Amazon Virtual Private Cloud - AWS PrivateLink
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Amazon Virtual Private Cloud AWS PrivateLink Amazon Virtual Private Cloud: AWS PrivateLink Copyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Die Marken und Handelsmarken von Amazon dürfen nicht in einer Weise in Verbindung mit nicht von Amazon stammenden Produkten oder Services verwendet werden, die geeignet ist, Kunden irrezuführen oder Amazon in irgendeiner Weise herabzusetzen oder zu diskreditieren. Alle anderen Marken, die nicht im Besitz von Amazon sind, gehören den jeweiligen Besitzern, die möglicherweise mit Amazon verbunden sind oder von Amazon gesponsert werden.
Amazon Virtual Private Cloud AWS PrivateLink Table of Contents Was ist AWS PrivateLink? ................................................................................................................... 1 VPC-Endpunktkonzepte ............................................................................................................... 1 Arbeiten mit VPC-Endpunkten ...................................................................................................... 2 Beispiel-Endpunktkonfigurationen .................................................................................................. 2 Endpunktpreise .......................................................................................................................... 2 VPC-Endpunkte .................................................................................................................................. 3 Schnittstellenendpunkte ............................................................................................................... 3 Private DNS für Schnittstellenendpunkte ................................................................................ 5 Eigenschaften und Beschränkungen von Schnittstellenendpunkten ............................................. 7 Verbindung mit On-Premises-Rechenzentren .......................................................................... 7 Lebenszyklus eines Schnittstellenendpunkts ........................................................................... 8 Überlegungen zur Availability Zone eines Schnittstellenendpunkts .............................................. 8 Anzeigen der verfügbaren AWS-Servicenamen ....................................................................... 8 Erstellen eines Schnittstellenendpunkts .................................................................................. 9 Anzeigen Ihres Schnittstellenendpunkts ................................................................................ 13 Erstellen und Verwalten einer Benachrichtigung für einen Schnittstellenendpunkt ......................... 14 Zugriff auf einen Service über einen Schnittstellenendpunkt ..................................................... 15 Ändern eines Schnittstellenendpunkts .................................................................................. 15 Gateway Load Balancer-Endpunkte ............................................................................................. 17 Eigenschaften und Einschränkungen des Gateway Load Balancer-Endpunkts ............................. 18 Lebenszyklus von Gateway Load Balancer-Endpunkten .......................................................... 19 Preise für Gateway-Load-Balancer-Endpunkte ....................................................................... 19 Erstellen eines Gateway-Load-Balancer-Endpunkts ................................................................ 20 Anzeigen Ihres Gateway Load Balancer-Endpunkts ................................................................ 20 Hinzufügen oder Entfernen von Tags für einen Gateway Load Balancer-Endpunkts ...................... 21 Gateway-Endpunkte .................................................................................................................. 21 Preise für Gateway-Endpunkte ............................................................................................ 23 Routing für Gateway-Endpunkte .......................................................................................... 23 Beschränkungen von Gateway-Endpunkten .......................................................................... 25 Endpunkte für Amazon S3 ................................................................................................. 25 Endpunkte für Amazon DynamoDB ...................................................................................... 33 Erstellen eines Gateway-Endpunkts ..................................................................................... 35 Ändern Sie Ihre Sicherheitsgruppe ...................................................................................... 37 Ändern eines Gateway-Endpunkts ....................................................................................... 38 Hinzufügen oder Entfernen eines Gateway-Endpunkt-Tags ...................................................... 39 Steuern des Zugriffs auf Services ................................................................................................ 39 Verwenden von VPC-Endpunktrichtlinien .............................................................................. 40 Sicherheitsgruppen ............................................................................................................ 40 Löschen eines VPC-Endpunktes ................................................................................................. 41 VPC-Endpunkt-Services ..................................................................................................................... 42 VPC-Endpunktdienste für Schnittstellen-Endpunkte ........................................................................ 42 Überlegungen zur Availability Zone des Endpunktservice ........................................................ 44 DNS-Namen des Endpunktservice ....................................................................................... 44 Verbindung mit On-Premises-Rechenzentren .......................................................................... 7 Zugriff auf Services über eine VPC-Peering-Verbindung .......................................................... 45 Verwenden des Proxy-Protokolls für Verbindungsinformationen ................................................ 45 Regeln und Einschränkungen ............................................................................................. 45 VPC-Endpunktdienste für Gateway Load Balancer-Endpunkte .......................................................... 46 Überlegungen zu Availability Zones ..................................................................................... 47 Regeln und Einschränkungen ............................................................................................. 48 VPC-Endpunktservicekonfiguration für Schnittstellenendpunkte erstellen ............................................ 48 VPC-Endpunktservicekonfiguration für Gateway Load Balancer-Endpunkte erstellen ............................ 50 Berechtigungen für Ihren Endpunktservice hinzufügen und entfernen ................................................ 51 Ändern der Endpunktservice-Konfiguration .................................................................................... 52 iii
