Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengaktifkan titik akhir Pribadi untuk lalu lintas masuk
Secara default ketika Anda membuat AWS App Runner layanan, layanan dapat diakses melalui internet. Namun, Anda juga dapat menjadikan layanan App Runner pribadi dan hanya dapat diakses dari dalam Amazon Virtual Private Cloud (Amazon VPC).
Dengan layanan pribadi App Runner Anda, Anda memiliki kontrol penuh atas lalu lintas masuk, menambahkan lapisan keamanan tambahan. Ini sangat membantu dalam berbagai kasus penggunaan, termasuk menjalankan API internal, aplikasi web perusahaan, atau aplikasi yang masih dalam pengembangan yang memerlukan tingkat privasi dan keamanan yang lebih tinggi, atau memiliki kebutuhan untuk memenuhi persyaratan kepatuhan tertentu.
catatan
Jika aplikasi App Runner Anda memerlukan aturan kontrol lalu lintas masuk IP/CIDR sumber, Anda harus menggunakan aturan grup keamanan untuk titik akhir pribadi, bukan ACL web WAF. Ini karena saat ini kami tidak mendukung penerusan data IP sumber permintaan ke layanan pribadi App Runner yang terkait dengan WAF. Akibatnya, aturan IP sumber untuk layanan pribadi App Runner yang terkait dengan ACL web WAF tidak mematuhi aturan berbasis IP.
Untuk mempelajari selengkapnya tentang grup keamanan dan keamanan infrastruktur, termasuk praktik terbaik, lihat topik berikut di Panduan Pengguna Amazon VPC: Kontrol lalu lintas jaringan dan Kontrol lalu lintas ke sumber daya AWS Anda menggunakan grup keamanan.
Jika layanan App Runner bersifat pribadi, Anda dapat mengakses layanan Anda dari dalam VPC Amazon. Gateway internet, perangkat NAT, atau koneksi VPN tidak diperlukan.
catatan
App Runner saat ini mendukung tipe alamat dual-stack (IPv4 dan IPv6) hanya untuk lalu lintas masuk publik. Untuk lalu lintas keluar dan lalu lintas masuk pribadi hanya IPv4 yang didukung.
Pertimbangan
-
Sebelum menyiapkan titik akhir antarmuka VPC untuk App Runner, tinjau Pertimbangan dalam Panduan.AWS PrivateLink
-
Kebijakan titik akhir VPC tidak didukung untuk App Runner. Secara default, akses penuh ke App Runner diizinkan melalui titik akhir antarmuka VPC. Atau, Anda dapat mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengontrol lalu lintas ke App Runner melalui titik akhir antarmuka VPC.
-
Jika aplikasi App Runner Anda memerlukan aturan kontrol lalu lintas masuk IP/CIDR sumber, Anda harus menggunakan aturan grup keamanan untuk titik akhir pribadi, bukan ACL web WAF. Ini karena saat ini kami tidak mendukung penerusan data IP sumber permintaan ke layanan pribadi App Runner yang terkait dengan WAF. Akibatnya, aturan IP sumber untuk layanan pribadi App Runner yang terkait dengan ACL web WAF tidak mematuhi aturan berbasis IP.
-
Setelah Anda mengaktifkan titik akhir Pribadi, layanan Anda hanya dapat diakses dari VPC Anda, dan tidak dapat diakses dari internet.
-
Untuk ketersediaan yang lebih tinggi, Anda disarankan untuk memilih setidaknya dua subnet di Availability Zone yang berbeda untuk titik akhir antarmuka VPC. Kami tidak menyarankan hanya menggunakan satu subnet.
-
Anda dapat menggunakan titik akhir antarmuka VPC yang sama untuk mengakses beberapa layanan App Runner di VPC.
Untuk informasi tentang istilah yang digunakan di bagian ini, lihat Terminologi.
Izin
Berikut ini adalah daftar izin yang diperlukan untuk mengaktifkan titik akhir Privat:
-
EC2: CreateTags
-
EC2: CreateVpcEndpoint
-
EC2: ModifyVpcEndpoint
-
EC2: DeleteVpcEndpoints
-
EC2: DescribeSubnets
-
EC2: DescribeVpcEndpoints
-
EC2: DescribeVpcs
Titik akhir antarmuka VPC
Titik akhir antarmuka VPC adalah AWS PrivateLinksumber daya yang menghubungkan VPC Amazon ke layanan titik akhir. Anda dapat menentukan VPC Amazon mana yang Anda inginkan agar layanan App Runner dapat diakses dengan melewati titik akhir antarmuka VPC. Untuk membuat antarmuka VPC endpoint tentukan hal berikut:
-
VPC Amazon untuk mengaktifkan konektivitas.
