本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 透過 存取虛擬設備 AWS PrivateLink
您可以使用 Gateway Load Balancer,將流量散發給網路虛擬設備的機群。設備可用於安全檢查、合規、政策控制和其他聯網服務。您可以在建立 VPC 端點服務時指定 Gateway Load Balancer。其他 AWS 主體會透過建立 Gateway Load Balancer 端點來存取端點服務。
**定價**
系統會針對每個可用區域中佈建 Gateway Load Balancer 端點的每個小時向您收費。系統也會針對處理的每 GB 資料向您收費。如需詳細資訊,請參閱[AWS PrivateLink 定價](https://aws.amazon.com/privatelink/pricing/)。
**Topics**
+ [概觀](#gwlbe-overview)
+ [IP 地址類型](#gwlbe-ip-address-type)
+ [路由](#gateway-load-balancer-endpoints-routing)
+ [建立 Gateway Load Balancer 端點服務](create-gateway-load-balancer-endpoint-service.md)
+ [建立 Gateway Load Balancer 端點](gateway-load-balancer-endpoints.md)
如需詳細資訊,請參閱 [Gateway Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/)。
## 概觀
下圖顯示應用程式伺服器如何透過 存取安全設備 AWS PrivateLink。應用程式伺服器在服務消費者 VPC 的子網中執行。您可以在相同 VPC 的另一個子網中建立 Gateway Load Balancer 端點。所有透過網際網路閘道進入服務消費者 VPC 的流量會先路由至 Gateway Load Balancer 端點以便進行檢查,然後再路由至目的地子網。同樣,離開應用程式伺服器的所有流量會路由至 Gateway Load Balancer 端點,以便進行檢查,然後再透過網際網路閘道傳回。
![\[使用 Gateway Load Balancer 端點來存取安全設備。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/privatelink/images/gateway-load-balancer-endpoint.png)
**從網際網路到應用程式伺服器的流量 (藍色箭頭):**
1. 流量透過網際網路閘道進入服務消費者 VPC。
1. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。
1. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。
1. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。
1. 根據路由表組態,將流量傳送至應用程式伺服器。
**從應用程式伺服器到網際網路的流量 (橙色箭頭):**
1. 根據路由表組態,將流量傳送至 Gateway Load Balancer 端點。
1. 流量透過安全設備傳送至 Gateway Load Balancer 進行檢查。
1. 流量會在檢查之後傳回到 Gateway Load Balancer 端點。
1. 根據路由表組態,將流量傳送至網際網路閘道。
1. 流量會傳回網際網路。
## IP 地址類型
服務提供者可以透過 IPv4、IPv6、或者同時使用 IPv4 和 IPv6 向服務取用者提供其服務端點,即使其安全設備僅支援 IPv4 也一樣。如果您啟用雙堆疊支援,現有消費者可以繼續使用 IPv4 存取您的服務,而新客戶可以選擇使用 IPv6 存取您的服務。
如果 Gateway Load Balancer 端點支援 IPv4,則端點網路界面具有 IPv4 地址。如果 Gateway Load Balancer 端點支援 IPv6,則端點網路界面具有 IPv6 地址。無法從網際網路連線端點網路界面的 IPv6 地址。如果您使用 IPv6 地址描述端點網路介面,請注意 `denyAllIgwTraffic` 已啟用。
**為端點服務啟用 IPv6 的要求**
+ 端點服務的 VPC 和子網必須具有相關聯的 IPv6 CIDR 區塊。
+ 端點服務的所有 Gateway Load Balancer 都必須使用雙堆疊 IP 地址類型。安全設備不需要支援 IPv6 流量。
**為 Gateway Load Balancer 端點啟用 IPv6 的要求**
+ 端點服務必須具有包含 IPv6 支援的 IP 地址類型。
+ Gateway Load Balancer 的 IP 地址類型必須與 Gateway Load Balancer 的子網路相容,如下所述:
+ **IPv4** - 將 IPv4 地址指派給您的端點網路界面。只有當所有選取的子網都具有 IPv4 地址範圍時,才支援此選項。