Amazon Virtual Private Cloud AWS PrivateLink Akzeptieren und Ablehnen von Endpunkt-Verbindungsanfragen ab ................................................... 53 Benachrichtigung für einen Endpunktservice erstellen und verwalten ................................................. 55 Hinzufügen oder Entfernen eines VPC-Endpunktservice-Tags .......................................................... 57 Eine Endpunktservice-Konfiguration löschen ................................................................................. 58 Identity and Access Management ........................................................................................................ 60 Private DNS-Namen .......................................................................................................................... 63 Überlegungen zur Domänennamensverifizierung ............................................................................ 64 Verifizierung eines privaten DNS-Namens des VPC-Endpunktservice ................................................ 64 Fügen Sie einen TXT-Datensatz zum DNS-Server der Domäne hinzu ....................................... 65 Ändern des privaten DNS-Namens eines vorhandenen Endpunktservice ............................................ 66 Anzeigen der privaten DNS-Namenskonfiguration eines Endpunktservice ........................................... 67 Manuelles Starten der Verifizierung der privaten DNS-Namensdomäne des Endpunktservice ................. 67 Entfernen des privaten DNS-Namens des Endpunktservice ............................................................. 68 TXT-Datensätze für die Domänenverifizierung eines privaten DNS-Namens ....................................... 68 Problembehandlung bei allgemeinen Domänenverifizierungsproblemen ............................................. 70 Probleme mit der Domänenverifizierung ............................................................................... 70 So überprüfen Sie Einstellungen für die Domänenverifizierung ................................................. 71 Services, AWS PrivateLink unterstützen ............................................................................................... 73 Anzeigen der verfügbaren AWS-Servicenamen .............................................................................. 79 CloudWatch-Metriken ......................................................................................................................... 81 Endpunkt-Metriken und -Dimensionen .......................................................................................... 81 Endpunktservicemetriken und -dimensionen .................................................................................. 83 CloudWatch-Metriken anzeigen ................................................................................................... 85 Kontingente ...................................................................................................................................... 87 Dokumentverlauf ............................................................................................................................... 88 iv
Amazon Virtual Private Cloud AWS PrivateLink VPC-Endpunktkonzepte AWS PrivateLink und VPC- Endpunkte AWS PrivateLink ist eine leicht zugängliche, skalierbare Technologie, die Ihnen ermöglicht, Ihre VPC privat mit unterstützten AWS-Services, von anderen AWS-Konten gehostete Services (VPC-Endpunktservices) und unterstützten AWS Marketplace-Partnerservices zu verbinden. Sie benötigen kein Internet-Gateway, kein NAT-Gerät, keine öffentliche IP-Adresse und auch keine AWS Direct Connect- oder AWS Site-to- Site VPN-Verbindung, um mit dem Service zu kommunizieren. Daher steuern Sie die spezifischen API- Endpunkte, Websites und Services, die von Ihrer VPC aus erreichbar sind. Sie können Ihren eigenen von AWS PrivateLink gestützten VPC-Endpunkt-Service erstellen und anderen AWS-Kunden Zugriff auf Ihren Service erteilen. VPC-Endpunktkonzepte Die wichtigsten Konzepte für VPC-Endpunkte sind folgende: • VPC-Endpunkt — Der Eintrittspunkt in Ihrer VPC, über den Sie eine private Verbindung zu einem Dienst herstellen können. Im Folgenden werden die verschiedenen Arten von VPC-Endpunkten beschrieben. Erstellen Sie die Art von VPC-Endpunkt, die von dem unterstützten Service benötigt wird. • Gateway-Endpunkt (p. 21) • Schnittstellenendpunkt (p. 3) • Gateway Load Balancer-Endpunkt (p. 17) • Endpunktservice – Ihre eigene Anwendung in Ihrer VPC. Andere AWS-Prinzipale können einen Endpunkt von ihrer VPC zu Ihrem Endpunktservice herstellen. Um AWS PrivateLink zu verwenden, erstellen Sie einen VPC-Endpunkt für einen Service in Ihrer VPC. Erstellen Sie die Art von VPC-Endpunkt, die von dem unterstützten Service benötigt wird. Damit wird eine Elastic Network-Schnittstelle in Ihrem Subnetz mit einer privaten IP-Adresse erstellt, die als Eintrittspunkt für Datenverkehr zu einem unterstützten Service dient. Das folgende Diagramm zeigt die grundlegende Architektur einer sicheren Verbindungen zwischen einer VPC und einem AWS-Service, der AWS PrivateLink unterstützt. 1
