Account-B,透過 AWS RAM,Account-B 可以直接透過資源 VPC 端點或透過服務網路存取資源組態。
若要透過服務網路存取資源組態,Account-B 必須將資源組態與服務網路建立關聯。服務網路可在帳戶之間共用。因此,Account-B 可以與 Account-C 共用其服務網路 (與資源組態相關聯的),讓您的資源可從 Account-C 存取。
為了防止這類暫時性共用,您可以指定資源組態無法新增至可在帳戶之間共用的服務網路。如果您指定此選項,則 Account-B 將無法將您的資源組態新增至已共用或未來可與其他帳戶共用的服務網路。
## 服務網路的類型
當您透過 與其他帳戶共用資源組態時, AWS RAM Account-B 可以透過下列三種方式之一存取資源組態中指定的資源:
+ 使用類型*資源*的 VPC 端點 (資源 VPC 端點)。
+ 使用類型為*服務網路*的 VPC 端點 (服務網路 VPC 端點)。
+ 使用服務網路 VPC 關聯。
當您使用服務網路關聯時,每個資源都會從 129.224.0.0/17 區塊指派給每個子網路的 IP,這是 AWS 擁有且不可路由的。這是 VPC Lattice 用來透過 VPC Lattice 網路將流量路由至 服務的[受管字首清單](security-groups.md#managed-prefix-list)以外的項目。這兩個 IPs都會更新到您的 VPC 路由表。
對於服務網路 VPC 端點和服務網路 VPC 關聯,資源組態必須與 Account-B 中的服務網路相關聯。 服務網路可在帳戶之間共用。因此,Account-B 可以與 Account-C 共用其服務網路 (包含資源組態),讓您的資源可從 Account-C 存取。 為了防止這類暫時性共用,您可以不允許將資源組態新增至可在帳戶之間共用的服務網路。如果您不允許,則 Account-B 將無法將您的資源組態新增至共用或可以與其他帳戶共用的服務網路。
## 透過 共用資源組態 AWS RAM
資源組態已與 整合 AWS Resource Access Manager。您可以透過 與其他 帳戶共用資源組態 AWS RAM。當您與 AWS 帳戶共用資源組態時,該帳戶中的用戶端可以私下存取資源。您可以使用 中的資源共用來[共用資源](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html)組態 AWS RAM。
使用 AWS RAM 主控台來檢視您新增的資源共用、您可以存取的共用資源,以及與您共用資源 AWS 的帳戶。如需詳細資訊,請參閱*AWS RAM 《 使用者指南*》中的[與您共用的資源](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html)。
若要從與資源組態相同的帳戶中的另一個 VPC 存取資源,您不需要透過 共用資源組態 AWS RAM。
## 監控
您可以在資源組態上啟用監控日誌。您可以選擇要傳送日誌的目的地。
# 建立和驗證網域
網域名稱驗證是一種實體,可讓您證明您對指定網域的擁有權。身為資源提供者,您可以使用 網域和其子網域做為資源組態的自訂網域名稱。資源取用者在描述資源組態時,可以看到自訂網域名稱的驗證狀態。
## 開始網域驗證
您可以使用 VPC Lattice 開始網域名稱驗證,然後使用 DNS 區域來完成程序。
------
#### [ AWS 管理主控台 ]
**開始網域名稱驗證**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格的 **PrivateLink 和 Lattice** 下,選擇**網域驗證**
1. 選擇**開始網域驗證**。
1. 針對**網域名稱**,輸入您擁有的網域名稱。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**開始網域名稱驗證**。
網域名稱驗證成功開始後,VPC Lattice 會傳回 `Id`和 `txtMethodConfig`。您可以使用 `txtMethodConfig`來完成網域名稱的驗證。
------
#### [ AWS CLI ]
下列`start-domain-verification`命令會啟動網域名稱驗證:
```
aws vpc-lattice start-domain-verification \
--domain-name example.com
```
輸出看起來如下:
```
{
"id": "dv-aaaa0000000111111",
"arn": "arn:aws:vpc-lattice:us-west-2:111122223333:domainverification/dv-aaaa0000000111111",
"domainName": "example.com",
"status": "PENDING",
"txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
}
```
VPC Lattice 會傳回 `Id`和 `txtMethodConfig`。您可以使用 `txtMethodConfig`來完成網域名稱的驗證。在此範例中, `txtMethodConfig`如下:
```
txtMethodConfig": {
"value": "vpc-lattice:1111aaaaaaa",
"name": "_11111aaaaaaaaa"
}
```
------
## 完成網域名稱驗證
若要完成網域名稱驗證,請在 DNS 區域中新增 TXT 記錄。如果您使用 Route 53,請使用網域名稱的託管區域。當您驗證網域名稱時,也會驗證任何子網域。例如,如果您驗證 `example.com`,您可以將資源組態與 `alpha.example.com` 和 建立關聯,`beta.example.com`而無需執行任何其他驗證。
若要使用 建立 TXT 記錄 AWS 管理主控台,請參閱[使用 Amazon Route 53 主控台建立記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)。
