本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 透過 存取 VPC 資源 AWS PrivateLink
<a name="privatelink-access-resources"></a>

您可以使用資源 VPC 端點 （資源端點） 私下存取另一個 VPC 中的 VPC 資源。資源端點可讓您私密且安全地存取 VPC 資源，例如資料庫、Amazon EC2 執行個體、應用程式端點、網域名稱目標，或可能位於另一個 VPC 中私有子網路或內部部署環境中的 IP 地址。如果沒有資源端點，您必須將網際網路閘道新增至 VPC，或使用 AWS PrivateLink 介面端點和 Network Load Balancer 存取資源。資源端點不需要[負載平衡器](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#loadbalancer)，因此您可以直接存取 VPC 資源。VPC 資源由資源組態表示。資源組態與資源閘道相關聯。

**定價**  
當您使用資源端點存取資源時，系統會針對佈建資源 VPC 端點的每個小時向您收費。當您存取 資源時，也會按 GB 處理的資料向您收費。如需詳細資訊，請參閱 [AWS PrivateLink 定價](https://aws.amazon.com/privatelink/pricing/)。當您使用資源組態和資源閘道啟用對資源的存取時，系統會針對資源閘道處理的每 GB 資料向您收費。如需詳細資訊，請參閱 [Amazon VPC Lattice 定價](https://aws.amazon.com/vpc/lattice/pricing/)。

**Topics**
+ [概要](#resource-endpoint-overview)
+ [DNS 主機名稱](#resource-endpoint-dns)
+ [DNS 解析](#resource-endpoint-dns-resolution)
+ [私有 DNS](#resource-endpoint-private-dns)
+ [子網路與可用區域](#resource-endpoint-subnets-zones)
+ [IP 地址類型](#resource-endpoint-ip-address-type)
+ [建立資源端點](use-resource-endpoint.md)
+ [管理資源端點](manage-resource-endpoint.md)
+ [資源組態](resource-configuration.md)
+ [資源閘道](resource-gateway.md)

## 概要
<a name="resource-endpoint-overview"></a>

您可以存取帳戶中的資源，或從另一個帳戶與您共用的資源。若要存取資源，您可以建立資源 VPC 端點，該端點會使用網路界面在 VPC 中的子網路與資源之間建立連線。目的地為 資源的流量會使用 DNS 解析為資源端點網路介面的私有 IP 地址。然後，流量會透過資源閘道，使用 VPC 端點與資源之間的連線傳送至資源。

下圖顯示取用者帳戶中的資源端點，該端點會存取不同帳戶所擁有並共用的資源 AWS RAM：

![取用者 VPC 中的資源端點會存取不同 VPC 中的資源。](http://docs.aws.amazon.com/zh_tw/vpc/latest/privatelink/images/access-resource-via-endpoint.png)


### 考量事項
<a name="resource-endpoint-considerations"></a>
+ 支援 TCP 流量。不支援 UDP 流量。
+ 網路連線必須從包含資源端點的 VPC 啟動，而不是從具有資源的 VPC 啟動。資源的 VPC 無法啟動端點 VPC 的網路連線。
+ 唯一支援的 ARN 型資源是 Amazon RDS 資源。
+ VPC 端點和資源閘道的至少一個[可用區域](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html#AZ)必須重疊。

## DNS 主機名稱
<a name="resource-endpoint-dns"></a>

使用 AWS PrivateLink，您可以使用私有端點將流量傳送至 資源。當您建立資源 VPC 端點時，我們會建立區域 DNS 名稱 （稱為預設 DNS 名稱），可用來與來自 VPC 和內部部署的資源通訊。我們建議您使用 DNS 而非端點 IPs來連線至您的 資源。資源 VPC 端點的預設 DNS 名稱具有下列語法：

```
{{endpoint_id}}.{{rcfgId}}.{{randomHash}}.vpc-lattice-rsc.{{region}}.on.aws
```

當您為使用 ARNs的特定資源組態建立資源 VPC 端點時，您可以啟用[私有 DNS](privatelink-access-aws-services.md#interface-endpoint-private-dns)。透過私有 DNS，您可以繼續使用 AWS 服務為資源佈建的 DNS 名稱向資源提出請求，同時透過資源 VPC 端點利用私有連線。如需詳細資訊，請參閱[DNS 解析](#resource-endpoint-dns-resolution)。