+ **IPv6** - 將 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都是 IPv6 子網時,才支援此選項。
+ **Dualstack** - 將 IPv4 和 IPv6 地址指派給您的端點網路介面。只有當所有選取的子網都具有 IPv4 和 IPv6 地址範圍時,才支援此選項。
+ 服務取用者 VPC 中的子網路路由表必須路由 IPv6 流量,而這些子網路的網路 ACL 必須允許 IPv6 流量。
## 路由
若要將流量路由至端點服務,請使用其 ID,將 Gateway Load Balancer 端點指定為路由表中的目標。對於上圖,將路由新增到路由表中,如下所示。使用 Gateway Load Balancer 端點做為目標時,您無法將字首清單指定為目的地。在這些資料表中,雙堆疊組態包含 IPv6 路由。
**網際網路閘道的路由表**
此路由表必須具有路由,將目的地為應用程式伺服器的流量傳送至 Gateway Load Balancer 端點。
| 目標 | 目標 |
| --- | --- |
| VPC A IPv4 CIDR | 區域 |
| VPC A IPv6 CIDR | 區域 |
| 應用程式子網路 IPv4 CIDR | vpc-endpoint-id |
| 應用程式子網路 IPv6 CIDR | vpc-endpoint-id |
**具有應用程式伺服器的子網路由表**
此路由表必須具有路由,將應用程式伺服器傳出的所有流量傳送至 Gateway Load Balancer 端點。
| 目標 | 目標 |
| --- | --- |
| VPC A IPv4 CIDR | 區域 |
| VPC A IPv6 CIDR | 區域 |
| 0.0.0.0/0 | vpc-endpoint-id |
| ::/0 | vpc-endpoint-id |
**具有 Gateway Load Balancer 端點的子網路由表**
此路由表必須將檢查傳回的流量傳送至其最終目的地。對於源自網際網路的流量,本機路由會將流量傳送至應用程式伺服器。對於源自應用程式伺服器的流量,請新增路由,將所有流量傳送至網際網路閘道。
| 目標 | 目標 |
| --- | --- |
| VPC A IPv4 CIDR | 區域 |
| VPC A IPv6 CIDR | 區域 |
| 0.0.0.0/0 | internet-gateway-id |
| ::/0 | internet-gateway-id |
# 建立檢查系統作為 Gateway Load Balancer 端點服務
您可以建立採用 技術的自有服務 AWS PrivateLink,稱為*端點服務*。您是服務供應商,而建立您服務連線的 AWS 委託人是服務消費者。
端點服務需要 Network Load Balancer 或 Gateway Load Balancer。在此情況下,您將使用 Gateway Load Balancer 建立端點服務。如需使用 Network Load Balancer 建立端點服務的詳細資訊,請參閱 [建立端點服務](create-endpoint-service.md)。
**Topics**
+ [考量](#considerations-gateway-load-balancer-endpoint-service)
+ [先決條件](#prerequisites-gateway-load-balancer-endpoint-service)
+ [建立端點服務](#create-endpoint-service-glb)
+ [讓您的端點服務可用](#share-gateway-load-balancerendpoint-service)
## 考量
+ 端點服務在您建立該服務的區域中可用。
+ 當服務消費者擷取端點服務的相關資訊時,他們只能看到與服務提供者共同的可用區域。服務提供者與服務消費者處於不同帳戶時,可將區域名稱 (例如 `us-east-1a`) 對應至每個 AWS 帳戶中的不同實體可用區域。您可以使用 AZ ID 一致地識別服務的可用區域。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的 [AZ IDs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#az-ids)。
+ 資源上有配額 AWS PrivateLink 。如需詳細資訊,請參閱[AWS PrivateLink 配額](vpc-limits-endpoints.md)。
## 先決條件
+ 在可用區域中建立至少具有兩個子網的服務提供者 VPC,而該服務在其中應可用。一個子網用於安全設備執行個體,另一個子網用於 Gateway Load Balancer。
+ 在服務提供者 VPC 中建立 Gateway Load Balancer。如果您打算在端點服務上啟用 IPv6 支援,則必須在 Gateway Load Balancer 上啟用雙堆疊支援。如需詳細資訊,請參閱[開始使用 Gateway Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/getting-started.html)。
+ 在服務提供者 VPC 中啟動安全設備,並向負載平衡器目標群組註冊它們。
