本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
App Mesh 接口 VPC 终端节点 (Amazon) PrivateLink)
您可以将 App Mesh 配置为使用接口 VPC 终端节点以改善 Amazon VPC 的安全状况。接口终端节点由以下公司提供提供支持Amazon使用 PrivateLink 技术,您可以使用该技术通过使用私有 IP 地址私下访问 App Mesh API。PrivateLink 将 Amazon VPC 和应用程序网格之间的所有网络流量限制在 Amazon 网络以内。
不要求您配置 PrivateLink,但我们建议您这样做。有关 PrivateLink 和接口 VPC 终端节点的更多信息,请参阅通过访问服务AmazonPrivateLink.
应用网状接口 VPC 端点的注意事项
在为 App Mesh 设置接口 VPC 终端节点之前,请注意以下事项:
-
如果您的 Amazon VPC 没有 Internet 网关,并且您的任务使用
awslogs
要将日志信息发送到 CloudWatch Logs,则必须为 CloudWatch Logs 创建接口 VPC 终端节点。有关更多信息,请参阅 Amazon CloudWatch Logs 用户指南中的将 CloudWatch Logs 与接口 VPC 终端节点结合使用。 -
VPC 终端节点不支持Amazon跨区域请求。确保在计划向 App Mesh 发出 API 调用的同一区域中创建终端节点。
-
VPC 终端节点仅支持通过 Amazon Route 53 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集。
-
附加到 VPC 终端节点的安全组必须允许从 Amazon VPC 的私有子网通过端口 443 进行传入连接。
-
不支持将终端节点策略附加到 VPC 终端节点以控制对 App Mesh 的访问。默认情况下,允许通过接口终端节点对服务进行完全访问。有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问。
有关其他注意事项和限制,请参接口终端节点可用区注意事项和接口终端节点属性和限制.
为应用程序网格创建接口 VPC 终端节点
要为 App Mesh 服务创建接口 VPC 终端节点,请使用创建接口终端节点过程中的过程Amazon VPC User Guide. 指定com.amazonaws.
服务名称。Region
.appmesh-envoy-management
区域
表示的区域标识符AmazonApp Mesh 支持的区域,例如us-east-2
对于美国东部 (俄亥俄) 区域,请指定。
尽管您可以在支持 App Mesh 的任何区域中为 App Mesh 定义接口 VPC 终端节点,但您可能无法为每个区域中的所有可用区定义终端节点。要了解某个区域中的接口 VPC 终端节点支持哪些可用区,请使用描述 vpc-endpoint-ervices命令或者使用Amazon Web Services Management Console. 例如,以下命令返回可在美国东部(俄亥俄)区域内部署 App Mesh 接口 VPC 终端节点的可用区:
aws --region
us-east-2
ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2
.appmesh-envoy-management`].AvailabilityZones[]'