下列 [describe-vpc-endpoint-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-associations.html) 命令會顯示資源端點的 DNS 項目。

```
aws ec2 describe-vpc-endpoint-associations --vpc-endpoint-id {{vpce-123456789abcdefgh}} --query 'VpcEndpointAssociations[*].*'
```

以下是啟用私有 DNS 名稱之 Amazon RDS 資料庫的資源端點輸出範例。第一個 DNS 名稱是預設 DNS 名稱。第二個 DNS 名稱來自隱藏的私有託管區域，這會將公有端點的請求解析為端點網路介面的私有 IP 地址。

```
[
    [
        "vpce-rsc-asc-abcd1234abcd",
        "vpce-123456789abcdefgh",
        "Accessible",
        {
            "DnsName": "vpce-{{1234567890abcdefg}}-snra-{{1234567890abcdefg}}.rcfg-{{abcdefgh123456789}}.{{4232ccc}}.vpc-lattice-rsc.{{us-east-1}}.on.aws",
            "HostedZoneId": "ABCDEFGH123456789000"
        },
        {
            "DnsName": "{{database-5-test.cluster-ro-example}}.{{us-east-1}}.rds.amazonaws.com",
            "HostedZoneId": "A1B2CD3E4F5G6H8I91234"
        },
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890abcdefg",
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890xyz"
    ]
]
```

## DNS 解析
<a name="resource-endpoint-dns-resolution"></a>

我們為您的資源 VPC 端點建立的 DNS 記錄是公開的。因此，這些 DNS 名稱可公開解析。不過，來自 VPC 外部的 DNS 請求仍會傳回資源端點網路介面的私有 IP 地址。只要您能夠透過 VPN 或 Direct Connect 存取資源端點所在的 VPC，就可以使用這些 DNS 名稱從內部部署存取資源。

## 私有 DNS
<a name="resource-endpoint-private-dns"></a>

如果您為使用 ARNs 的特定資源組態啟用資源 VPC 端點的私有 DNS，且您的 VPC 同時啟用 [DNS 主機名稱和 DNS 解析](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)，我們會為具有自訂 DNS 名稱的資源組態建立隱藏的 AWS受管私有託管區域。託管區域包含資源預設 DNS 名稱的記錄集，其會解析為您 VPC 中資源端點網路介面的私有 IP 地址。

Amazon 為您的 VPC 提供 DNS 伺服器，名為 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。Route 53 Resolver 會自動解析本機 VPC 網域名稱和私有託管區域中的記錄。但是，您無法從 VPC 外部使用 Route 53 Resolver。如果您想要從內部部署網路存取 VPC 端點，您可以使用自訂 DNS 名稱，也可以使用 Route 53 Resolver 端點和 Resolver 規則。如需詳細資訊，請參閱[AWS Transit Gateway 與 AWS PrivateLink 和 整合 Amazon Route 53 Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/)。

## 子網路與可用區域
<a name="resource-endpoint-subnets-zones"></a>

您可以將 VPC 端點設定為每個可用區域一個子網路。我們會在子網路中建立 VPC 端點的端點網路介面。我們會根據 VPC 端點的 [IP 地址類型](#resource-endpoint-ip-address-type)，從其子網路中將 IP 地址指派給每個端點網路介面。在生產環境中，為了實現高可用性和彈性，我們建議為每個 VPC 端點設定至少兩個可用區域。

## IP 地址類型
<a name="resource-endpoint-ip-address-type"></a>

資源端點可以支援 IPv4、IPv6 或雙堆疊地址。支援 IPv6 的端點可以使用 AAAA 記錄回應 DNS 查詢。資源端點的 IP 地址類型必須與資源端點的子網路相容，如下所述：
+ **IPv4** - 將 IPv4 地址指派給您的端點網路界面。只有當所有選取的子網都具有 IPv4 地址範圍時，才支援此選項。
+ **IPv6** - 將 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都是 IPv6 子網時，才支援此選項。
+ **Dualstack** - 將 IPv4 和 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時，才支援此選項。

如果資源 VPC 端點支援 IPv4，則端點網路介面具有 IPv4 地址。如果資源 VPC 端點支援 IPv6，則端點網路介面具有 IPv6 地址。無法從網際網路連線端點網路界面的 IPv6 地址。如果您使用 IPv6 地址描述端點網路介面，請注意 `denyAllIgwTraffic` 已啟用。