Triển khai VPC Endpoint
Triển khai VPC Endpoint
Trong môi trường nhiều VPC, chúng ta có lựa chọn thời điểm xác định nơi các VPC Endpoint này: Trong local VPC đang truy cập vào dịch vụ AWS hoặc trong một VPC chung, được chia sẻ. Trong một số trường hợp, bạn có thể cung cấp một số VPC Endpoint ở VPC trung tâm và một số VPC Endpoint ở local. Trong bài lab này, chúng ta sẽ thêm KMS VPC Endpoint trong DCS1 VPC và các VPC khác sẽ có thể sử dung Endpoint trung tâm này.
- Truy cập vào AWS System Manager
- Chọn Session Manager
- Chọn Start Session
- Chọn NP2 Instance
- Chọn Start session
- Trong giao diện Session
Sử dụng lệnh sau:
dig kms.your_region.amazonaws.com
Như bạn có thể đoán, trước khi VPC Endpoint được cấp phép, giao tiếp hướng tới dịch vụ KMS từ NP2 instance sẽ truyền qua DCS1 NAT Gateway (cũng sẽ tận dụng nternet Gateway bên trong VPC). Đây là kết quả trực tiếp của việc KMS phân giải public ip addresses. Đây là luồng lưu lượng truy cập trông như thế này:
Nhưng bây giờ chúng tôi muốn quên việc quản lý kết nối công cộng và sử dụng KMS VPC Endpoint trung tâm này bất cứ khi nào có thể. Để làm được điều đó, chúng ta sẽ cung cấp:
- KMS VPC Endpoint trong DCS1 VPC
- Route 53 Private Hosted Zone được liên kết với NP2 VPC để mọi truy vấn DNS cho dịch vụ KMS đều được chuyển đến VPC Endpoint trong DCS1 VPC.
VPC Endpoints - Deployment
- Truy cập vào giao diện tạo stack CloudFormation
- Chọn tất cả mặc định
- Chọn Create stack
- Đợi 20 phút sau, hoàn thành tạo stack.
