App Mesh 接口 VPC 终端节点 (Amazon) PrivateLink) - Amazon App Mesh
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

App Mesh 接口 VPC 终端节点 (Amazon) PrivateLink)

您可以将 App Mesh 配置为使用接口 VPC 终端节点以改善 Amazon VPC 的安全状况。接口终端节点由以下公司提供提供支持Amazon使用 PrivateLink 技术,您可以使用该技术通过使用私有 IP 地址私下访问 App Mesh API。PrivateLink 将 Amazon VPC 和应用程序网格之间的所有网络流量限制在 Amazon 网络以内。

不要求您配置 PrivateLink,但我们建议您这样做。有关 PrivateLink 和接口 VPC 终端节点的更多信息,请参阅通过访问服务AmazonPrivateLink.

应用网状接口 VPC 端点的注意事项

在为 App Mesh 设置接口 VPC 终端节点之前,请注意以下事项:

  • 如果您的 Amazon VPC 没有 Internet 网关,并且您的任务使用awslogs要将日志信息发送到 CloudWatch Logs,则必须为 CloudWatch Logs 创建接口 VPC 终端节点。有关更多信息,请参阅 Amazon CloudWatch Logs 用户指南中的将 CloudWatch Logs 与接口 VPC 终端节点结合使用

  • VPC 终端节点不支持Amazon跨区域请求。确保在计划向 App Mesh 发出 API 调用的同一区域中创建终端节点。

  • VPC 终端节点仅支持通过 Amazon Route 53 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集

  • 附加到 VPC 终端节点的安全组必须允许从 Amazon VPC 的私有子网通过端口 443 进行传入连接。

  • 不支持将终端节点策略附加到 VPC 终端节点以控制对 App Mesh 的访问。默认情况下,允许通过接口终端节点对服务进行完全访问。有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 终端节点控制对服务的访问

有关其他注意事项和限制,请参接口终端节点可用区注意事项接口终端节点属性和限制.

为应用程序网格创建接口 VPC 终端节点

要为 App Mesh 服务创建接口 VPC 终端节点,请使用创建接口终端节点过程中的过程Amazon VPC User Guide. 指定com.amazonaws.Region.appmesh-envoy-management服务名称。

注意

区域表示的区域标识符AmazonApp Mesh 支持的区域,例如us-east-2对于美国东部 (俄亥俄) 区域,请指定。

尽管您可以在支持 App Mesh 的任何区域中为 App Mesh 定义接口 VPC 终端节点,但您可能无法为每个区域中的所有可用区定义终端节点。要了解某个区域中的接口 VPC 终端节点支持哪些可用区,请使用描述 vpc-endpoint-ervices命令或者使用Amazon Web Services Management Console. 例如,以下命令返回可在美国东部(俄亥俄)区域内部署 App Mesh 接口 VPC 终端节点的可用区:

aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'