支持Amazon AWS S3的VPC Endpoint发布 希望借此在VPC内部简化S3资源的访问机制

   05/15/2016 11:39 pm   大 中 小 简体 繁體 字体:
1 颗星2 颗星3 颗星4 颗星5 颗星 (点击来评价哦~_~)
    308人参与

在这里我要向大家介绍一项全新AWS功能,旨在帮助大家以更理想的方式使用Amazon Virtual PrivateCloud(简称VPC)以及Amazon SimpleStorage Service(简称S3)。如大家所知,S3能为用户提供安全、耐用且具备高度可扩展能力的对象存储服务。我们可以利用Virtual Private Cloud创建出一套AWS Cloud逻辑隔离区,并通过自己定义的虚拟网络对其进行全面控制。

VPC endpoint可让您在您的 VPC 和其他 AWS 服务之间创建私有连接,而无需通过 Internet、NAT 设备、VPN 连接或 AWS Direct Connect 进行访问。终端节点是虚拟设备。这些是水平扩展、冗余且具备高可用性的 VPC 组件,使用这些组件可以在 VPC 与 AWS 服务中的实例之间进行通信,而不会对网络流量造成可用性风险或带宽限制。

Important

目前,我们仅支持带有 Amazon S3 的连接终端节点。稍后,我们将添加对其他 AWS 服务的支持。仅在同一地区内支持终端节点。

终端节点使 VPC 中的实例能够使用其私有 IP 地址与其他服务中的资源进行通信。您的实例不需要公有 IP 地址,并且您的 VPC 中不需要有 Internet 网关、NAT 设备或虚拟专用网关。使用终端节点策略可控制对其他服务中的资源的访问。您的 VPC 和 AWS 服务之间的流量不会脱离 Amazon 网络。

当我们创建VPC时,需要利用安全组与访问控制列表(简称ACL)对输入及输出流量进行控制。就目前而言,如果大家希望让自己的EC2实例有能力访问公有资源,则必须使用Internet Gateway,且可能需要对部分NAT实例进行管理。

面向S3的全新VPC Endpoint

今天我们提出了VPC Endpoint的概念,希望借此在VPC内部简化S3资源的访问机制。这些Endpoints易于配置、具备高度可靠性并能够提供指向S3的安全连接,而且整个流程不需要任何网关或者NAT实例的介入。

运行在VPC下私有子网内的EC2实例现在具备了面向S3存储桶、对象以及API功能等同处于该VPC范畴内要素的受控访问机制。大家可以利用一套S3存储桶政策来指定允许哪些VPC以及VPCEndpoint访问自己的S3存储桶。

创建并使用VPC Endpoint

大家可以利用AWS管理控制台、AWS合作行界面(简称CLI)、AWS Tools for Windows PowerShell以及VPC API创建并配置VPC Endpoint。

下面让我们利用控制台创建一个端点Endpoint!首先打开VPC Dashboard并选定所需要的区域。在导航栏中找到Endpoints项目并点击:

如果大家已经创建了一些VPC Endpoint,那么它们会显示在以下列表当中:

AWS S3的VPC Endpoint

现在点击Create Endpoint,选定所需的VPC,而后对访问政策进行自定义(如果需要):

AWS S3的VPC Endpoint

VPC Endpoint上的访问政策允许大家驳回那些指向非受信S3存储桶的请求(在默认状态下,VPC Endpoint能够访问任意S3存储桶)。大家也可以利用S3存储桶上的访问政策来控制来自特定VPC或者VPC Endpoint的访问请求。这些访问政策将用到新的aws:SourceVpcaws:SourceVpce条件。

通过上图想必大家能够猜到,我们最终将能够为其它各类AWS服务创建对应的VPC Endpoint!

现在选定有资格接入该端点的VPC子网:

AWS S3的VPC Endpoint

正如上图中的说明文字所示,利用相关子网内某实例的公共IP地址所开启的连接将在大家创建VPC Endpoint时被取消。

一旦我们的VPC Endpoint创建完成,S3公有端点与DNS名称将继续如常发挥作用。该Endpoint只会单纯改变请求从EC2到S3的路由方式。

现已正式上线

面向AmazonS3的Amazon VPC Endpoint目前已经在美国东部(北弗吉尼亚州)(用于访问美国标准区域)、美国西部(俄勒冈州)、美国西部(北加利福尼亚州)、欧洲(爱尔兰)、欧洲(法兰克福)、亚太地区(东京)、亚太地区(新加坡)以及亚太地区(悉尼)等区域内正式上线。大家可以马上将其纳入自己的服务体系。

关键词: , , , , , , 

最多人阅读内容