Amazon Virtual Private Cloud AWS PrivateLink Arbeiten mit VPC-Endpunkten Arbeiten mit VPC-Endpunkten Sie können VPC-Endpunkte mit einer der folgenden Funktionen erstellen, darauf zugreifen und verwalten: • AWS Management Console — Bietet eine Webschnittstelle für den Zugriff auf Ihre VPC-Endpunkte. • AWS Command Line Interface (AWS CLI) stellt Befehle für eine breite Palette von AWS-Services bereit, Amazon VPC. Die AWS CLI wird unter Windows, macOS und Linux unterstützt. Weitere Informationen finden Sie unter AWS Command Line Interface. • AWSSDKs – Geben sprachspezifische APIs an. Die SDKs kümmern sich um viele der Verbindungsdetails, wie z. B. das Berechnen von Signaturen, die Verarbeitung von Anforderungswiederholungen und die Behandlung von Fehlern. Weitere Informationen finden Sie unter AWS-SDKs. • Abfrage-API – Bietet API-Aktionen auf niedriger Ebene, die Sie mithilfe von HTTPS-Anforderungen aufrufen. Die Verwendung der Abfrage-API ist die direkteste Möglichkeit für den Zugriff auf Amazon VPC. Allerdings müssen dann viele technische Abläufe, wie beispielsweise das Erzeugen des Hashwerts zum Signieren der Anforderung und zur Fehlerbehandlung, in der Anwendung durchgeführt werden. Weitere Informationen finden Sie in der Amazon EC2 API-Referenz. Beispiel-Endpunktkonfigurationen Informationen zu AWS PrivateLink und VPC-Peering-Beispielen finden Sie unter Beispiele: Services mit AWS PrivateLink und VPC Peering im Amazon-VPC-Benutzerhandbuch. Endpunktpreise Weitere Informationen zu Preisen für Endpunkte finden Sie unter AWS PrivateLink– Preise. 2
Amazon Virtual Private Cloud AWS PrivateLink Schnittstellenendpunkte VPC-Endpunkte Ein VPC-Endpunkt ermöglicht Verbindungen zwischen einer Virtual Private Cloud (VPC) und unterstützten Diensten, ohne dass Sie ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung verwenden müssen. Daher steuern Sie die spezifischen API-Endpunkte, Websites und Services, die von Ihrer VPC aus erreichbar sind. VPC Endpunkte sind virtuelle Geräte. Es handelt sich bei ihnen um horizontal skalierte, redundante und hochverfügbare VPC-Komponenten. Im Folgenden werden die verschiedenen Arten von VPC-Endpunkten beschrieben. Erstellen Sie die Art von VPC-Endpunkt, die von dem unterstützten Service benötigt wird. Schnittstellenendpunkte Ein Schnittstellenendpunkt (p. 3) ist eine Elastic Network-Schnittstelle mit einer privaten IP-Adresse aus dem IP-Adressbereich Ihres Subnetzes. Er dient als Eintrittspunkt für Datenverkehr an einen Dienst, der im Besitz von AWS oder im Besitz eines AWS-Kunden oder -Partners ist. Eine Liste der AWS- Services, die mit AWS PrivateLink integriert werden können, finden Sie unter Services, AWS PrivateLink unterstützen (p. 73). Die stündliche Nutzung und Datenverarbeitungsgebühren werden Ihnen in Rechnung gestellt. Weitere Informationen finden Sie auf Preise zu Schnittstellenendpunkte. Gateway Load Balancer-Endpunkte Ein Gateway Load Balancer-Endpunkt (p. 17) ist eine Elastic Network-Schnittstelle mit einer privaten IP-Adresse aus dem IP-Adressbereich Ihres Subnetzes. Er dient als Eintrittspunkt, um den Datenverkehr abzufangen und an ein Netzwerk oder einen Sicherheitsdienst weiterzuleiten, den Sie mit einem Gateway Load Balancer konfiguriert haben. Sie geben einen Gateway Load Balancer-Endpunkt als Ziel für eine Route in einer Routingtabelle an. Gateway-Load-Balancer-Endpunkte werden nur für Endpunktdienste unterstützt, die ausschließlich mit einem Gateway Load Balancer konfiguriert sind. Die stündliche Nutzung und Datenverarbeitungsgebühren werden Ihnen in Rechnung gestellt. Weitere Informationen finden Sie auf Preise zu Gateway-Load-Balancer-Endpunkte. Gateway-Endpunkte Ein Gateway-Endpunkt (p. 21) ist ein Gateway, das ein Ziel für eine in Ihrer Routing-Tabelle angegebene Route ist und das für Datenverkehr zu Amazon S3 oder DynamoDB verwendet wird. Für die Nutzung von Gateway-Endpunkten fallen keine Gebühren an. Amazon S3 unterstützt sowohl Gateway-Endpunkte als auch Schnittstellenendpunkte. Einen Vergleich der beiden Optionen finden Sie unter Arten von VPC-Endpunkten für Amazon S3 im Benutzerhandbuch zu Amazon S3. Schnittstellen-VPC-Endpunkte (AWS PrivateLink) Ein Schnittstellen-VPC-Endpunkt (Schnittstellenendpunkt) ermöglicht Ihnen, eine Verbindung zu Services einzurichten, die von AWS PrivateLink bereitgestellt werden. Zu diesen Services gehören verschiedene AWS-Services, die von anderen AWS-Kunden und -Partnern in ihren eigenen VPCs gehostet werden (auch als Endpunktservices bezeichnet), sowie unterstützte AWS Marketplace-Partnerservices. Der Eigentümer des Service ist der Service-Anbieter, und Sie, als der Prinzipal, der den Schnittstellenendpunkt erstellt, sind der Service-Verbraucher. Nachfolgend finden Sie die allgemeinen Schritte für die Einrichtung eines Schnittstellenendpunkts: 3
Amazon Virtual Private Cloud AWS PrivateLink Schnittstellenendpunkte 1. Wählen Sie die VPC, in der der Schnittstellenendpunkt erstellt werden soll, und geben Sie den Namen des AWS-Service, des Endpunktservice oder des AWS Marketplace-Service an, zu dem Sie eine Verbindung einrichten. 2. Wählen Sie ein Subnetz in Ihrer VPC, um den Schnittstellenendpunkt zu verwenden. Wir erstellen eine Endpunktnetzwerkschnittstelle im Subnetz. Einer Endpunkt-Netzwerkschnittstelle wird eine private IP-Adresse aus dem IP-Adressbereich Ihres Subnetzes zugewiesen und behält diese IP- Adresse so lange bei, bis der Schnittstellenendpunkt gelöscht wird. Sie können mehrere Subnetze in unterschiedlichen Availability Zones angeben (wie vom Service unterstützt), um sicherzustellen, dass Ihr Schnittstellenendpunkt robust gegenüber Ausfällen von Availability Zone ist. In diesem Fall erstellen wir in jedem von Ihnen angegebenen Subnetz eine Endpunktnetzwerkschnittstelle. Note Eine Endpunkt- Netzwerkschnittstelle ist eine vom Anforderer verwaltete Netzwerkschnittstelle. Sie können sie in Ihrem Konto anzeigen, aber Sie können sie nicht selbst verwalten. Weitere Informationen finden Sie unter Anforderer-verwaltete Netzwerkschnittstellen. 3. Geben Sie die Sicherheitsgruppen an, die der Endpunktnetzwerkschnittstelle zugeordnet werden sollen. Die Regeln der Sicherheitsgruppen kontrollieren den Datenverkehr zu der Endpunktnetzwerkschnittstelle von Ressourcen in Ihrer VPC. Wenn Sie keine Sicherheitsgruppen-ID angeben, ordnen wir der VPC die Standardsicherheitsgruppe zu. 4. (Optional, nur AWS-Services und AWS Marketplace-Partnerservices) Aktivieren Sie ein privates DNS (p. 5) für den Endpunkt, um Anfragen über den DNS-Standardhostnamen an den Service stellen zu können. Important Ein privates DNS ist standarmäßig für Endpunkte aktiviert, die für AWS-Services und AWS Marketplace-Partnerservices erstellt wurden. Private DNS ist in den anderen Subnetzen aktiviert, die sich in derselben VPC und Availability Zone oder Local Zone befinden. 