AWS PrivateLink 更新 – 适用于您自己的应用程序和服务的 VPC 终端节点

Posted in: AWS云服务器代维护, 新浪云服务器代维护, 腾讯云服务器代维护, 阿里云服务器代维护

AWS PrivateLink 更新 – 适用于您自己的应用程序和服务的 VPC 终端节点

本月早些时候，我的同事 Colm MacCárthaigh 向大家介绍了 AWS PrivateLink，并展示了如何使用它通过 VPC 终端节点访问 Amazon Kinesis Streams、AWS Service Catalog、EC2 Systems Manager、EC2 API 以及 ELB API 等 AWS 服务。终端节点 (由一个或多个弹性网络接口表示，这种接口简称 ENI) 驻留在您的 VPC 内，其 IP 地址来自 VPC 的子网，无需 Internet 或 NAT 网关。这个模型非常清晰，易于理解，而且还具有安全和可扩展的特点！

用于私有连接的终端节点
目前，我们正在构建 PrivateLink 初始发布模型，并对其进行扩展，让您能够设置并使用 VPC 终端节点来访问您自己的以及其他方提供的服务。在我们发布适用于 AWS 服务的 PrivateLink 之前，就收到了许多要求提供此功能的请求，所以我预计它将会广受欢迎。例如，一名客户告诉我们，他们计划创建数百个 VPC，每一个都用于托管并提供单一微服务 (请阅读 AWS 上的微服务了解更多信息)。

公司现在可以创建服务并销售给其他 AWS 客户，以便通过私有连接进行访问。还可以创建接受 TCP 流量的服务，将其托管在网络负载均衡器后方，然后直接提供或通过 AWS Marketplace 提供此服务。如有新的订阅请求，各公司会收到通知，并可以按需选择接受或拒绝。我认为，这一功能将在 2018 年为服务提供商创造一个富有活力的强大生态系统。

服务提供商和服务使用者位于不同的 VPC 中，使用不同的 AWS 账户，仅通过终端节点进行通信，所有流量都位于 Amazon 私有网络内部。服务使用者不必担心 IP 地址重叠，VPC 对等的安排或使用 VPC 网关等问题。您还可以使用 AWS Direct Connect 将现有的数据中心与一个 VPC 连接，让云中的应用程序与本地运行的服务实现互相访问。

提供服务及使用服务
这个新功能将使您的能力大大增强。您可以使用 VPC API、VPC CLI 或 AWS 管理控制台进行所有设置。我将使用控制台向您展示如何提供和使用服务。我会使用同一 AWS 账户执行这两项任务，但这仅限于演示目的。

先来看看如何提供服务。服务必须在网络负载均衡器后方运行，必须可通过 TCP 进行访问。可以在 EC2 实例、ECS 容器或本地 (配置为 IP 目标) 托管此服务，而且它应该能够扩展，以满足预期的需求。我们建议使用的 NLB，其目标应在所在区域的每个可用区中，以实现低延迟和容错能力。请看以下我的示例：

我打开 VPC 控制台，导航到 Endpoint Services，然后单击 Create Endpoint Service：

我选择我的 NLB (在本例中只有一个，但我可以选择两个或多个，它们将以轮询方式与各使用者相对应)。单击 Acceptance required，我即针对每个请求获得对终端节点的访问控制权：

我单击 Create service，我的服务将立即就绪：

如果我要在 AWS Marketplace 中提供此服务，现在即可开始创建列表。因为在这篇博文中我既是提供者也是使用者，所以我将跳过这一步。但我会复制 Service name 以在下一步中使用。

我返回 VPC 控制面板，导航到 Endpoints，然后单击 Create endpoint。然后我选择 Find service by name，粘贴服务名称，再单击 Verify 转到下一步。接下来我选择所需的可用区，并在每个可用区中选择一个子网，选取安全组，然后单击 Create endpoint：