**使用 AWS CLI for Route 53 建立 TXT 記錄**
1. 使用 [change-resource-record-sets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/r53/change-resource-record-sets.html) 命令搭配下列範例`TXT-record.json`檔案:
```
{
"Changes": [
{
"Action": "CREATE",
"ResourceRecordSet": {
"Name": "_11111aaaaaaaaa",
"Type": "TXT",
"ResourceRecords": [
{
"value": "vpc-lattice:1111aaaaaaa"
}
]
}
}
]
}
```
1. 使用下列 AWS CLI 命令,將上一個步驟的 TXT 記錄新增至 Route 53 託管區域:
```
aws route53 change-resource-record-sets \
--hosted-zone-id ABCD123456 \
--change-batch file://path/to/your/TXT-record.json
```
將 取代`hosted-zone-id`為您帳戶中託管區域的 Route 53 託管區域 ID。change-batch 參數值指向資料夾 (path/to/your) 中的 JSON 檔案 (TXT-record.json)。
若要檢查網域名稱的驗證狀態,您可以使用 VPC Lattice 主控台或 `get-domain-verification`命令。
驗證網域名稱後,它會保持驗證狀態,直到您將其刪除為止。如果您從 DNS 區域刪除 TXT 記錄,VPC Lattice 會刪除 ,`verification-id`而且您需要重新驗證網域名稱。如果您刪除 DNS 區域中的 TXT 記錄,VPC Lattice 會將您的網域名稱驗證狀態設定為 `UNVERIFIED`。這不會影響任何現有的資源端點、服務網路端點或服務網路 VPC 與您的資源組態的關聯。若要重新驗證您的網域名稱,請重新開始網域名稱驗證程序。
# 在 VPC Lattice 中建立資源組態
建立資源組態。
------
#### [ AWS 管理主控台 ]
**使用主控台建立資源組態**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格的 **PrivateLink 和 Lattice** 下,選擇**資源組態**。
1. 選擇**建立資源組態**。
1. 輸入您 AWS 帳戶中唯一的名稱。您無法在建立資源組態後變更此名稱。
1. 針對**組態類型**,為單一或子資源選擇**資源**,或為子資源群組選擇**資源**。
1. 選擇您先前建立的資源閘道,或立即建立資源閘道。
1. (選用) 若要輸入自訂網域名稱,請執行下列其中一項操作:
+ 如果您有單一類型的資源組態,您可以輸入自訂網域名稱。資源取用者可以使用此網域名稱來存取您的資源組態。
+ 如果您有類型群組和子項的資源組態,您必須先在群組資源組態上指定群組網域。接下來,子資源組態可以具有屬於群組網域子網域的自訂網域。
1. (選用) 輸入驗證 ID。
如果您想要驗證網域名稱,請提供驗證 ID。這可讓資源消費者知道您擁有網域名稱。
1. 選擇您希望此資源組態代表的資源識別符。
1. 選擇您要共用資源的連接埠範圍。
1. 針對**關聯設定**,指定此資源組態是否可以與可共用的服務網路建立關聯。
1. 針對**共用資源組態**,選擇可識別可存取此資源之主體的資源共用。
1. (選用) 對於**監控**,如果您想要監控對資源組態的請求和回應,請啟用**資源存取日誌**和交付目的地。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立資源組態**。
------
#### [ AWS CLI ]
下列 [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html) 命令會建立單一資源組態,並將其與自訂網域名稱 建立關聯`example.com`。
```
aws vpc-lattice create-resource-configuration \
--name my-resource-config \
--type SINGLE \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--resource-configuration-definition 'ipResource={ipAddress=10.0.14.85}' \
--custom-domain-name example.com \
--verification-id dv-aaaa0000000111111
```
下列 [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html) 命令會建立群組資源組態,並將其與自訂網域名稱 建立關聯`example.com`。
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-group \
--type GROUP \
--resource-gateway-identifier rgw-0bba03f3d56060135 \
--domain-verification-identifier dv-aaaa0000000111111
```
下列 [create-resource-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/vpc-lattice/create-resource-configuration.html) 命令會建立子資源組態,並將其與自訂網域名稱 建立關聯`child.example.com`。
```
aws vpc-lattice-custom-dns create-resource-configuration \
--name my-custom-dns-resource-config-child \
--type CHILD \