5. Wenn sich der Serviceanbieter und der Konsument in verschiedenen Konten befinden, finden Sie unter the section called “Überlegungen zur Availability Zone eines Schnittstellenendpunkts” (p. 8) weitere Informationen zur Verwendung von Availability Zone-IDs zum Identifizieren der Availability Zone des Schnittstellenendpunkts. 6. Nachdem Sie den Schnittstellenendpunkt erstellt haben, steht er für die Nutzung zur Verfügung, sobald er vom Service-Anbieter akzeptiert wurde. Der Service-Anbieter muss den Service so konfigurieren, dass Anfragen automatisch akzeptiert werden oder diese manuell genehmigt werden müssen. AWS- Services und AWS Marketplace-Services akzeptieren allgemein alle Endpunktanfragen automatisch. Weitere Informationen zum Lebenszyklus eines Endpunkts finden Sie unter Lebenszyklus eines Schnittstellenendpunkts (p. 8). Services können keine Anfragen an Ressourcen in Ihrer VPC über den Endpunkt veranlassen. Ein Endpunkt gibt nur Antworten auf Datenverkehr zurück, der von Ressourcen in Ihrer VPC ausgeht. Bevor Sie einen Service oder einen Endpunkt integrieren, überprüfen Sie die Dokumentation des servicespezifischen VPC-Endpunkts auf servicespezifische Konfigurationen und Einschränkungen. Inhalt • Private DNS für Schnittstellenendpunkte (p. 5) • Eigenschaften und Beschränkungen von Schnittstellenendpunkten (p. 7) • Verbindung mit On-Premises-Rechenzentren (p. 7) • Lebenszyklus eines Schnittstellenendpunkts (p. 8) • Überlegungen zur Availability Zone eines Schnittstellenendpunkts (p. 8) • Anzeigen der verfügbaren AWS-Servicenamen (p. 8) • Erstellen eines Schnittstellenendpunkts (p. 9) 4
Amazon Virtual Private Cloud AWS PrivateLink Private DNS für Schnittstellenendpunkte • Anzeigen Ihres Schnittstellenendpunkts (p. 13) • Erstellen und Verwalten einer Benachrichtigung für einen Schnittstellenendpunkt (p. 14) • Zugriff auf einen Service über einen Schnittstellenendpunkt (p. 15) • Ändern eines Schnittstellenendpunkts (p. 15) Private DNS für Schnittstellenendpunkte Important Privates DNS wird für Amazon S3-Schnittstellenendpunkte nicht unterstützt. Wenn Sie einen Schnittstellenendpunkt erstellen, erzeugen wir endpunktspezifische DNS-Hostnamen, die Sie verwenden können, um mit dem Service zu kommunizieren. Bei AWS-Services und AWS Marketplace- Partnerservices ordnet eine private DNS-Option (standardmäßig aktiviert) Ihrer VPC eine private gehostete Zone zu. Die gehostete Zone enthält einen Datensatz für den DNS-Standardnamen für den Service (z. B. ec2.us-east-1.amazonaws.com), der in die privaten IP-Adressen der Endpunktnetzwerkschnittstellen in Ihrer VPC aufgelöst wird. Auf diese Weise können Sie Anfragen über den DNS-Standardhostnamen an den Service stellen, statt die endpunktspezifischen DNS-Hostnamen verwenden zu müssen. Wenn Ihre vorhandenen Anwendungen beispielsweise Anfragen an einen AWS-Service stellen, können sie weiterhin Anfragen über den Schnittstellenendpunkt machen, ohne dass Konfigurationsänderungen notwendig sind. Im Beispiel im folgenden Diagramm gibt es einen Schnittstellen-Endpunkt für Amazon Kinesis Data Streams und eine Endpunkt-Netzwerkschnittstelle in Subnetz 2. Für den Schnittstellenendpunkt ist das private DNS deaktiviert. Die Routing-Tabellen für die Subnetze enthalten die folgenden Routen. Subnetz 1 Ziel Ziel 10.0.0.0/16 Local 0.0.0.0/0 internet-gateway-id Subnetz 2 Ziel Ziel 10.0.0.0/16 Local Instances in jedem Subnetz können Anforderungen an Amazon Kinesis Data Streams über den Schnittstellendpunkt unter Verwendung eines endpunktspezifischen DNS-Hostnamens senden. Instances in Subnetz 1 können über den öffentlichen IP-Adressraum in der AWS-Region unter Verwendung des Standard-DNS-Namens mit Amazon Kinesis Data Streams kommunizieren. 5
Amazon Virtual Private Cloud AWS PrivateLink Private DNS für Schnittstellenendpunkte Im nächsten Diagramm ist privates DNS für den Endpunkt aktiviert. Instances in einem Subnetz können Anforderungen an Amazon Kinesis Data Streams über den Schnittstellendpunkt senden, indem sie entweder den standardmäßigen DNS-Hostnamen oder den endpunktspezifischen DNS-Hostnamen verwenden. Important Zur Verwendung eines privaten DNS müssen Sie die folgenden VPC-Attribute auf true setzen: enableDnsHostnames und enableDnsSupport. Weitere Informationen finden Sie unter Anzeigen und Aktualisieren der DNS-Unterstützung für Ihre VPC. IAM-Benutzer benötigen die Berechtigung für die Arbeit in gehosteten Zonen. Weitere Informationen finden Sie unter Authentifizierung und Zugriffskontrolle für Route 53. 6
Amazon Virtual Private Cloud AWS PrivateLink Eigenschaften und Beschränkungen von Schnittstellenendpunkten Eigenschaften und Beschränkungen von Schnittstellenendpunkten Machen Sie sich bei der Verwendung von Schnittstellenendpunkten ihre Eigenschaften und aktuellen Beschränkungen bewusst: • Sie können für jeden Schnittstellenendpunkt nur ein Subnetz pro Availability Zone auswählen. • Die Services stehen möglicherweise nicht in allen Availability Zones über einen Schnittstellenendpunkt zur Verfügung. Um festzustellen, welche Availability Zones unterstützt werden, verwenden Sie den Befehl describe-vpc-endpoint-services oder verwenden die Amazon VPC-Konsole. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts (p. 9). • Wenn Sie einen Schnittstellenendpunkt erstellen, wird der Endpunkt in der Availability Zone erstellt, die Ihrem Konto zugeordnet und unabhängig von anderen Konten ist. Wenn sich der Serviceanbieter und der Konsument in verschiedenen Konten befinden, finden Sie unter the section called “Überlegungen zur Availability Zone eines Schnittstellenendpunkts” (p. 8) weitere Informationen zur Verwendung von Availability Zone-IDs zum Identifizieren der Availability Zone des Schnittstellenendpunkts. • Wenn der Dienstanbieter und der Verbraucher unterschiedliche Konten haben sowie mehrere Availability Zones verwenden und der Verbraucher die VPC-Endpunktserviceinformationen anzeigt, enthält die Antwort nur die allgemeinen Availability Zones. Wenn das Dienstanbieterkonto beispielsweise us- east-1a und us-east-1c verwendet und der Verbraucher verwendet us-east-1a und us-east-1b, enthält die Antwort die VPC-Endpunktservices in der allgemeinen Availability Zone us-east-1a. • Jeder Schnittstellenendpunkt kann standardmäßig eine Bandbreite von bis zu 10 GBit/s pro Availability Zone und Spitzen von bis zu 40 Gbit/s unterstützen. Wenn Ihre Anwendung höhere Spitzen oder anhaltenden Durchsatz