本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# App Mesh 接口 VPC 端点 (Amazon PrivateLink)
<a name="vpc-endpoints"></a>

**重要**  
终止支持通知：2026 年 9 月 30 日， Amazon 将停止对的支持。 Amazon App Mesh 2026 年 9 月 30 日之后，您将无法再访问 Amazon App Mesh 控制台或 Amazon App Mesh 资源。有关更多信息，请访问此博客文章[从迁移 Amazon App Mesh 到 Amazon ECS Service Connect](https://www.amazonaws.cn/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)。

您可以将 App Mesh 配置为使用接口 VPC 端点以改善 Amazon VPC 的安全状况。接口端点由一项技术提供支持 Amazon PrivateLink，该技术使您能够使用私有 IP 地址私密访问 App Mesh APIs 。 PrivateLink将您的亚马逊 VPC 和 App Mesh 之间的所有网络流量限制到亚马逊网络。

您无需进行配置 PrivateLink，但我们建议您这样做。有关 PrivateLink 和接口 VPC 终端节点的更多信息，请参阅[通过访问服务 Amazon PrivateLink](https://docs.amazonaws.cn/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink)。

## App Mesh 接口 VPC 端点的注意事项
<a name="app-mesh-vpc-endpoint-considerations"></a>

在为 App Mesh 设置接口 VPC 端点之前，请注意以下事项：
+ 如果您的 Amazon VPC 没有互联网网关，并且您的任务使用`awslogs`日志驱动程序向日志发送日志信息，则必须为 CloudWatch CloudWatch 日志创建接口 VPC 终端节点。有关更多信息，请参阅 *Amazon CloudWatch CloudWatch 日志用户指南*[中的将日志与接口 VPC 终端节点配合使用](https://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html)。
+ VPC 终端节点不支持 Amazon 跨区域请求。确保在计划向 App Mesh 发出 API 调用的同一区域中创建端点。
+ VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS，可以使用条件 DNS 转发。有关更多信息，请参阅*《Amazon VPC 用户指南》*中的 [DHCP 选项集](https://docs.amazonaws.cn/vpc/latest/userguide/VPC_DHCP_Options.html)。
+ 附加到 Amazon VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。
**注意**  
Envoy 连接不支持通过向 VPC 端点附加端点策略（例如，使用服务名称 `com.amazonaws.{{Region}}.appmesh-envoy-management`）来控制对 App Mesh 的访问。

有关其他注意事项和限制，请参阅[接口端点可用区域注意事项](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#vpce-interface-availability-zones)和[接口端点属性和限制](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)。

## 为 App Mesh 创建接口 VPC 端点
<a name="app-mesh-setting-up-vpc-create"></a>

要为 App Mesh 服务创建 VPC 端点，请使用 *《Amazon VPC 用户指南》*中的[创建接口端点](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)过程。`com.amazonaws.{{Region}}.appmesh-envoy-management` 为连接到 App Mesh 的公共 Envoy 管理服务的 Envoy 代理以及 `com.amazonaws.{{Region}}.appmesh` 网格操作指定服务名称。

**注意**  
{{Region}}表示 App Mesh 支持的 Amazon 区域（例如`us-east-2`美国东部（俄亥俄州）区域的区域标识符。

尽管您可以在任何支持 App Mesh 的区域中为 App Mesh 定义接口 VPC 端点，但您可能无法为每个区域中的所有可用区域定义一个端点。要了解某个区域中接口 VPC 终端节点支持哪些可用区，请使用[describe-vpc-endpoint-services ](https://docs.amazonaws.cn/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)命令或使用 Amazon Web Services 管理控制台。例如，以下命令返回可在美国东部（俄亥俄州）区域内部署 App Mesh 接口 VPC 端点的可用区域：

```
aws --region {{us-east-2}} ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.{{us-east-2}}.appmesh-envoy-management`].AvailabilityZones[]'
```

```
aws --region {{us-east-2}} ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.{{us-east-2}}.appmesh`].AvailabilityZones[]'
```