AWS PrivateLink è una soluzione che permette di accedere ai servizi in hosting in AWS in modo scalabile e con elevata disponibilità mantenendo tutto il traffico di rete nell'ambito della rete AWS. Gli utenti del servizio possono accedere ai servizi compatibili basati su PrivateLink dal loro Amazon Virtual Private Cloud (VPC) o dal loro ambiente on-premises, senza utilizzare IP pubblici e senza inviare traffico su Internet. I proprietari di servizi possono registrare i loro Network Load Balancer ai servizi PrivateLink per offrire i loro prodotti ad altri clienti AWS.
Come utente, dovrai creare endpoint VPC (con tecnologia PrivateLink) per accedere a servizi e risorse. Questi endpoint VPC saranno visualizzati come interfacce di rete elastiche con indirizzi IP privati all'interno del VPC. Una volta creati gli endpoint, il traffico destinato agli indirizzi IP in questione sarà instradato in modo privato ai servizi o alla risorsa corrispondenti.
I proprietari di un servizio dovranno instradarlo in AWS PrivateLink; per farlo devono configurare un Network Load Balancer e creare un servizio PrivateLink che si registri ad esso. I clienti potranno stabilire endpoint all'interno del loro cloud privato virtuale per connettersi al servizio, previa inclusione del loro account nei ruoli IAM.
Gli endpoint VPC consentono di collegare in modo privato un VPC ai servizi e alle risorse ospitate su AWS senza utilizzare gateway Internet, dispositivi NAT, VPN o proxy firewall. Gli endpoint VPC sono dispositivi virtuali con scalabilità orizzontale e disponibilità elevata che permettono la comunicazione tra le istanze in un cloud privato virtuale e i servizi/risorse. Amazon VPC offre cinque diversi tipi di endpoint VPC: endpoint gateway, endpoint di interfaccia, endpoint Gateway Load Balancer, endpoint di risorsa ed endpoint della rete di servizio. Tutti i tipi di endpoint VPC, tranne gli endpoint gateway, si basano su PrivateLink.
Gli endpoint dell'interfaccia forniscono connettività privata ai servizi forniti da PrivateLink. Questi servizi possono essere servizi AWS, propri o soluzioni software as a service (SaaS). Gli endpoint di interfaccia supportano anche la connettività tramite AWS Direct Connect e VPN.
Gli endpoint gateway sono disponibili solo per i servizi AWS tra cui Amazon S3 e Amazon DynamoDB e non abilitano PrivateLink. Questi endpoint aggiungono un elemento alla tabella di routing selezionata e instradano il traffico ai servizi supportati tramite la rete privata di Amazon.
Gli endpoint Gateway Load Balancer forniscono connettività privata alle appliance gestite da un Gateway Load Balancer.
Gli endpoint delle risorse forniscono connettività privata a risorse VPC come database, cluster, destinazioni di nomi di dominio e indirizzi IP che non richiedono il bilanciamento del carico. Supportano la connettività tramite AWS Direct Connect e VPN.
Gli endpoint della rete di servizio consentono di collegarsi privatamente a servizi e risorse presenti in una rete di servizio Amazon VPC Lattice. Ti consentono di accedere a più servizi e risorse tramite un singolo endpoint VPC. Supportano anche la connettività tramite AWS Direct Connect e VPN. Fai riferimento ai prezzi di AWS PrivateLink per i prezzi degli endpoint VPC.
Gli endpoint VPC forniscono un accesso sicuro a un servizio specifico, con diversi vantaggi per l'utente finale:
Sì. L'applicazione on-premises può connettersi agli endpoint VPC in Amazon VPC tramite AWS Direct Connect. Gli endpoint VPC instraderanno automaticamente il traffico verso i servizi basati su AWS PrivateLink.
Puoi cercare i servizi e le risorse disponibili utilizzando la console VPC o AWS CLI/SDK. Quindi è possibile accedere a un servizio, una risorsa o una rete di servizi tramite endpoint VPC.
È possibile creare una risorsa definendo una configurazione della risorsa in VPC Lattice. In qualità di proprietario, puoi effettuare l'onboarding della tua risorsa in AWS PrivateLink creando una configurazione delle risorse con un elenco di risorse. I tuoi clienti saranno in grado di stabilire endpoint all'interno del loro VPC per connettersi alle tue risorse dopo aver condiviso questa configurazione delle risorse con i loro account utilizzando AWS Resource Access Manager (RAM).
Gli endpoint delle risorse forniscono connettività privata a risorse VPC come database, cluster, destinazioni di nomi di dominio e indirizzi IP che non richiedono il bilanciamento del carico. Supportano la connettività tramite AWS Direct Connect e VPN.
Gli endpoint della rete di servizio consentono di connettersi privatamente a servizi e risorse presenti in una rete di servizi VPC Lattice. Ti consentono di accedere a più servizi e risorse tramite un singolo endpoint VPC. Supportano anche la connettività tramite AWS Direct Connect e VPN. Per informazioni sui prezzi di endpoint VPC, consulta la pagina Prezzi di Amazon VPC.