benötigt, wenden Sie sich an den AWS-Support. • Wenn die Netzwerk-ACL für Ihr Subnetz den Datenverkehr beschränkt, können Sie möglicherweise keinen Verkehr über die Endpunkt-Netzwerkschnittstelle senden. Stellen Sie sicher, dass Sie geeignete Regeln hinzufügen, die Datenverkehr zum und vom CIDR-Block des Subnetzes zulassen. • Stellen Sie sicher, dass die Sicherheitsgruppe, die der Endpunkt-Netzwerkschnittstelle zugeordnet ist, die Kommunikation zwischen der Endpunkt-Netzwerkschnittstelle und den Ressourcen in Ihrer VPC ermöglicht, die mit dem Service kommunizieren. Um sicherzustellen, dass Befehlszeilentools wie AWS CLI über HTTPS Anforderungen von Ressourcen in der VPC an einen AWS-Service stellen können, muss die Sicherheitsgruppe eingehenden HTTPS-Datenverkehr (Port 443) zulassen. • Ein Schnittstellenendpunkt unterstützt nur TCP-Verkehr. • Wenn Sie einen Endpunkt erstellen, können Sie ihm eine Endpunktrichtlinie zuweisen, die den Zugriff auf den Service, mit dem Sie eine Verbindung herstellen, steuert. Weitere Informationen finden Sie unter Bewährte Methoden für Richtlinien und the section called “Steuern des Zugriffs auf Services” (p. 39). • Überprüfen Sie die servicespezifischen Grenzwerte für Ihren Endpunktservice. • Teilnehmer können keine Amazon Route53-Resolver-Endpunkte in einer VPC erstellen, die sie nicht besitzen. Nur der VPC Besitzer kann Ressourcen wie eingehende Endpunkte auf VPC-Ebene erstellen. • Endpunkte werden nur innerhalb derselben Region unterstützt. Sie können keinen Endpunkt zwischen einer VPC und einem Service in einer anderen Region erstellen. • Für Endpunkte wird nur IPv4-Datenverkehr unterstützt. • Sie können einen Endpunkt nicht von einer VPC auf eine andere oder von einem Service auf einen anderen übertragen. • Die Anzahl der Endpunkte, die Sie pro VPC erstellen können, ist kontingentiert. Weitere Informationen finden Sie unter AWS PrivateLink-Kontingente (p. 87). Verbindung mit On-Premises-Rechenzentren Sie können die folgenden Verbindungstypen für eine Verbindung zwischen einem Schnittstellendpunkt und Ihrem lokalen Rechenzentrum verwenden: 7
Amazon Virtual Private Cloud AWS PrivateLink Lebenszyklus eines Schnittstellenendpunkts • AWS Direct Connect • AWS Site-to-Site VPN Lebenszyklus eines Schnittstellenendpunkts Ein Schnittstellenendpunkt durchläuft verschiedene Phasen, nachdem Sie ihn erstellt haben (mit der Verbindungsanfrage für den Endpunkt). In jeder Phase kann es Maßnahmen geben, die der Service- Verbraucher und der Service-Anbieter ergreifen können. Es gelten die folgenden Regeln: • Ein Service-Anbieter kann seinen Service so konfigurieren, dass Schnittstellenendpunktanfragen automatisch akzeptiert werden oder diese manuell genehmigt werden müssen. AWS-Services und AWS Marketplace-Services akzeptieren allgemein alle Endpunktanfragen automatisch. • Ein Service-Anbieter kann einen Schnittstellenendpunkt zu seinem Service nicht löschen. Nur der Service-Verbraucher, der die Verbindung mit dem Schnittstellenendpunkt angefordert hat, kann den Schnittstellenendpunkt löschen. • Ein Service-Anbieter kann den Schnittstellenendpunkt ablehnen, nachdem er (manuell oder automatisch) akzeptiert wurde und sich im Status available befindet. Überlegungen zur Availability Zone eines Schnittstellenendpunkts Wenn Sie einen Schnittstellenendpunkt erstellen, wird der Endpunkt in der Availability Zone erstellt, die Ihrem Konto zugeordnet und unabhängig von anderen Konten ist. Wenn sich der Serviceanbieter und der Konsument in verschiedenen Konten befinden, verwenden Sie die Availability Zone-IDs zum eindeutigen und konsistenten Identifizieren der Availability Zone des Schnittstellenendpunkts. Beispielsweise use1- az1 ist eine Availability Zone-ID für die Region us-east-1 und ist demselben Speicherort in jedem AWS Konto zugeordnet. Weitere Informationen zu Availability Zone-IDs finden Sie unter AZ-IDs für Ihre Ressourcen im AWS RAMBenutzerhandbuch oder verwenden Sie describe-availability-zones. Die Services stehen möglicherweise nicht in allen Availability Zones über einen Schnittstellenendpunkt zur Verfügung. Sie können mit beliebigen der folgenden Methoden herausfinden, welche Availability Zones für einen Service unterstützt werden: • describe-vpc-endpoint-services (AWS CLI) • DescribeVpcEndpointServices (API) • Die Amazon VPC-Konsole, wenn Sie einen Schnittstellenendpunkt erstellen. Weitere Informationen finden Sie unter the section called “Erstellen eines Schnittstellenendpunkts” (p. 9). Anzeigen der verfügbaren AWS-Servicenamen Wenn Sie die Amazon VPC-Konsole verwenden, um einen Endpunkt zu erstellen, können Sie eine Liste der verfügbaren AWS-Servicenamen abrufen. Wenn Sie die AWS CLI verwenden, um einen Endpunkt zu erstellen, können Sie den Befehl describe-vpc- endpoint-services verwenden, um die Dienstnamen anzuzeigen, und dann den Endpunkt mit dem Befehl create-vpc-endpoint zu erstellen. 8
Amazon Virtual Private Cloud AWS PrivateLink Erstellen eines Schnittstellenendpunkts Console So zeigen Sie verfügbare AWS-Services über die Konsole an 1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 2. Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint. 3. Im Abschnitt Service Name (Servicename) werden die verfügbaren Services aufgelistet. Command line So zeigen Sie verfügbare AWS-Services über die AWS CLI-Konsole an • Verwenden Sie den Befehl describe-vpc-endpoint-services, um eine Liste der verfügbaren Services abzurufen, zu denen Sie eine Verbindung herstellen können. Das Feld ServiceType zeigt an, ob Sie die Verbindung mit dem Service über einen Schnittstellen- oder einen Gateway- Endpunkt einrichten wollen. Das Feld ServiceName enthält den Namen des Service. Im folgenden Beispiel werden die Namen und Besitzer von allen Schnittstellenendpunkten aufgelistet. aws ec2 describe-vpc-endpoint-services --filter "Name=service- type,Values=Interface" --query "ServiceDetails[*].[ServiceName, Owner]" --output table ---------------------------------------------------------------------- | DescribeVpcEndpointServices | +----------------------------------------------------------+---------+ | aws.sagemaker.us-west-2.notebook | amazon | | aws.sagemaker.us-west-2.studio | amazon | | com.amazonaws.us-west-2.access-analyzer | amazon | | com.amazonaws.us-west-2.acm-pca | amazon | ... So zeigen Sie verfügbare AWS-Services über die AWS Tools for Windows PowerShell- Konsole an • Get-EC2VpcEndpointService So zeigen Sie verfügbare AWS-Services über die API an • DescribeVpcEndpointServices Erstellen eines Schnittstellenendpunkts Wenn Sie einen Schnittstellenendpunkt erstellen, müssen Sie die VPC angeben, in der der Schnittstellenendpunkt erstellt werden soll, sowie den Service, zu dem Sie eine Verbindung herstellen möchten. Für AWS-Services oder AWS Marketplace-Partnerservices können Sie optional ein privates DNS (p. 5) für den Endpunkt aktivieren, um Anforderungen des Service über den DNS-Standardhostnamen senden zu können. Important Ein privates DNS ist standarmäßig für Endpunkte aktiviert, die für AWS-Services und AWS Marketplace-Partnerservices erstellt wurden. 9
