访问Amazon Batch使用接口终端节点 - Amazon Batch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问Amazon Batch使用接口终端节点

您可以使用Amazon PrivateLink要在 VPC 和之间创建私有连接Amazon Batch. 您可以访问Amazon Batch仿佛它在您的 VPC 中,而无需使用互联网网关、NAT 设备、VPN 连接或。Amazon Direct Connect连接。VPC 中的实例无需公有 IP 地址即可访问。Amazon Batch.

您可以通过创建一个接口终端节点提供支持Amazon PrivateLink. 我们将在您为接口终端节点启用的每个子网中创建一个终端节点网络接口。这些是请求者托管的网络接口,作为目标流量的入口点。Amazon Batch.

有关更多信息,请参阅 。接口 VPC 终端节点中的Amazon PrivateLink指南.

Amazon Batch 的注意事项

在为设置接口终端节点之前Amazon Batch,审核接口终端节点属性和限制中的Amazon PrivateLink指南.

Amazon Batch支持通过接口终端节点调用其所有 API 操作。

Amazon Batch 不支持 VPC 终端节点策略。默认情况下,对进行完全访问Amazon Batch允许通过接口终端节点进行。有关更多信息,请参阅 Amazon PrivateLink 指南中的使用端点策略控制对服务的访问权限

在为 Amazon Batch 设置接口 VPC 终端节点之前,请注意以下事项:

  • 使用 Fargate 资源启动类型的作业不需要 Amazon ECS 的接口 VPC 终端节点,但您可能需要 Amazon ECS、Amazon ECR、Secrets Manager 或 Amazon 的接口 VPC 终端节点。 CloudWatch 以下几点描述的日志。

    • 要运行作业,您必须为 Amazon ECS 创建接口 VPC 终端节点。有关更多信息,请参阅 。接口 VPC 终端节点 (Amazon PrivateLink)中的Amazon Elastic Container Service 开发人员.

    • 要允许您的作业从 Amazon ECR 拉取私有镜像,您必须为 Amazon ECR 创建接口 VPC 终端节点。有关更多信息,请参阅 Amazon Elastic Container Registry 用户指南中的接口 VPC 端点 (Amazon PrivateLink)

    • 要允许您的作业从 Secrets Manager 拉取敏感数据,您必须为 Secrets Manager 创建接口 VPC 终端节点。有关更多信息,请参阅 Amazon Secrets Manager 用户指南中的将 Secrets Manager 与 VPC 端点结合使用

    • 如果您的 VPC 没有互联网网关并且您的作业使用awslogs日志驱动程序将日志信息发送到 CloudWatch 日志中,您必须为创建接口 VPC 终端节点 CloudWatch 日志。有关更多信息,请参阅 。使用 CloudWatch 带接口 VPC 终端节点的日志中的亚马逊 CloudWatch 日志用户指南.

  • 使用 EC2 资源的作业要求启动它们的容器实例运行版本。1.25.1或更高版本的 Amazon ECS 容器代理。有关更多信息,请参阅 。Amazon ECS Linux 容器代理版本中的Amazon Elastic Container Service 开发人员.

  • VPC 终端节点当前不支持跨区域请求。确保在计划向 Amazon Batch 发出 API 调用的同一区域中创建终端节点。

  • VPC 终端节点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集

  • 附加到 VPC 终端节点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

  • Amazon Batch在以下中不支持 VPC 接口终端节点Amazon Web Services 区域:

    • 亚太地区(大阪)(ap-northeast-3)

    • 亚太地区(雅加达)(ap-southeast-3

为 Amazon Batch 创建接口终端节点

您可以为创建接口终端节点Amazon Batch使用 Amazon VPC 控制台或Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 Amazon PrivateLink 指南中的创建接口端点

为 创建接口终端节点Amazon Batch使用以下服务名称:

com.amazonaws.region.batch

例如:

com.amazonaws.us-east-2.batch

aws-cn分区,格式不同:

cn.com.amazonaws.region.batch

例如:

cn.com.amazonaws.cn-northwest-1.batch

如果为接口终端节点启用私有 DNS,则可以向Amazon Batch使用其默认的区域 DNS 名称。例如,batch.us-east-1.amazonaws.com

有关更多信息,请参阅 。通过接口终端节点访问服务中的Amazon PrivateLink指南.

为接口终端节点创建终端节点策略。

终端节点策略是一种 IAM 资源,您可以将它们附加到接口终端节点。默认终端节点策略允许访问Amazon Batch通过接口终端节点。控制允许的访问Amazon Batch从您的 VPC 中,将自定义终端节点策略附加到接口终端节点。

端点策略指定以下信息:

  • 可执行操作的委托人 (Amazon Web Services 账户、IAM 用户和 IAM 角色)。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon PrivateLink 指南中的使用端点策略控制对服务的访问权限

例如:的 VPC 终端节点策略Amazon Batch行动

以下是自定义终端节点策略的示例。当您将此策略附加到接口终端节点时,它会授予对列出的Amazon Batch针对所有资源的所有委托人的操作。

{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "batch:SubmitJob", "batch:ListJobs", "batch:DescribeJobs" ], "Resource":"*" } ] }