## 建立端點服務
使用下列程序,利用 Gateway Load Balancer 建立端點服務。
**使用主控台建立端點服務**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Endpoints Services (端點服務)**。
1. 選擇 **Create Endpoint Service** (建立端點服務)。
1. 針對 **Load balancer type** (負載平衡器類型),選取 **Gateway** (閘道)。
1. 針對 **Available load balancers** (可用的負載平衡器),請選取您的 Gateway Load Balancer。
1. 對於 **Require acceptance for endpoint** (要求接受端點),選取 **Acceptance required** (要求接受),以要求手動接受對端點服務的連線請求。否則,系統會自動接受。
1. 針對 **Supported IP address types** (支援的 IP 地址類型),執行下列其中一個操作:
+ 選取 **IPv4** - 啟用端點服務以接受 IPv4 請求。
+ 選取 **IPv6** - 啟用端點服務以接受 IPv6 請求。
+ 選取 **IPv4** 和 **IPv6** - 啟用端點服務以接受 IPv4 和 IPv6 請求。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立**。
**若要使用命令列建立端點服務**
+ [create-vpc-endpoint-service-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint-service-configuration.html) (AWS CLI)
+ [New-EC2VpcEndpointServiceConfiguration](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpointServiceConfiguration.html) (Tools for Windows PowerShell)
## 讓您的端點服務可用
服務提供者必須執行下列操作,才能向服務消費者提供服務。
+ 新增允許每個服務消費者連接到端點服務的許可。如需詳細資訊,請參閱[管理許可](configure-endpoint-service.md#add-remove-permissions)。
+ 為服務消費者提供服務名稱和受支援的可用區域,以便他們可以建立介面端點,從而連接到您的服務。如需詳細資訊,請參閱下面的程序。
+ 接受來自服務消費者的端點連線請求。如需更多資訊,請參閱[接受或拒絕連線請求](configure-endpoint-service.md#accept-reject-connection-requests)。
AWS 主體可以透過建立 Gateway Load Balancer 端點,私下連線至您的端點服務。如需詳細資訊,請參閱[建立 Gateway Load Balancer 端點](gateway-load-balancer-endpoints.md)。
# 使用 Gateway Load Balancer 端點來存取檢查系統
您可以建立 Gateway Load Balancer 端點以連線至 AWS PrivateLink支援的[端點服務](concepts.md#concepts-endpoint-services)。
對於您從 VPC 中指定的每個子網,我們會在子網中建立端點網路介面,並從子網地址範圍中為其指派私有 IP 地址。端點網路介面是申請者管理的網路介面;您可以在 中檢視 AWS 帳戶,但無法自行管理。
我們會向您收取每小時用量率及資料處理費。如需詳細資訊,請參閱 [Gateway Load Balancer 端點定價](https://aws.amazon.com/privatelink/pricing/#Gateway_Load_Balancer_Endpoint_pricing)。
**Topics**
+ [考量](#considerations-gateway-load-balancer-endpoints)
+ [先決條件](#prerequisites-gateway-load-balancer-endpoints)
+ [建立端點](#create-gateway-load-balancer-endpoint)
+ [設定路由](#configure-routing-gateway-load-balancer-endpoint)
+ [管理標籤](#add-remove-gateway-load-balancer-endpoint-tags)
+ [刪除 Gateway Load Balancer 端點](#delete-gateway-load-balancer-endpoint)
## 考量
+ 您只能在服務消費者 VPC 中選擇一個可用區域。您之後無法變更此子網。若要在不同子網中使用 Gateway Load Balancer 端點,則必須建立新的 Gateway Load Balancer 端點。