Amazon Virtual Private Cloud AWS PrivateLink Erstellen eines Schnittstellenendpunkts Console So erstellen Sie mit der Konsole einen Schnittstellenendpunkt zu einem AWS-Service 1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 2. Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint. 3. Stellen Sie sicher, dass bei Servicekategorie die Option AWSServices ausgewählt ist. 4. Für Service Name wählen Sie den Service, zu dem Sie eine Verbindung herstellen wollen. Stellen Sie sicher, dass für Type die Option Interface angegeben ist. 5. Tragen Sie die folgenden Informationen ein und wählen Sie Create endpoint. • Für VPC wählen Sie eine VPC, in der der Endpunkt erstellt werden soll. • Für Subnets wählen Sie die Subnetze (Availability Zones) aus, in denen die Endpunktnetzwerkschnittstellen erstellt werden sollen. Möglicherweise werden nicht alle Availability Zones für alle AWS-Services unterstützt. • Um ein privates DNS für den Schnittstellenendpunkt zu aktivieren, aktivieren Sie das Kontrollkästchen für Enable DNS Name (DNS-Name aktivieren). Important Privates DNS wird für Amazon S3-Schnittstellenendpunkte nicht unterstützt. Diese Option ist standardmäßig aktiviert. Zur Verwendung des optionalen privaten DNS müssen die folgenden VPC-Attribute auf true gesetzt werden: enableDnsHostnames und enableDnsSupport. Weitere Informationen finden Sie unter Anzeigen und Aktualisieren der DNS-Unterstützung für Ihre VPC. • Für Security group wählen Sie die Sicherheitsgruppen aus, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen. • (Optional) Hinzufügen oder Entfernen eines Tags. [Markierung hinzufügen] Wählen Sie Add tag (Markierung hinzufügen), und führen Sie die folgenden Schritte aus: • Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein. • Geben Sie bei Value (Wert) den Wert des Schlüssels ein. [Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert des Tags. Um einen Schnittstellenendpunkt für einen Endpunktservice zu erstellen, benötigen Sie den Namen des Services, mit dem eine Verbindung eingerichtet werden soll. Diesen Namen kann Ihnen der Service-Anbieter bereitstellen. So erstellen Sie einen Schnittstellenendpunkt zu einem Endpunktservice 1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 2. Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint. 3. Für Service category wählen Sie Find service by name. 4. Für Service Name geben Sie den Namen des Service ein (z. B. com.amazonaws.vpce.us- east-1.vpce-svc-0e123abc123198abc) und wählen Verify. 5. Tragen Sie die folgenden Informationen ein und wählen Sie Create endpoint. • Für VPC wählen Sie eine VPC, in der der Endpunkt erstellt werden soll. • Für Subnets wählen Sie die Subnetze (Availability Zones) aus, in denen die Endpunktnetzwerkschnittstellen erstellt werden sollen. 10
Amazon Virtual Private Cloud AWS PrivateLink Erstellen eines Schnittstellenendpunkts Möglicherweise werden nicht alle Availability Zones für den Service unterstützt. • Für Security group wählen Sie die Sicherheitsgruppen aus, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen. • (Optional) Hinzufügen oder Entfernen eines Tags. [Markierung hinzufügen] Wählen Sie Add tag (Markierung hinzufügen), und führen Sie die folgenden Schritte aus: • Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein. • Geben Sie bei Value (Wert) den Wert des Schlüssels ein. [Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert des Tags. So erstellen Sie einen Schnittstellenendpunkt zu einem AWS Marketplace-Partnerservice 1. Navigieren Sie auf die Seite PrivateLink zu AWS Marketplace und melden Sie sich für einen Service von einem SaaS-Anbieter (Software as a Service) an. Services, die Schnittstellenendpunkte unterstützen, beinhalten eine Option zur Einrichtung einer Verbindung über einen Endpunkt. 2. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 3. Wählen Sie im Navigationsbereich Endpoints und klicken Sie auf Create Endpoint. 4. Für Servicekategorie wählen Sie Ihre AWSMarketplace-Services. 5. Wählen Sie den AWS Marketplace-Service, den Sie abonniert haben. 6. Tragen Sie die folgenden Informationen ein und wählen Sie Create endpoint. • Für VPC wählen Sie eine VPC, in der der Endpunkt erstellt werden soll. • Für Subnets wählen Sie die Subnetze (Availability Zones) aus, in denen die Endpunktnetzwerkschnittstellen erstellt werden sollen. Möglicherweise werden nicht alle Availability Zones für den Service unterstützt. • Für Security group wählen Sie die Sicherheitsgruppen aus, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen. • (Optional) Hinzufügen oder Entfernen eines Tags. [Markierung hinzufügen] Wählen Sie Add tag (Markierung hinzufügen), und führen Sie die folgenden Schritte aus: • Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein. • Geben Sie bei Value (Wert) den Wert des Schlüssels ein. [Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert des Tags. Command line So erstellen Sie einen Schnittstellenendpunkt mit der AWS CLI 1. Verwenden Sie den Befehl describe-vpc-endpoint-services, um eine Liste der verfügbaren Services abzurufen. Notieren Sie sich von der Ausgabe den Namen des Service, mit dem eine Verbindung einrichtet werden soll. Das Feld ServiceType zeigt an, ob Sie die Verbindung mit dem Service über einen Schnittstellen- oder einen Gateway-Endpunkt einrichten wollen. Das Feld ServiceName enthält den Namen des Service. 11
