App Mesh 接口 VPC 端点 (Amazon PrivateLink) - Amazon App Mesh
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

App Mesh 接口 VPC 端点 (Amazon PrivateLink)

您可以将 App Mesh 配置为使用接口 VPC 端点以改善 Amazon VPC 的安全状况。接口端点由一项技术提供支持 Amazon PrivateLink,该技术使您能够使用私有 IP 地址私密访问 App Mesh API。 PrivateLink将您的亚马逊 VPC 和 App Mesh 之间的所有网络流量限制到亚马逊网络。

您无需进行配置 PrivateLink,但我们建议您这样做。有关 PrivateLink 和接口 VPC 终端节点的更多信息,请参阅通过访问服务 Amazon PrivateLink

App Mesh 接口 VPC 端点的注意事项

在为 App Mesh 设置接口 VPC 端点之前,请注意以下事项:

  • 如果您的 Amazon VPC 没有互联网网关,并且您的任务使用awslogs日志驱动程序向日志发送日志信息,则必须为 CloudWatch CloudWatch 日志创建接口 VPC 终端节点。有关更多信息,请参阅 Amazon CloudWatch CloudWatch 日志用户指南中的将日志与接口 VPC 终端节点配合使用

  • VPC 终端节点不支持 Amazon 跨区域请求。确保在计划向 App Mesh 发出 API 调用的同一区域中创建端点。

  • VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅《Amazon VPC 用户指南》中的 DHCP 选项集

  • 附加到 Amazon VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

    注意

    Envoy 连接不支持通过向 VPC 端点附加端点策略(例如,使用服务名称 com.amazonaws.Region.appmesh-envoy-management)来控制对 App Mesh 的访问。

有关其他注意事项和限制,请参阅接口端点可用区域注意事项接口端点属性和限制

为 App Mesh 创建接口 VPC 端点

要为 App Mesh 服务创建 VPC 端点,请使用 《Amazon VPC 用户指南》中的创建接口端点过程。com.amazonaws.Region.appmesh-envoy-management 为连接到 App Mesh 的公共 Envoy 管理服务的 Envoy 代理以及 com.amazonaws.Region.appmesh 网格操作指定服务名称。

注意

区域表示 App Mesh 支持的 Amazon 区域(例如us-east-2美国东部(俄亥俄州)区域的区域标识符。

尽管您可以在任何支持 App Mesh 的区域中为 App Mesh 定义接口 VPC 端点,但您可能无法为每个区域中的所有可用区域定义一个端点。要了解某个区域中接口 VPC 终端节点支持哪些可用区,请使用describe-vpc-endpoint-services 命令或使用 Amazon Web Services Management Console。例如,以下命令返回可在美国东部(俄亥俄州)区域内部署 App Mesh 接口 VPC 端点的可用区域:

aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'