我有两个 VPC,一个消费者 VPC 和一个服务 VPC。消费者应用程序必须通过 AWS PrivateLink 访问服务,并且必须是 HTTPS 调用。这是我当前的设置,可以正常工作:
请注意,由于目前这一切都在我的个人账户上,我可以将 example.com 设置为指向 VPC 端点,并且可以将 example.com 的证书添加到网络负载均衡器。这样我就可以调用https://example.com从消费者应用程序一直到服务。
然而,在现实世界中,这两个 VPC 将不是在同一帐户上。我想知道在后一种情况下,HTTPS PrivateLink 将如何实现。如果服务提供商控制域,消费者将如何将该域指向 VPC 端点?我发现这但目前还不能只见树木不见森林:
问:如何确保我的客户可以通过 VPC 终端节点与我的服务建立 HTTPS 连接?
答:您需要更新证书以支持遵循 VPC 终端节点名称模式的通配符 DNS 名称。如果您的服务使用 Amazon 的 DNS 名称,我们将使用 Amazon 证书管理服务 (ACM) 为您提供证书。如果您的服务使用您自己的 DNS 名称,您需要自行更新证书。
答案1
正如评论中提到的,答案在这里:https://aws.amazon.com/premiumsupport/knowledge-center/privatelink-https-connectivity/。
这个需要:
- 提供商 vpc 拥有域名 example.com
- 提供商 vpc 将 example.com 的证书应用于 NLB
- 消费者 vpc 为 example.com 创建私有托管区域,并使用指向 VPC 端点的 A 记录。