-
Tambahkan grup Keamanan. Secara default, grup keamanan ditetapkan ke titik akhir antarmuka VPC. Anda dapat memilih untuk mengaitkan grup keamanan khusus untuk membawa kontrol lebih lanjut ke lalu lintas jaringan yang masuk.
-
Tambahkan subnet. Untuk memastikan ketersediaan yang lebih tinggi, disarankan untuk memilih setidaknya dua subnet untuk setiap Availability Zone tempat Anda akan mengakses layanan App Runner. Endpoint antarmuka jaringan dibuat di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka VPC. Ini adalah antarmuka jaringan yang dikelola pemohon yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk App Runner. Antarmuka jaringan yang dikelola pemohon adalah antarmuka jaringan yang dibuat oleh AWS layanan di VPC Anda atas nama Anda.
-
Jika Anda menggunakan API, tambahkan titik akhir antarmuka VPC App Runner.
ServicenameMisalnya,com.amazonaws.region.apprunner.requests
Anda dapat membuat titik akhir antarmuka VPC menggunakan salah satu layanan berikut: AWS
-
Konsol Pelari Aplikasi. Untuk informasi selengkapnya, lihat Mengelola titik akhir Pribadi.
-
Konsol Amazon VPC atau API, dan AWS Command Line Interface ()AWS CLI. Untuk informasi selengkapnya, lihat Akses AWS layanan melalui AWS PrivateLink di AWS PrivateLink Panduan.
catatan
Anda dikenakan biaya untuk setiap titik akhir antarmuka VPC yang Anda gunakan berdasarkan Harga.AWS PrivateLink
Koneksi Ingress VPC
Koneksi Ingress VPC adalah sumber daya App Runner yang menentukan titik akhir App Runner untuk lalu lintas masuk. App Runner menetapkan sumber daya VPC Ingress Connection di belakang layar saat Anda memilih titik akhir Pribadi di konsol App Runner untuk lalu lintas masuk Anda. Pilih opsi ini untuk hanya mengizinkan lalu lintas dari VPC Amazon untuk mengakses layanan App Runner Anda. Sumber daya VPC Ingress Connection menghubungkan layanan App Runner Anda ke titik akhir antarmuka VPC VPC Amazon. Anda dapat membuat sumber daya VPC Ingress Connection hanya jika Anda menggunakan operasi API untuk mengonfigurasi pengaturan jaringan untuk lalu lintas masuk. Untuk informasi selengkapnya cara membuat resource VPC Ingress Connection, lihat CreateVpcIngressConnectiondi Referensi API.AWS App Runner
catatan
Satu sumber daya VPC Ingress Connection dari App Runner dapat terhubung ke satu titik akhir antarmuka VPC VPC Amazon. Selain itu, Anda hanya dapat membuat satu sumber daya VPC Ingress Connection untuk setiap layanan App Runner.
Titik akhir pribadi
Titik akhir pribadi adalah opsi konsol App Runner yang dapat Anda pilih jika Anda hanya ingin menerima lalu lintas masuk dari VPC Amazon. Memilih opsi titik akhir Pribadi di konsol App Runner memberi Anda opsi untuk menghubungkan layanan Anda ke VPC dengan mengonfigurasi titik akhir antarmuka VPC-nya. Di belakang layar, App Runner menetapkan sumber daya VPC Ingress Connection ke titik akhir antarmuka VPC yang Anda konfigurasikan.
catatan
Hanya lalu lintas jaringan IPv4 yang didukung untuk titik akhir Private.
Ringkasan
Jadikan layanan Anda pribadi dengan hanya mengizinkan lalu lintas dari VPC Amazon untuk mengakses layanan App Runner Anda. Untuk mencapai hal ini, Anda membuat titik akhir antarmuka VPC untuk VPC Amazon yang dipilih menggunakan App Runner atau Amazon VPC. Di konsol App Runner, Anda membuat titik akhir antarmuka VPC saat mengaktifkan titik akhir Pribadi untuk lalu lintas Masuk. App Runner kemudian secara otomatis membuat resource VPC Ingress Connection dan terhubung ke titik akhir antarmuka VPC dan layanan App Runner Anda. Ini menciptakan koneksi layanan pribadi yang memastikan bahwa hanya lalu lintas dari VPC yang dipilih yang dapat mengakses layanan App Runner Anda.