Amazon Virtual Private Cloud AWS PrivateLink Erstellen eines Schnittstellenendpunkts 2. Um einen Schnittstellenendpunkt zu erstellen, verwenden Sie den Befehl create-vpc-endpoint und geben die VPC-ID an, den Typ des VPC-Endpunkts (Schnittstelle), den Servicenamen, die Subnetze, die den Endpunkt verwenden, sowie die Sicherheitsgruppen, die den Endpunktnetzwerkschnittstellen zugeordnet werden sollen. Im folgenden Beispiel wird ein Schnittstellenendpunkt zum Elastic Load Balancing-Service erstellt. aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.us-east-1.elasticloadbalancing --subnet-id subnet- abababab --security-group-id sg-1a2b3c4d { "VpcEndpoint": { "PolicyDocument": "{\n \"Statement\": [\n {\n \"Action\": \"*\", \n \"Effect\": \"Allow\", \n \"Principal\": \"*\", \n \"Resource\": \"*\"\n }\n ]\n}", "VpcId": "vpc-ec43eb89", "NetworkInterfaceIds": [ "eni-bf8aa46b" ], "SubnetIds": [ "subnet-abababab" ], "PrivateDnsEnabled": true, "State": "pending", "ServiceName": "com.amazonaws.us-east-1.elasticloadbalancing", "RouteTableIds": [], "Groups": [ { "GroupName": "default", "GroupId": "sg-1a2b3c4d" } ], "VpcEndpointId": "vpce-088d25a4bbf4a7abc", "VpcEndpointType": "Interface", "CreationTimestamp": "2017-09-05T20:14:41.240Z", "DnsEntries": [ { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc- ks83awe7.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z7HUB22UULQXV", "DnsName": "vpce-088d25a4bbf4a7abc-ks83awe7-us- east-1a.elasticloadbalancing.us-east-1.vpce.amazonaws.com" }, { "HostedZoneId": "Z1K56Z6FNPJRR", "DnsName": "elasticloadbalancing.us-east-1.amazonaws.com" } ] } } Alternativ erstellt das folgende Beispiel einen Schnittstellenendpunkt zu einem Endpunktservice in einem anderen Konto (der Service-Anbieter teilt Ihnen den Namen des Endpunktservice mit). aws ec2 create-vpc-endpoint --vpc-id vpc-ec43eb89 --vpc-endpoint-type Interface --service-name com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc --subnet- id subnet-abababab --security-group-id sg-1a2b3c4d 12
Amazon Virtual Private Cloud AWS PrivateLink Anzeigen Ihres Schnittstellenendpunkts Notieren Sie sich die privateDnsNames-Felder der Ausgabe. Sie können diese DNS-Namen für den Zugriff auf den AWS-Service verwenden. So beschreiben Sie verfügbare Services und erstellen einen VPC-Endpunkt mithilfe des AWS Tools for Windows PowerShell • Get-EC2VpcEndpointService • New-EC2VpcEndpoint So beschreiben Sie verfügbare Dienste und erstellen einen VPC-Endpunkt mithilfe der API: • DescribeVpcEndpointServices • CreateVpcEndpoint Anzeigen Ihres Schnittstellenendpunkts Nachdem Sie einen Schnittstellenendpunkt erstellt haben, können Sie Informationen darüber anzeigen. Console So zeigen Sie mit der Konsole Informationen über einen Schnittstellenendpunkt an 1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 2. Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie Ihren Schnittstellenendpunkt aus. 3. Um Informationen über den Schnittstellenendpunkt anzuzeigen, wählen Sie Details. Das Feld DNS Names zeigt die DNS-Namen an, die für den Zugriff auf den Service verwendet werden müssen. 4. Um die Subnetze anzuzeigen, in denen der Schnittstellenendpunkt erstellt wurde, sowie die ID der Endpunktnetzwerkschnittstelle in jedem Subnetz, wählen Sie Subnets. 5. Um die Sicherheitsgruppen anzuzeigen, die einer Endpunktnetzwerkschnittstelle zugeordnet sind, wählen Sie Security Groups. Command line So beschreiben Sie Ihren Schnittstellenendpunkt mithilfe der AWS CLI • Sie können Ihren Endpunkt mit dem Befehl describe-vpc-endpoints beschreiben. aws ec2 describe-vpc-endpoints --vpc-endpoint-ids vpce-088d25a4bbf4a7abc So beschreiben Sie Ihre VPC-Endpunkte unter Verwendung von AWS Tools for PowerShell oder API: • Get-EC2VpcEndpoint (Tools for Windows PowerShell) • DescribeVpcEndpoints (Amazon EC2-Abfrage-API) 13
Amazon Virtual Private Cloud AWS PrivateLink Erstellen und Verwalten einer Benachrichtigung für einen Schnittstellenendpunkt Erstellen und Verwalten einer Benachrichtigung für einen Schnittstellenendpunkt Sie können eine Benachrichtigung erstellen, um Warnungen bei bestimmten Ereignissen zu erhalten, die auf Ihrem Schnittstellenendpunkt stattfinden. Beispielsweise können Sie eine E-Mail erhalten, wenn ein Schnittstellenendpunkt vom Service-Anbieter akzeptiert wird. Um eine Benachrichtigung zu erstellen, müssen Sie dieser ein Amazon SNS-Thema zuordnen. Sie können das SNS-Thema abonnieren, um eine E-Mail-Benachrichtigung zu erhalten, wenn ein Endpunktereignis auftritt. Das Amazon SNS-Thema, das Sie für Benachrichtigungen verwenden, muss eine Themen-Richtlinie haben, die es dem VPC-Endpunktservice von Amazon gestattet, Benachrichtigungen für Sie zu veröffentlichen. Stellen Sie sicher, dass Sie die folgende Anweisung in Ihre Themenrichtlinie aufnehmen. Weitere Informationen finden Sie unter Identity and Access Management in Amazon SNS im Amazon Simple Notification Service-Entwicklerhandbuch. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpce.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:account:topic-name" } ] } Command line So erstellen und verwalten Sie eine Benachrichtigung mit der AWS CLI 1. Um eine Benachrichtigung für einen Schnittstellendpunkt zu erstellen, verwenden Sie den Befehl create-vpc-endpoint-connection-notification . Geben Sie den ARN des SNS-Themas, die Ereignisse, über die benachrichtigt werden sollen, und die ID des Endpunkts an, wie im folgenden Beispiel dargestellt. aws ec2 create-vpc-endpoint-connection-notification --connection-notification- arn arn:aws:sns:us-east-2:123456789012:EndpointNotification --connection-events Accept Reject --vpc-endpoint-id vpce-123abc3420c1931d7 2. Um Ihre Benachrichtigungen anzuzeigen, führen Sie den Befehl describe-vpc-endpoint- connection-notifications aus. aws ec2 describe-vpc-endpoint-connection-notifications 3. Um das SNS-Thema oder Endpunkt-Ereignisse für die Benachrichtigung zu ändern, verwenden Sie den Befehl modify-vpc-endpoint-connection-notification. aws ec2 modify-vpc-endpoint-connection-notification --connection-notification- id vpce-nfn-008776de7e03f5abc --connection-events Accept --connection-notification- arn arn:aws:sns:us-east-2:123456789012:mytopic 4. Um eine Benachrichtigung zu löschen, führen Sie den Befehl delete-vpc-endpoint-connection- notifications aus. 14
