4、虚拟专用云网络与安全指南

虚拟专用云网络与安全指南

1. 接口端点与 VPC 端点配置

接口端点由 AWS PrivateLink 提供支持，本质上是服务级别的弹性网络接口（ENI）。服务通过 ENI 直接连接到 VPC 子网，这使得我们能够从子网地址池中直接为服务分配私有 IP 地址。使用接口端点，我们可以通过 ENI 的私有 IP 直接访问 AWS 服务，而非通过其公共端点，从而在私有网络上与服务进行通信，并将服务的所有数据保留在子网内。例如，SQS VPC 接口端点连接到 VPC 后，私有子网中的 EC2 实例可以通过连接 SQS 服务的私有 IP 直接连接到 SQS 服务。

要获取支持服务端点的完整服务列表，可查阅相关链接。此服务由 AWS PrivateLink 支持，PrivateLink 还允许其他服务和软件提供商直接向 VPC 子网提供私有接口链接，实现无缝的私有连接，使流量不经过公共网络。

配置端点时，可导航到“Endpoints”部分查看如何创建服务或其他 VPC 端点，在 VPC 控制台中配置这些功能十分便捷。

2. VPC 对等连接

在运行跨 VPC 或跨区域的大型应用程序时，有时需要通过私有连接连接应用程序。虽然可以在 VPC 之间创建 VPN 连接，但这需要维护 VPN 设备的配置并确保其安全性。更简单的方法是使用 VPC 对等连接，它是两个 VPC 之间的网络连接，允许在它们之间进行私有路由，并使不同 VPC 中私有子网的实例能够直接通信。

AWS 支持在自己的 VPC 之间或与其他 AWS 账户的 VPC 创建对等连接，可在同一区域内或跨不同 AWS 区域建立。AWS 使用现有的可扩展网络技术，无单点故障来实现