本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Batch 使用接口端点进行访问
您可以使用 Amazon PrivateLink 在您的 VPC 和之间创建私有连接 Amazon Batch。您可以像在 VPC 中一样访问 Amazon Batch ,而无需使用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问 Amazon Batch。
您可以通过创建由 Amazon PrivateLink提供支持的接口端点来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口,用作发往 Amazon Batch的流量的入口点。
有关更多信息,请参阅 Amazon PrivateLink 指南 中的 接口 VPC 端点。
的注意事项 Amazon Batch
在为设置接口终端节点之前 Amazon Batch,请查看Amazon PrivateLink 指南中的接口端点属性和限制。
Amazon Batch 支持通过接口端点调用其所有 API 操作。
在为设置接口 VPC 终端节点之前 Amazon Batch,请注意以下注意事项:
-
使用 Fargate 资源启动类型的任务不需要 Amazon ECS 的接口 VPC 终端节点,但您可能需要以下几点中描述的 Amazon ECR、Secret CloudWatch s Manager 或 A Amazon Batch mazon Logs 的接口 VPC 终端节点。
-
要运行作业,您必须为 Amazon ECS 创建接口 VPC 端点。有关更多信息,请参阅 Amazon Elastic Container Service 开发人员指南中的接口 VPC 端点 (Amazon PrivateLink)。
-
要允许您的任务从 Amazon ECR 拉取私有映像,您必须为 Amazon ECR 创建接口 VPC 端点。有关更多信息,请参阅 Amazon Elastic Container Registry 用户指南中的接口 VPC 端点 (Amazon PrivateLink)。
-
要允许您的任务从 Secrets Manager 拉取敏感数据,您必须为 Secrets Manager 创建接口 VPC 端点。有关更多信息,请参阅 Amazon Secrets Manager 用户指南中的将 Secrets Manager 与 VPC 端点结合使用。
-
如果您的 VPC 没有 Internet 网关,并且您的任务使用
awslogs
日志驱动程序向日志发送日志信息,则必须为 CloudWatch 日志创建接口 VPC 终端节点。 CloudWatch 有关更多信息,请参阅 Amazon CloudWatch CloudWatch 日志用户指南中的将日志与接口 VPC 终端节点配合使用。
-
-
使用 EC2 资源的任务要求启动它们的容器实例运行
1.25.1
或更高版本的 Amazon ECS 容器代理。有关更多信息,请参阅《Amazon Elastic Container Service 开发人员指南》 中的 Amazon ECS 容器代理配置。 -
VPC 端点当前不支持跨区域请求。确保在计划向 Amazon Batch发出 API 调用的同一区域中创建端点。
-
VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅 Amazon VPC 用户指南中的 DHCP 选项集。
-
附加到 VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。
-
Amazon Batch 不支持以下 VPC 接口终端节点 Amazon Web Services 区域:
-
亚太地区(大阪)(
ap-northeast-3
) -
亚太地区(雅加达)(
ap-southeast-3
)
-
为创建接口终端节点 Amazon Batch
您可以创建用于 Amazon Batch 使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 的接口终端节点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的创建接口端点。
Amazon Batch 使用以下服务名称创建接口终端节点:
com.amazonaws.
region
.batch
例如:
com.amazonaws.
us-east-2
.batch
在aws-cn
分区中,格式不同:
cn.com.amazonaws.
region
.batch
例如:
cn.com.amazonaws.
cn-northwest-1
.batch
如果您为接口终端节点启用私有 DNS,则 Amazon Batch 可以使用其默认区域 DNS 名称向发出 API 请求。例如,batch.us-east-1.amazonaws.com
。
有关更多信息,请参阅 Amazon PrivateLink 指南中的通过接口端点访问服务。
为接口端点创建端点策略
端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认终端节点策略允许 Amazon Batch 通过接口终端节点进行完全访问。要控制允许从 VPC 访问 Amazon Batch 的权限,请将自定义端点策略附加到接口端点。
端点策略指定以下信息:
-
可执行操作的主体(Amazon Web Services 账户、用户和 IAM 角色)。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon PrivateLink 指南》中的使用端点策略控制对服务的访问权限。
示例:用于 Amazon Batch 操作的 VPC 终端节点策略
以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会授予所有委托人对所有资源 Amazon Batch 执行所列操作的访问权限。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "batch:SubmitJob", "batch:ListJobs", "batch:DescribeJobs" ], "Resource":"*" } ] }