+ 您可以為每個服務的每個可用區域建立單一 Gateway Load Balancer 端點,但必須選擇 Gateway Load Balancer 支援的可用區域。服務提供者與服務消費者處於不同帳戶時,可將區域名稱 (例如 `us-east-1a`) 對應至每個 AWS 帳戶中的不同實體可用區域。您可以使用 AZ ID 一致地識別服務的可用區域。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的 [AZ IDs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#az-ids)。
+ 必須在服務提供者接受連線請求之後,您才能使用端點服務。服務無法透過 VPC 端點向您的 VPC 中的資源發起請求。端點只會傳回 VPC 中的資源啟動的流量的回應。
+ 每個閘道負載平衡器端點可支援每個可用區域 (AZ) 高達 10 Gbps 的頻寬,並自動擴充至 100 Gbps。
+ 如果端點服務與多個 Gateway Load Balancer 相關聯,則 Gateway Load Balancer 端點在每個可用區域僅與一個負載平衡器建立連線。
+ 若要將流量保留在相同的可用區域內,建議您在要向其傳送流量的每個可用區域中建立 Gateway Load Balancer 端點。
+ 當流量透過 Gateway Load Balancer 端點路由傳送時,不支援 Network Load Balancer 用戶端 IP 保留,即使目標與 Network Load Balancer 位於相同的 VPC 中也一樣。
+ 如果應用程式伺服器和 Gateway Load Balancer 端點位於相同的子網路中,則會評估從應用程式伺服器到 Gateway Load Balancer 端點的流量 NACL 規則。
+ 如果您使用 Gateway Load Balancer 搭配輸出限定網際網路閘道,則會捨棄 IPv6 流量。請改用網際網路閘道和傳入防火牆規則。
+ 資源上有配額 AWS PrivateLink 。如需詳細資訊,請參閱[AWS PrivateLink 配額](vpc-limits-endpoints.md)。
## 先決條件
+ 在可用區域中建立至少具有兩個子網的服務消費者 VPC,您可以從中存取服務。一個子網用於應用程式伺服器,另一個子網用於 Gateway Load Balancer 端點。
+ 若要確認端點服務支援哪些可用區域,請使用主控台或 [describe-vpc-endpoint-services](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html) 命令描述端點服務。
+ 如果您的資源位於具有網路 ACL 的子網中,請確認網路 ACL 允許端點網路介面和 VPC 中資源之間的流量。
## 建立端點
使用下列程序建立連線至檢查系統端點服務的 Gateway Load Balancer 端點。
**若要使用主控台建立 Gateway Load Balancer 端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中選擇 **Endpoints (端點)**。
1. 選擇**建立端點**。
1. 針對**類型**,選擇**使用 NLBs和 GWLBs端點服務**。
1. 針對 **Service Name** (服務名稱),請輸入服務名稱,然後選擇 **Verify Service** (驗證服務)。
1. 針對 **VPC**,選取您要從中存取端點服務的 VPC。
1. 對於**子網路**,請選取要在其中建立端點網路界面的子網路。
1. 針對 **IP address type** (IP 地址類型),從下列選項中選擇:
+ **IPv4** – 將 IPv4 地址指派給端點網路介面。只有在選取的子網路具有 IPv4 地址範圍時,才支援此選項。
+ **IPv6** – 將 IPv6 地址指派給端點網路介面。只有在選取的子網路是僅限 IPv6 的子網路時,才支援此選項。
+ **Dualstack** – 將 IPv4 和 IPv6 地址指派給端點網路介面。只有在選取的子網路同時具有 IPv4 和 IPv6 地址範圍時,才支援此選項。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立端點**。起始狀態為 `pending acceptance`。
**若要使用命令列建立 Gateway Load Balancer 端點**
+ [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html) (AWS CLI)
+ [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html) (Tools for Windows PowerShell)
## 設定路由
使用以下程序為服務消費者 VPC 設定路由表。如此可讓安全設備針對傳送至應用程式伺服器的傳入流量執行安全檢查。如需詳細資訊,請參閱[路由](vpce-gateway-load-balancer.md#gateway-load-balancer-endpoints-routing)。
