AWS Private Link против конечной точки VPC

AWS определяет их как:

Конечная точка VPC - точка входа в VPC, которая позволяет вам конфиденциально подключаться к службе.

AWS PrivateLink - технология , обеспечивающая частное соединение между VPC и сервисами.

Итак, PrivateLink - это технология, позволяющая вам получать частный ( без Интернета ) доступ к услугам в VPC. Эти сервисы могут быть вашими собственными или предоставлены AWS.

Допустим, вы разработали какое-то приложение и размещаете его в своем VPC. Вы хотите разрешить доступ к этому приложению для сервисов в других VPC и других пользователей / учетных записей AWS. Но вы не хотите ни настраивать пиринг VPC, ни использовать для этого Интернет. Здесь можно использовать PrivateLink. Используя PrivateLink, вы можете создавать собственные службы конечных точек VPC, которые позволят другим службам использовать ваше приложение.

В приведенном выше сценарии конечная точка интерфейса VPC - это ресурс, который пользователи вашего приложения должны будут создать в своих VPC для подключения к вашему приложению. Это то же самое, что и при создании конечной точки интерфейса VPC для частного доступа к сервисам, предоставляемым AWS (без Интернета), таким как Lambda, KMS или SMS.

Существуют также конечные точки Gateway VPC, которые представляют собой устаревшую технологию, замененную PrivateLink. Шлюзы можно использовать только для доступа к S3 и DynamoDB, ничего больше.

Подводя итог, можно сказать, что PrivateLink - это общая технология, которую вы или AWS можете использовать для предоставления частного доступа к внутренним сервисам. Конечная точка интерфейса VPC - это ресурс, который пользователи таких служб VPC создают в своих собственных VPC для взаимодействия с ними.

Предположим, есть веб-сайт xyz.com, который я размещаю на нескольких экземплярах Ec2, открытых для внешнего мира через балансировщик сетевой нагрузки. Теперь клиент, у которого есть собственная учетная запись AWS, хочет получить доступ к этому xyz.com из Ec2, работающего в их учетной записи aws.

Один из подходов заключается в том, чтобы пройти через Интернет. Однако клиент хочет избежать интернет-маршрута. Он/она хочет использовать магистраль AWS для доступа к xyz.com.Технология, которая позволяет это сделать, — AWS Private link . (обратите внимание, что если вы ищете частную ссылку в сервисах AWS, ее не будет. Вы получите «Службы конечной точки» в качестве ближайшего совпадения)

Итак, вот как направить трафик через магистраль AWS:

1. Я, владелец xyz.com, создам службу конечной точки VPC (ЗАМЕТЬТЕ здесь ключевое слово « служба »). Служба конечной точки VPC будет указывать на мой балансировщик сетевой нагрузки. Затем я передам клиенту имя службы конечной точки VPC .
2. Клиент создаст конечную точку VPC (ПРИМЕЧАНИЕ. Это отличается от #1). При его создании клиент укажет имя службы конечной точки VPC (из #1), которое он получил от меня.
3. Я могу выбрать, чтобы мне было предложено принять подключение от клиента к моему сервису конечной точки VPC. Как только я приму его, клиент сможет получить доступ к xyz.com со своего экземпляра EC2. Здесь нет Интернета, прямого подключения или VPN... это просто работает; и это безопасно. И какая технология позволила это сделать.. Частная ссылка AWS !!!

PRIVATE LINK — ЕДИНСТВЕННАЯ ТЕХНОЛОГИЯ, ПОЗВОЛЯЮЩАЯ СОЕДИНЯТЬ 2 VCCS, КОТОРЫЕ ИМЕЮТ ПЕРЕКРЫВАЮЩИЕСЯ ДИАПАЗОНЫ CIDR.

Полезным способом понимания различий является то, как они технически связывают частные ресурсы с государственными услугами.

Конечные точки шлюза маршрутизируют трафик, добавляя списки префиксов в таблицу маршрутов VPC, нацеленную на конечную точку шлюза. Это объект логического шлюза, аналогичный интернет-шлюзу.

Конечная точка интерфейса, напротив, использует Privatelink для внедрения в VPC на уровне подсети через эластичный сетевой интерфейс (ENI), предоставляя функциональные возможности сетевого интерфейса и, следовательно, DNS и частную IP-адресацию в качестве средства подключения к общедоступным сервисам AWS. а не просто направляться к нему.

Различия в соединениях предлагают различные преимущества и недостатки (доступность, отказоустойчивость, доступ, масштабируемость и т. д.), которые затем диктуют, как лучше всего подключить частные ресурсы к общедоступным службам.

Privatelink — это просто очень абстрактная технология, позволяющая упростить подключение с помощью DNS. Следующий AWS re:Invent предлагает отличный обзор Privatelink: https://www.youtube.com/watch?v=abOFqytVqBU .

Как вы правильно упомянули в вопросе, конечная точка VPC и частная ссылка AWS не имеют доступа к Интернету. На консоли AWS в VPC доступна четкая опция для создания конечной точки. Но нет опции/ярлыка для создания частной ссылки AWS. На самом деле, есть еще одна опция/метка, называемая endpoint service. Создание службы конечной точки — это один из способов установить частную ссылку AWS. С одной стороны этой частной ссылки AWS находится служба вашей конечной точки, а с другой стороны — сама ваша конечная точка. И что интересно, мы создаем обе эти стороны в двух разных VPC. Другими словами, вы соединяете два VPC с помощью этой частной ссылки (вместо использования Интернета или пиринга VPC).

поймите, например, VPC1 получил конечную точку ----> частная ссылка -----> VPC2 получил конечную точку

Здесь сторона обслуживания конечной точки является поставщиком услуг, а конечная точка является потребителем услуг. Поэтому, когда у вас есть какая-то служба (может быть какое-то приложение или программное обеспечение), которую, по вашему мнению, могут использовать другие конечные точки VPC, вы создаете службу конечных точек на своем конце, а потребители будут создавать конечные точки на этом конце. Когда потребители создают конечные точки на своем конце, они должны указать/выбрать имя вашей службы, и, таким образом, с вашей службой будет установлена ​​частная ссылка.

В конечном счете, у вас может быть несколько потребителей вашего сервиса, точно так же, как отношение один ко многим.