

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 透過 存取服務網路 AWS PrivateLink
<a name="privatelink-access-service-networks"></a>

您可以使用服務網路 VPC 端點 （服務網路端點），從 VPC 私下連線至服務網路。服務網路端點可讓您私密且安全地存取與服務網路相關聯的資源和服務。透過這種方式，您可以透過單一 VPC 端點私下存取多個資源和服務。

服務網路是資源組態和 VPC Lattice 服務的邏輯集合。使用服務網路端點，您可以將服務網路連接到 VPC，並從 VPC 或內部部署私下存取這些資源和服務。服務網路端點可讓您連線至一個服務網路。若要從 VPC 連線至多個服務網路，您可以建立多個服務網路端點，每個端點都指向不同的服務網路。

服務網路與 AWS Resource Access Manager (AWS RAM) 整合。您可以透過 與其他 帳戶共用您的服務網路 AWS RAM。當您與其他 AWS 帳戶共用服務網路時，該帳戶可以建立服務網路端點以連線至服務網路。您可以使用 中的[資源共享來共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html)服務網路 AWS RAM。

使用 AWS RAM 主控台來檢視您已新增的資源共用、您可以存取的共用服務網路，以及已與您共用資源 AWS 的帳戶。如需詳細資訊，請參閱*AWS RAM 《 使用者指南*》中的[與您共用的資源](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared.html)。

**定價**  
系統會每小時向您收取與服務網路相關聯的資源組態費用。當您透過服務網路 VPC 端點存取資源時，也會針對處理的每 GB 資料向您收費。您不需要為服務網路 VPC 端點本身按小時計費。如需詳細資訊，請參閱 [Amazon VPC Lattice 定價](https://aws.amazon.com/vpc/lattice/pricing/)。

**Topics**
+ [概要](#sn-network-overview)
+ [DNS 主機名稱](#sn-endpoint-dns)
+ [DNS 解析](#sn-endpoint-dns-resolution)
+ [私有 DNS](#sn-endpoint-private-dns)
+ [子網路與可用區域](#sn-endpoint-subnets-zones)
+ [IP 地址類型](#sn-endpoint-ip-address-type)
+ [建立服務網路端點](access-with-service-network-endpoint.md)
+ [管理服務網路端點](manage-sn-endpoint.md)

## 概要
<a name="sn-network-overview"></a>

您可以建立自己的服務網路，也可以從另一個帳戶與您共用服務網路。無論哪種方式，您都可以建立服務網路端點，以從您的 VPC 連線到它。如需如何建立服務網路並將資源組態與其建立關聯的詳細資訊，請參閱 [Amazon VPC Lattice 使用者指南](https://docs.aws.amazon.com/vpc-lattice/latest/ug/)。

下圖顯示 VPC 中的服務網路端點如何存取服務網路。

![服務網路端點會連線至服務網路。](http://docs.aws.amazon.com/zh_tw/vpc/latest/privatelink/images/service-network-endpoint.png)


網路連線只能從具有服務網路端點的 VPC 起始到服務網路中的資源和服務。具有 資源和服務的 VPC 無法啟動端點 VPC 的網路連線。

## DNS 主機名稱
<a name="sn-endpoint-dns"></a>

使用 AWS PrivateLink，您可以使用私有端點將流量傳送至服務網路。當您建立服務網路 VPC 端點時，我們會為每個資源和服務建立區域 DNS 名稱 （稱為預設 DNS 名稱），您可用來從 VPC 和內部部署與資源和服務通訊。與端點相關聯的 IP 地址可能會變更。我們建議您使用 DNS 而非端點 IPs來連線至您的服務網路。

服務網路中資源的預設 DNS 名稱具有下列語法：

```
{{endpointId}}-{{snraId}}.{{rcfgId}}.{{randomHash}}.vpc-lattice-rsc.{{region}}.on.aws
```

服務網路中 Lattice 服務的預設 DNS 名稱具有下列語法：

```
{{endpointId}}-{{snsaId}}.{{randomHash}}.vpc-lattice-svcs.{{region}}.on.aws
```

如果您使用的是 AWS 管理主控台，您可以在**關聯**索引標籤下找到 DNS 名稱。如果您使用的是 AWS CLI，請使用 [describe-vpc-endpoint-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-associations.html) 命令。

只有當您的服務網路對 Amazon RDS 資料庫服務具有 ARN 類型資源組態時，您才能啟用[私有 DNS](privatelink-access-aws-services.md#interface-endpoint-private-dns)。透過私有 DNS，您可以繼續使用 AWS 服務為資源佈建的 DNS 名稱向資源提出請求，同時透過服務網路 VPC 端點利用私有連線。如需詳細資訊，請參閱[DNS 解析](privatelink-access-resources.md#resource-endpoint-dns-resolution)。