Il piano tariffario di PrivateLink contiene informazioni su addebiti e fatturazione. Se scegli di creare un endpoint VPC di interfaccia o Gateway Load Balancer nel tuo cloud privato virtuale, verranno addebitati i costi per ciascuna ora di provisioning dell'endpoint VPC in ciascuna zona di disponibilità. Se hai scelto di creare un endpoint VPC di risorsa nel tuo VPC, ti verrà addebitata ogni ora indipendentemente dal numero di zone di disponibilità in cui viene effettuato il provisioning dell'endpoint VPC. Le tariffe di elaborazione dei dati vengono applicate per ogni gigabyte elaborato tramite gli endpoint VPC, indipendentemente dall'origine o dalla destinazione del traffico. Ogni ora parziale di utilizzo dell'endpoint VPC consumata sarà fatturata come un'ora completa. Se non desideri più pagare per un endpoint VPC, elimina l'endpoint in questione tramite la Console di gestione AWS, l'interfaccia a riga di comando o l'API.
Salvo diversamente specificato, i prezzi sono al netto di eventuali tasse e imposte doganali, inclusa l'IVA ed eventuali imposte sulle vendite. Per i clienti con indirizzo di fatturazione in Giappone, l'utilizzo dei servizi AWS è soggetto all'imposta sul consumo giapponese.
Ulteriori informazioni
Mentre il peering VPC è limitato a 125 connessioni VPC, AWS PrivateLink ha una scalabilità praticamente illimitata. Ogni endpoint VPC collega le istanze Amazon Elastic Compute Cloud (Amazon EC2) in un VPC a un servizio, una risorsa o una rete di servizi specifici. Puoi aggiungere tutti gli endpoint di cui hai bisogno, a seconda del numero di VPC, risorse e servizi a cui devi connetterti.
R: Puoi creare fino a 100 endpoint VPC per VPC. Se te ne servono di più, contattaci e troveremo insieme una soluzione.
Puoi creare un endpoint VPC nel tuo VPC e specificare il servizio, la risorsa o la rete di servizi che desideri utilizzare. L'endpoint VPC ha dei nomi DNS che si risolvono in indirizzi IP locali nel tuo VPC. Quando indirizzi il traffico verso questi nomi DNS, il traffico viene indirizzato attraverso l'endpoint VPC a un servizio o a una risorsa, che può essere trasversale a diversi account.
Ogni endpoint VPC può supportare una larghezza di banda continua di 10 Gbps per zona di disponibilità, per impostazione predefinita, dopodiché viene aggiunta automaticamente capacità aggiuntiva fino a 100 Gbps. Il ridimensionamento degli endpoint è completamente gestito per garantire che il traffico verso l'endpoint non ne risenta.
Gli endpoint VPC gateway, di interfaccia, Gateway Load Balancer e di risorsa si collegano a un singolo servizio o risorsa endpoint. Gli endpoint VPC della rete di servizio si collegano a una rete di servizi che può essere associata a più risorse e servizi VPC Lattice.
Se si utilizza la versione più recente di AWS CLI/SDK, non è necessario aggiornare il codice. La CLI/SDK rileverà automaticamente i tuoi endpoint VPC e li utilizzerà per impostazione predefinita. Se utilizzi una vecchia versione della CLI/SDK, dovrai specificarvi il nome DNS come parametro dell'endpoint. Se devi specificare l'endpoint, puoi scoprire il nome DNS interrogando il servizio di metadati EC2.
No. C'è una possibilità che venga supportato con degli aggiornamenti futuri, ma attualmente supportiamo solo nomi di endpoint privati.
Sì, puoi accedere agli endpoint VPC tramite Direct Connect. I record DNS di un endpoint VPC sono risolvibili pubblicamente, ma restituiranno l'indirizzo IP privato all'interno del VPC associato.
La sicurezza di AWS PrivateLink si basa su tre fattori: il percorso, le policy e la modalità di comunicazione.
Il percorso tra un endpoint VPC e un servizio rimane all'interno di AWS e non attraversa Internet. Di conseguenza, rimane fuori dalla portata delle violazioni presenti su Internet.
Quando utilizzi gli endpoint VPC con i servizi AWS, puoi anche creare policy per gli endpoint che limitino l'accesso alle richieste provenienti dall'endpoint VPC.
PrivateLink non fornisce alcuna crittografia per impostazione predefinita per i dati in transito. L'utente del servizio avvia sempre il servizio (si tratta di un servizio one-way) e il fornitore di servizi fornisce il servizio solo ai clienti autorizzati.
Sì. È possibile associare i gruppi di sicurezza agli endpoint VPC.
Sì. È possibile utilizzare la Console di gestione AWS per gestire oggetti Amazon VPC come endpoint VPC e connessioni AWS PrivateLink.
Sì. Per ulteriori informazioni sul Supporto AWS, fai clic qui.
Attualmente, non ci sono parametri Amazon CloudWatch disponibili per l'endpoint VPC basato su interfaccia.