--resource-configuration-definition 'dnsResource={domainName=my-alb-123456789.us-west-2.elb.amazonaws.com,ipAddressType=IPV4}' \
--resource-configuration-group-identifier rcfg-07129f3acded87626 \
--custom-domain-name child.example.com
```
------
# 管理 VPC Lattice 資源組態的關聯
與您帳戶中的 和用戶端共用資源組態的消費者帳戶可以直接使用類型資源的 VPC 端點或透過類型服務網路的 VPC 端點存取資源組態。因此,您的資源組態將具有端點關聯和服務網路關聯。
## 管理服務網路資源關聯
建立或刪除服務網路關聯。
**注意**
如果您在建立服務網路與資源組態之間的關聯時收到存取遭拒訊息,請檢查您的 AWS RAM 政策版本,並確保其為版本 2。如需詳細資訊,請參閱 [AWS RAM 使用者指南](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)。
**使用主控台管理服務網路關聯**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格的 **PrivateLink 和 Lattice** 下,選擇**資源組態**。
1. 選取資源組態的名稱以開啟其詳細資訊頁面。
1. 選取**服務網路關聯**索引標籤。
1. 選擇**建立關聯**。
1. 從 **VPC Lattice 服務網路中選取服務網路**。若要建立服務網路,請選擇**建立 VPC Lattice 網路**。
1. (選用) 若要新增標籤,請展開**服務關聯標籤**,選擇**新增標籤**,然後輸入標籤索引鍵和標籤值。
1. (選用) 若要啟用此服務網路資源關聯的私有 DNS 名稱,請選擇**啟用私有 DNS 名稱**。如需詳細資訊,請參閱[服務網路擁有者的自訂網域名稱](resource-configuration.md#resource-configuration-custom-domain-name-service-network-owners)。
1. 選擇 **Save changes** (儲存變更)。
1. 若要刪除關聯,請選取關聯的核取方塊,然後選擇**動作**、**刪除**。出現確認提示時,請輸入 **confirm**,然後選擇 **Delete** (刪除)。
**使用 建立服務網路關聯 AWS CLI**
使用 [create-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-service-network-resource-association.html) 命令。
**使用 刪除服務網路關聯 AWS CLI**
使用 [delete-service-network-resource-association](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/delete-service-network-resource-association.html) 命令。
## 管理資源 VPC 端點關聯
可存取您資源組態或您帳戶中用戶端的消費者帳戶可以使用資源 VPC 端點來存取資源組態。如果您的資源組態具有自訂網域名稱,您可以使用啟用私有 DNS 來允許 VPC Lattice 為您的資源端點或服務網路端點佈建私有託管區域。這樣,用戶端可以直接控制網域名稱來存取資源組態。如需詳細資訊,請參閱[資源取用者的自訂網域名稱](resource-configuration.md#custom-domain-name-resource-consumers)。
------
#### [ AWS 管理主控台 ]
1. 若要建立新的端點關聯,請前往左側導覽窗格中的 **PrivateLink 和 Lattice**,然後選擇**端點**。
1. 選擇**建立端點**。
1. 選取您要連線至 VPC 的資源組態。
1. 選取 VPC、子網路和安全群組。
1. (選用) 若要開啟私有 DNS 並設定 DNS 選項,請選取**啟用私有 DNS 名稱**。
1. (選用) 若要標記 VPC 端點,請選擇**新增標籤**,然後輸入標籤索引鍵和標籤值。
1. 選擇**建立端點**。
------
#### [ AWS CLI ]
下列 [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html) 命令會建立使用私有 DNS 的 VPC 端點。私有 DNS 偏好設定設定為 ,`VERIFIED_AND_SELECTED`而選取的網域為 `example.com`和 `example.org`。VPC Lattice 只會為任何已驗證的網域或 `example.com`或 佈建私有託管區域`example.org`。
```
aws ec2 create-vpc-endpoint \
--vpc-endpoint-type Resource \
--vpc-id vpc-111122223333aabbc \
--subnet-ids subnet-0011aabbcc2233445 \
--resource-configuration-arn arn:aws:vpc-lattice:us-west-2:111122223333:resourceconfiguration/rcfg-07129f3acded87625 \
--private-dns-enabled \
--private-dns-preferences VERIFIED_DOMAINS_AND_SPECIFIED_DOMAINS \
--private-domains-set example.com, example.org
```
------
**使用 建立 VPC 端點關聯 AWS CLI**
使用 [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) 命令。
**使用 刪除 VPC 端點關聯 AWS CLI**
使用 [delete-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoint.html) 命令。