## DNS 解析
<a name="sn-endpoint-dns-resolution"></a>

當您建立服務網路端點時，我們會為每個資源組態和與服務網路相關聯的 Lattice 服務建立 DNS 名稱。這些 DNS 記錄是公開的。因此，這些 DNS 名稱可公開解析。不過，來自 VPC 外部的 DNS 請求仍會傳回服務網路端點網路介面的私有 IP 地址。您可以使用這些 DNS 名稱從內部部署存取資源和服務，只要您能夠透過 VPN 或 Direct Connect 存取服務網路端點所在的 VPC。

## 私有 DNS
<a name="sn-endpoint-private-dns"></a>

如果您為服務網路 VPC 端點啟用私有 DNS，且您的 VPC 同時啟用 [DNS 主機名稱和 DNS 解析](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)，我們會為具有自訂 DNS 名稱的資源組態建立隱藏的 AWS受管私有託管區域。託管區域包含資源預設 DNS 名稱的記錄集，其會解析為 VPC 中服務網路端點網路介面的私有 IP 地址。

Amazon 為您的 VPC 提供 DNS 伺服器，名為 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)。Route 53 Resolver 會自動解析本機 VPC 網域名稱和私有託管區域中的記錄。但是，您無法從 VPC 外部使用 Route 53 Resolver。如果您想要從內部部署網路存取 VPC 端點，您可以使用預設 DNS 名稱，也可以使用 Route 53 Resolver 端點和 Resolver 規則。如需詳細資訊，請參閱[AWS Transit Gateway 與 AWS PrivateLink 和 整合 Amazon Route 53 Resolver](https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-privatelink-and-amazon-route-53-resolver/)。

## 子網路與可用區域
<a name="sn-endpoint-subnets-zones"></a>

您可以為每個可用區域設定一個子網路的服務網路端點。我們會為您指定的每個子網路中的 VPC 端點建立彈性網路界面。我們從子網路為每個彈性網路界面指派 IP 地址，如下所示：
+ **VPC Lattice 服務 （第 7 層）** – 我們為與服務網路相關聯的所有 VPC Lattice 服務，為每個可用區域指派 /28 區塊 (16 個連續 IPv4 地址）。即使服務網路中目前沒有服務，也會在建立服務網路端點時配置此 /28 區塊。/28 區塊必須包含 16 個連續、未佔用的 IPv4 地址，而且不能與五個 AWS預留地址 （前四個和最後一個 IP) 重疊。確保有足夠的可用連續地址空間。對於 IPv6，我們也為每個 VPC Lattice 服務的可用區域指派 /80 區塊。
+ **VPC Lattice 資源 (Layer 4/TCP)** – 我們為每個可用區域的每個資源組態指派一個 IPv4 地址。VPC Lattice 資源不需要連續的地址空間。每個彈性網路界面最多配置 63 個 IP 地址。當其他資源組態超過此限制時，我們會在相同的子網路中建立另一個彈性網路介面。對於 IPv6，我們在為資源建立的第一個彈性網路界面上指派 /80 區塊；使用 IPv6 時不會建立額外的彈性網路界面。當您從服務網路移除資源組態時，我們會釋出其相關聯的 IP 地址。釋出彈性網路介面上的所有 IPv4 地址時，我們會移除彈性網路介面。

在生產環境中，為了實現高可用性和彈性，我們建議您為每個服務網路端點設定至少兩個可用區域，並確保每個子網路都有足夠的可用 IPv4 地址。

## IP 地址類型
<a name="sn-endpoint-ip-address-type"></a>

服務網路端點可以支援 IPv4、IPv6 或雙堆疊地址。支援 IPv6 的端點可以使用 AAAA 記錄回應 DNS 查詢。服務網路端點的 IP 地址類型必須與資源端點的子網路相容，如下所述：
+ **IPv4** - 將 IPv4 地址指派給您的端點網路界面。只有當所有選取的子網都具有 IPv4 地址範圍時，才支援此選項。
+ **IPv6** - 將 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都是 IPv6 子網時，才支援此選項。
+ **Dualstack** - 將 IPv4 和 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時，才支援此選項。

如果服務網路 VPC 端點支援 IPv4，則端點網路介面具有 IPv4 地址。如果服務網路 VPC 端點支援 IPv6，則端點網路介面具有 IPv6 地址。無法從網際網路連線端點網路界面的 IPv6 地址。如果您使用 IPv6 地址描述端點網路介面，請注意 `denyAllIgwTraffic` 已啟用。