本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
App Mesh 接口 VPC 端点 (Amazon PrivateLink)
您可以将 App Mesh 配置为使用接口 VPC 端点以改善 Amazon VPC 的安全状况。接口端点由 Amazon PrivateLink 提供支持,您可以使用该技术通过私有 IP 地址私下访问 App Mesh API。PrivateLink 将 Amazon VPC 和 App Mesh 之间的所有网络流量限制在 Amazon 网络以内。
不要求您配置 PrivateLink,但我们建议您这样做。有关 PrivateLink 和 接口 VPC 端点的更多信息,请参阅通过 PrivateLink 访问 Amazon 服务。
App Mesh 接口 VPC 端点的注意事项
在为 App Mesh 设置接口 VPC 端点之前,请注意以下事项:
-
如果您的 VPC 没有互联网网关,并且您的任务使用
awslogs日志驱动程序将日志信息发送到 CloudWatch Logs,则必须为 CloudWatch Logs 创建一个接口 VPC 端点。有关更多信息,请参阅 Amazon CloudWatch Logs 用户指南中的将 CloudWatch Logs 与接口 VPC 端点结合使用。 -
VPC 端点不支持 Amazon 跨区域请求。确保在计划向 App Mesh 发出 API 调用的同一区域中创建端点。
-
VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅《Amazon VPC 用户指南》中的 DHCP 选项集。
-
附加到 Amazon VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。
注意
Envoy 连接不支持通过向 VPC 端点附加端点策略(例如,使用服务名称
com.amazonaws.)来控制对 App Mesh 的访问。Region.appmesh-envoy-management
有关其他注意事项和限制,请参阅接口端点可用区域注意事项和接口端点属性和限制。
为 App Mesh 创建接口 VPC 端点
要为 App Mesh 服务创建 VPC 端点,请使用 《Amazon VPC 用户指南》中的创建接口端点过程。com.amazonaws. 为连接到 App Mesh 的公共 Envoy 管理服务的 Envoy 代理以及 Region.appmesh-envoy-managementcom.amazonaws. 网格操作指定服务名称。Region.appmesh
注意
Region 表示 App Mesh 支持的 Amazon 区域的区域标识符,例如美国东部(俄亥俄)区域的 us-east-2。
尽管您可以在任何支持 App Mesh 的区域中为 App Mesh 定义接口 VPC 端点,但您可能无法为每个区域中的所有可用区域定义一个端点。要了解接口 VPC端点支持的可用区,请使用 describe-vpc-endpoint-services 命令或使用 Amazon Web Services Management Console。例如,以下命令返回可在美国东部(俄亥俄州)区域内部署 App Mesh 接口 VPC 端点的可用区域:
aws --regionus-east-2ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
aws --regionus-east-2ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'