VPC-Endpunkte mit App Mesh Mesh-Schnittstelle ()AWS PrivateLink

Sie können die Sicherheitslage Ihrer Amazon VPC verbessern, indem Sie App Mesh so konfigurieren, dass es einen VPC-Endpunkt mit Schnittstelle verwendet. Schnittstellenendpunkte werden von einer Technologie unterstützt AWS PrivateLink, mit der Sie privat auf App Mesh Mesh-APIs zugreifen können, indem Sie private IP-Adressen verwenden. PrivateLinkschränkt den gesamten Netzwerkverkehr zwischen Ihrer Amazon VPC und App Mesh auf das Amazon-Netzwerk ein.

Sie müssen es nicht konfigurieren PrivateLink, aber wir empfehlen es. Weitere Informationen zu VPC-Endpunkten PrivateLink und deren Schnittstelle finden Sie unter Zugreifen auf Dienste über. AWS PrivateLink

Überlegungen zu VPC-Endpunkten mit App Mesh Mesh-Schnittstelle

Bevor Sie VPC-Schnittstellen-Endpunkte für App Mesh einrichten, sollten Sie die folgenden Überlegungen beachten:

• Wenn Ihre Amazon VPC kein Internet-Gateway hat und Ihre Aufgaben den awslogs Protokolltreiber verwenden, um CloudWatch Protokollinformationen an Logs zu senden, müssen Sie einen VPC-Schnittstellen-Endpunkt für CloudWatch Logs erstellen. Weitere Informationen finden Sie unter Using CloudWatch Logs with Interface VPC Endpoints im Amazon CloudWatch Logs-Benutzerhandbuch.

• VPC-Endpunkte unterstützen keine AWS regionsübergreifenden Anfragen. Stellen Sie sicher, dass Sie Ihren Endpunkt in derselben Region erstellen, in der Sie Ihre API-Aufrufe an App Mesh tätigen möchten.

• VPC-Endpunkte unterstützen nur von Amazon bereitgestellten DNS über Amazon Route 53. Wenn Sie Ihre eigene DNS verwenden möchten, können Sie die bedingte DNS-Weiterleitung nutzen. Weitere Informationen finden Sie unter DHCP Options Sets im Amazon VPC-Benutzerhandbuch.

• Die mit dem VPC-Endpunkt verbundene Sicherheitsgruppe muss eingehende Verbindungen über Port 443 aus dem privaten Subnetz der Amazon VPC zulassen.

  Anmerkung

  Die Steuerung des Zugriffs auf App Mesh durch Anhängen einer Endpunktrichtlinie an den VPC-Endpunkt (z. B. mithilfe des Dienstnamenscom.amazonaws.Region.appmesh-envoy-management) wird für die Envoy-Verbindung nicht unterstützt.

Weitere Überlegungen und Einschränkungen finden Sie unter Überlegungen zur Availability Zone für Benutzeroberflächenendpunkte und Eigenschaften und Einschränkungen von Schnittstellenendpunkten.

Erstellen Sie den VPC-Endpunkt der Schnittstelle für App Mesh

Um den VPC-Schnittstellen-Endpunkt für den App Mesh-Service zu erstellen, verwenden Sie das Verfahren Creating an Interface Endpoint im Amazon VPC-Benutzerhandbuch. Geben Sie com.amazonaws.Region.appmesh-envoy-management den Servicenamen für Ihren Envoy-Proxy an, um eine Verbindung zum öffentlichen Envoy-Verwaltungsservice von App Mesh herzustellen, und com.amazonaws.Region.appmesh für Mesh-Operationen.

Anmerkung

Region steht für die Regionskennung für eine AWS Region, die von App Mesh unterstützt wird, z. B. us-east-2 für die Region USA Ost (Ohio).

Sie können zwar in jeder Region, in der App Mesh unterstützt wird, einen VPC-Schnittstellen-Endpunkt für App Mesh definieren, Sie können jedoch möglicherweise keinen Endpunkt für alle Availability Zones in jeder Region definieren. Um herauszufinden, welche Availability Zones mit VPC-Schnittstellen-Endpunkten in einer Region unterstützt werden, verwenden Sie den describe-vpc-endpoint-services Befehl oder den. AWS Management Console Mit den folgenden Befehlen werden beispielsweise die Verfügbarkeitszonen zurückgegeben, in denen Sie VPC-Endpunkte mit App Mesh Mesh-Schnittstelle in der Region USA Ost (Ohio) bereitstellen können:

aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'

aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'