Amazon Virtual Private Cloud AWS PrivateLink Zugriff auf einen Service über einen Schnittstellenendpunkt aws ec2 delete-vpc-endpoint-connection-notifications --connection-notification- ids vpce-nfn-008776de7e03f5abc Zugriff auf einen Service über einen Schnittstellenendpunkt Nachdem Sie einen Schnittstellenendpunkt erstellt haben, können Sie Anfragen an den unterstützten Service über eine Endpunkt-URL stellen. Sie können die folgende Abfrage verwenden: • Wenn Sie ein privates DNS für den Endpunkt aktiviert haben (eine private gehostete Zone, nur gültig für AWS-Services und AWS Marketplace-Partnerservices), den DNS-Standardhostnamen für den AWS- Service für die Region. Beispielsweise ec2.us-east-1.amazonaws.com. Important Privates DNS wird für Amazon S3-Schnittstellenendpunkte nicht unterstützt. • Den endpunktspezifischen regionalen DNS-Hostnamen, den wir für den Schnittstellenendpunkt erzeugen. Der Hostname enthält einen eindeutigen Endpunktbezeichner, eine Service- ID, die Region und vpce.amazonaws.com in seinem Namen. Beispielsweise vpce-0fe5b17a0707d6abc-29p5708s.ec2.us-east-1.vpce.amazonaws.com. • Den endpunktspezifischen zonenspezifischen DNS-Hostnamen, den wir für jede Availability Zone erzeugen, in der der Endpunkt zur Verfügung steht. Der Hostname enthält die Availability Zone in seinem Namen. Beispielsweise vpce-0fe5b17a0707d6abc-29p5708s-us-east-1a.ec2.us- east-1.vpce.amazonaws.com. Sie können diese Option verwenden, wenn Ihre Architektur Availability Zones isoliert (z. B. zur Fehlerbegrenzung oder zur Reduzierung regionaler Datenübertragungskosten). Eine Anfrage an den zonenspezifischen DNS-Hostnamen wird an den entsprechenden Standort der Availability Zone im Konto des Dienstanbieters gerichtet, der möglicherweise nicht dieselbe Availability Zone wie Ihr Konto hat. Weitere Informationen finden Sie unter Regionen und Availability Zone – Konzepte. • Die private IP-Adresse der Endpunktnetzwerkschnittstelle in der VPC. Informationen zum Abrufen der regionalen und zonenspezifischen DNS-Namen finden Sie unter Anzeigen Ihres Schnittstellenendpunkts (p. 13). Beispielsweise verwenden Sie in einem Subnetz, in dem Sie einen Schnittstellenendpunkt für Elastic Load Balancing haben, und für das Sie die Option eines privaten DNS nicht aktiviert haben, den folgenden AWS CLI-Befehl aus einer Instance, um Ihre Load Balancer zu beschreiben. Der Befehl verwendet den endpunktspezifischen regionalen DNS-Hostnamen, um die Anfrage über den Schnittstellenendpunkt zu stellen. aws elbv2 describe-load-balancers --endpoint-url https://vpce-0f89a33420c193abc- bluzidnv.elasticloadbalancing.us-east-1.vpce.amazonaws.com/ Wenn Sie die Option für das private DNS aktivieren, müssen Sie in der Anfrage die Endpunkt-URL nicht angeben. Die AWS CLI verwendet den Standardendpunkt für den AWS-Service für die Region (elasticloadbalancing.us-east-1.amazonaws.com). Ändern eines Schnittstellenendpunkts Sie können die folgenden Attribute eines Schnittstellenendpunkts ändern: 15
Amazon Virtual Private Cloud AWS PrivateLink Ändern eines Schnittstellenendpunkts • Das Subnetz, in dem sich der Schnittstellendpunkt befindet • Die Sicherheitsgruppen, die der Endpunkt-Netzwerkschnittstelle zugeordnet sind • Die Tags • Die private DNS-Option Note Wenn Sie private DNS aktivieren, kann es einige Minuten dauern, bis die privaten IP-Adressen verfügbar sind. • Die Endpunktrichtlinie (sofern vom Service unterstützt) Wenn Sie ein Subnetz für den Schnittstellenendpunkt entfernen, wird die entsprechende Endpunktnetzwerkschnittstelle im Subnetz gelöscht. Console So ändern Sie die Subnetze für einen Schnittstellenendpunkt 1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 2. Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus. 3. Wählen Sie Actions, Manage Subnets. 4. Wählen Sie Subnetze aus bzw. heben Sie die Auswahl auf und klicken Sie anschließend auf Modify Subnets. So fügen Sie Sicherheitsgruppen hinzu, die einem Schnittstellenendpunkt zugeordnet sind, oder entfernen diese 1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 2. Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus. 3. Wählen Sie Actions, Manage security groups. 4. Wählen Sie Sicherheitsgruppen aus bzw. heben Sie die Auswahl auf und klicken Sie anschließend auf Save (Speichern). So verfahren Sie zum Hinzufügen oder Entfernen eines Schnittstellenendpunkt-Tags 1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 2. Wählen Sie im Navigationsbereich Endpoints (Endpunkte) aus. 3. Wählen Sie den Schnittstellenendpunkt und danach Actions (Aktionen), Add/Edit Tags (Tags hinzufügen/bearbeiten) aus. 4. Hinzufügen oder Entfernen eines Tag. [Tag hinzufügen] Wählen Sie Create tag (Tag erstellen) und führen Sie die folgenden Schritte aus: • Geben Sie bei Key (Schlüssel) den Schlüsselnamen ein. • Geben Sie bei Value (Wert) den Wert des Schlüssels ein. [Tag entfernen] Wählen Sie die Löschschaltfläche („x“) rechts neben dem Schlüssel und Wert des Tags. So ändern Sie die private DNS-Option: 1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 16
Amazon Virtual Private Cloud AWS PrivateLink Gateway Load Balancer-Endpunkte 2. Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus. 3. Wählen Sie Actions (Aktionen), Modify Private DNS names (Private DNS-Namen ändern). 4. Stellen Sie die Option nach Bedarf ein, und wählen Sie Modify Private DNS names (Private DNS- Namen ändern). So aktualisieren Sie die Endpunktrichtlinie: 1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/. 2. Klicken Sie im Navigationsbereich auf Endpoints und wählen Sie den Schnittstellenendpunkt aus. 3. Wählen Sie Actions und dann Edit policy. 4. Wählen Sie Full Access (Voller Zugriff), um vollen Zugriff auf den Service zu gewähren, oder wählen Sie Custom (Benutzerdefiniert), und geben Sie eine benutzerdefinierte Richtlinie an. Wählen Sie Save (Speichern) aus. Command line So ändern Sie einen VPC-Endpunkt mit der AWS CLI-Konsole 1. Verwenden Sie den Befehl describe-vpc-endpoints, um die ID Ihres Schnittstellenendpunkts anzufordern. aws ec2 describe-vpc-endpoints 2. Das folgende Beispiel verwendet den Befehl modify-vpc-endpoint, um dem Schnittstellenendpunkt das Subnetz subnet-aabb1122 zuzuordnen. aws ec2 modify-vpc-endpoint --vpc-endpoint-id vpce-0fe5b17a0707d6abc --add-subnet- id subnet-aabb1122 So ändern Sie einen VPC-Endpunkt mit AWS Tools for Windows PowerShell oder einer API • Edit-EC2VpcEndpoint (AWS Tools for Windows PowerShell) • ModifyVpcEndpoint (Amazon EC2-Abfrage-API) So verfahren beim Hinzufügen oder Entfernen eines VPC-Endpunkt-Tags mithilfe von AWS Tools for Windows PowerShell oder einer API • tag-resource (AWS CLI) • TagResource (AWS Tools for Windows PowerShell) • untag-resource (AWS CLI) • TagResource (AWS Tools for Windows PowerShell) Gateway Load Balancer-Endpunkte (AWS PrivateLink) Ein Gateway Load Balancer-Endpunkt ermöglicht es Ihnen, Datenverkehr abzufangen und an einen Dienst weiterzuleiten, den Sie mit Gateway Load Balancerskonfiguriert haben, z. B. zur Sicherheitsinspektion. Der 17
Sie können auch lesen