**若要使用主控台設定路由**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Route Tables** (路由表)。
1. 選取網際網路閘道路由表並執行以下操作:
1. 選擇 **Actions** (動作)、**Edit routes** (編輯路由)。
1. 如果您支援 IPv4,請選擇 **Add route** (新增路由)。針對 **Destination** (目的地),請輸入應用程式伺服器子網的 IPv4 CIDR 區塊。針對 **Target** (目標),請選取 VPC 端點。
1. 如果您支援 IPv6,請選擇 **Add route** (新增路由)。針對 **Destination** (目的地),請輸入應用程式伺服器子網的 IPv6 CIDR 區塊。針對 **Target** (目標),請選取 VPC 端點。
1. 選擇**儲存變更**。
1. 為具有應用程式伺服器的子網選取路由表並執行以下操作:
1. 選擇 **Actions** (動作)、**Edit routes** (編輯路由)。
1. 如果您支援 IPv4,請選擇 **Add route** (新增路由)。針對 **Destination (目標)**,輸入 **0.0.0.0/0**。針對 **Target** (目標),請選取 VPC 端點。
1. 如果您支援 IPv6,請選擇 **Add route** (新增路由)。針對 **Destination (目標)**,輸入 **::/0**。針對 **Target** (目標),請選取 VPC 端點。
1. 選擇**儲存變更**。
1. 選取具有 Gateway Load Balancer 端點之子網路的路由表,並執行以下操作:
1. 選擇 **Actions** (動作)、**Edit routes** (編輯路由)。
1. 如果您支援 IPv4,請選擇 **Add route** (新增路由)。針對 **Destination (目標)**,輸入 **0.0.0.0/0**。針對 **Target** (目標),請選取網際網路閘道。
1. 如果您支援 IPv6,請選擇 **Add route** (新增路由)。針對 **Destination (目標)**,輸入 **::/0**。針對 **Target** (目標),請選取網際網路閘道。
1. 選擇**儲存變更**。
**若要使用命令列設定路由**
+ [create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html) (AWS CLI)
+ [New-EC2Route](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Route.html) (Tools for Windows PowerShell)
## 管理標籤
您可標記您的 Gateway Load Balancer 端點,以幫助您根據組織需求進行識別或分類。
**若要使用主控台管理標籤**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中選擇 **Endpoints (端點)**。
1. 選取介面端點。
1. 選擇 **Actions (動作)**、**Manage tags (管理標籤)**。
1. 對於要新增的每個標籤,請選擇 **Add new tag** (新增標籤),然後輸入標籤金鑰和標籤值。
1. 若要移除標籤,請選擇標籤金鑰和值右側的 **Remove** (移除)。
1. 選擇**儲存**。
**若要使用命令列來管理標籤**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) 和 [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html) 和 [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html) (Tools for Windows PowerShell)
## 刪除 Gateway Load Balancer 端點
端點結束使用後即可刪除。刪除 Gateway Load Balancer 端點也會刪除端點網路介面。如果路由表中有指向端點的路由,則無法刪除 Gateway Load Balancer 端點。
**若要刪除 Gateway Load Balancer 端點**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Endpoints (端點)**,然後選取您的端點。
1. 選擇 **Actions (動作)**、**Delete Endpoint (刪除端點)**。
1. 在確認畫面中,選擇 **Yes, Delete (是,刪除)**。
**若要刪除 Gateway Load Balancer 端點**
+ [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html) (AWS CLI)
+ [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html) (AWS Tools for Windows PowerShell)