本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
App Mesh 接口 VPC 端点 (Amazon PrivateLink)
您可以将 App Mesh 配置为使用接口 VPC 端点以改善 Amazon VPC 的安全状况。接口端点由一项技术提供支持 Amazon PrivateLink,该技术使您能够使用私有 IP 地址私密访问 App Mesh API。 PrivateLink将您的亚马逊 VPC 和 App Mesh 之间的所有网络流量限制到亚马逊网络。
您无需进行配置 PrivateLink,但我们建议您这样做。有关 PrivateLink 和接口 VPC 终端节点的更多信息,请参阅通过访问服务 Amazon PrivateLink。
App Mesh 接口 VPC 端点的注意事项
在为 App Mesh 设置接口 VPC 端点之前,请注意以下事项:
-
如果您的 Amazon VPC 没有互联网网关,并且您的任务使用
awslogs日志驱动程序向日志发送日志信息,则必须为 CloudWatch CloudWatch 日志创建接口 VPC 终端节点。有关更多信息,请参阅 Amazon CloudWatch CloudWatch 日志用户指南中的将日志与接口 VPC 终端节点配合使用。 -
VPC 终端节点不支持 Amazon 跨区域请求。确保在计划向 App Mesh 发出 API 调用的同一区域中创建端点。
-
VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅《Amazon VPC 用户指南》中的 DHCP 选项集。
-
附加到 Amazon VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。
注意
Envoy 连接不支持通过向 VPC 端点附加端点策略(例如,使用服务名称
com.amazonaws.)来控制对 App Mesh 的访问。Region.appmesh-envoy-management
有关其他注意事项和限制,请参阅接口端点可用区域注意事项和接口端点属性和限制。
为 App Mesh 创建接口 VPC 端点
要为 App Mesh 服务创建 VPC 端点,请使用 《Amazon VPC 用户指南》中的创建接口端点过程。com.amazonaws. 为连接到 App Mesh 的公共 Envoy 管理服务的 Envoy 代理以及 Region.appmesh-envoy-managementcom.amazonaws. 网格操作指定服务名称。Region.appmesh
注意
区域表示 App Mesh 支持的 Amazon 区域(例如us-east-2美国东部(俄亥俄州)区域的区域标识符。
尽管您可以在任何支持 App Mesh 的区域中为 App Mesh 定义接口 VPC 端点,但您可能无法为每个区域中的所有可用区域定义一个端点。要了解某个区域中接口 VPC 终端节点支持哪些可用区,请使用describe-vpc-endpoint-services 命令或使用 Amazon Web Services Management Console。例如,以下命令返回可在美国东部(俄亥俄州)区域内部署 App Mesh 接口 VPC 端点的可用区域:
aws --regionus-east-2ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
aws --regionus-east-2ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'