Gerenciando endpoint privado - AWS App Runner
Console do App RunnerAPI App Runner ou AWS CLI

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando endpoint privado

Gerencie o endpoint privado para o tráfego de entrada usando um dos seguintes métodos:

nota

Se seu aplicativo App Runner exigir regras de controle de tráfego de entrada IP/CIDR de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF Web ACLs. Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner que estão associados às ACLs da web do WAF não aderem às regras baseadas em IP.

Para saber mais sobre segurança de infraestrutura e grupos de segurança, incluindo as melhores práticas, consulte os seguintes tópicos no Guia do usuário da Amazon VPC: Controle o tráfego de rede e Controle o tráfego para seus recursos da AWS usando grupos de segurança.

Console do App Runner

Ao criar um serviço usando o console do App Runner ou ao atualizar sua configuração posteriormente, você pode optar por configurar o tráfego de entrada.

Para configurar seu tráfego de entrada, escolha uma das opções a seguir.

  • Endpoint público: para tornar seu serviço acessível a todos os serviços pela Internet. Por padrão, o endpoint público é selecionado.

  • Endpoint privado: para tornar seu serviço App Runner acessível somente de dentro de uma Amazon VPC.

nota

Atualmente, o App Runner oferece suporte a IPv6 somente para endpoints públicos. Os endpoints IPv6 não são compatíveis com os serviços App Runner hospedados em uma Amazon Virtual Private Cloud (Amazon VPC). Se você atualizar um serviço que usa um endpoint público de pilha dupla para um endpoint privado, seu serviço App Runner usará como padrão o tráfego somente de endpoints IPv4 e não receberá tráfego de endpoints IPv6.

Habilitar endpoint privado

Ative um endpoint privado associando-o ao endpoint da interface VPC da Amazon VPC que você deseja acessar. Você pode criar um novo endpoint de interface VPC ou escolher um existente.

Para criar um endpoint de interface VPC

  1. Abra o console do App Runner e, na lista Regiões, selecione seu Região da AWS.

  2. Vá para a seção Rede em Configurar serviço.

  3. Escolha Endpoint privado, para tráfego de rede de entrada. As opções para se conectar a uma VCP usando o endpoint da interface VPC são abertas.

  4. Escolha Criar novo endpoint. A caixa de diálogo Create new VPC interface endpoint é aberta.

  5. Insira um nome para o endpoint da interface VPC.

  6. Escolha o endpoint de interface VPC necessário na lista suspensa disponível.

  7. Escolha o grupo de segurança na lista suspensa. A adição de grupos de segurança fornece uma camada adicional de segurança ao endpoint da interface VPC. É recomendável escolher dois ou mais grupos de segurança. Se você não escolher um grupo de segurança, o App Runner atribuirá um grupo de segurança padrão ao endpoint da interface VPC. Certifique-se de que as regras do grupo de segurança não bloqueiem os recursos que desejam se comunicar com seu serviço App Runner. As regras do grupo de segurança devem permitir recursos que interajam com seu serviço App Runner.

    nota

    Se seu aplicativo App Runner exigir regras de controle de tráfego de entrada IP/CIDR de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF Web ACLs. Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner que estão associados às ACLs da web do WAF não aderem às regras baseadas em IP.

    Para saber mais sobre segurança de infraestrutura e grupos de segurança, incluindo as melhores práticas, consulte os seguintes tópicos no Guia do usuário da Amazon VPC: Controle o tráfego de rede e Controle o tráfego para seus recursos da AWS usando grupos de segurança.

  8. Escolha as sub-redes necessárias na lista suspensa. É recomendável selecionar pelo menos duas sub-redes para cada zona de disponibilidade a partir da qual você acessará o serviço App Runner.

  9. (Opcional) Escolha Adicionar nova tag e insira a chave da tag e o valor da tag.

  10. Escolha Criar. A página Configurar serviço é aberta mostrando a mensagem de criação bem-sucedida do endpoint da interface VPC na barra superior.

Para escolher um endpoint de interface VPC existente

  1. Abra o console do App Runner e, na lista Regiões, selecione seu Região da AWS.

  2. Vá para a seção Rede em Configurar serviço.

  3. Escolha Endpoint privado, para tráfego de rede de entrada. As opções para se conectar a uma VPC usando o endpoint da interface VPC são abertas. Uma lista dos endpoints de interface VPC disponíveis é mostrada.

  4. Escolha o endpoint de interface VPC necessário listado em VPC interface endpoints.

  5. Escolha Avançar para criar seu serviço. O App Runner ativa o endpoint privado.

    nota

    Depois que seu serviço for criado, você poderá optar por editar os grupos de segurança e sub-redes associados ao endpoint da interface VPC, se necessário.

    Para verificar os detalhes do endpoint privado, acesse seu serviço e expanda a seção Rede na guia Configuração. Ele mostra detalhes da VPC e do endpoint da interface VPC associado ao endpoint privado.

Atualizar o endpoint da interface VPC

Depois que seu serviço App Runner for criado, você poderá editar o endpoint da interface VPC associado ao endpoint privado.

nota

Você não pode atualizar o nome do endpoint e os campos da VPC.

Para atualizar o endpoint da interface VPC

  1. Abra o console do App Runner e, na lista Regiões, selecione seu Região da AWS.

  2. Acesse seu serviço e escolha Configurações de rede no painel esquerdo.

  3. Escolha Tráfego de entrada para visualizar os endpoints da interface VPC associados aos respectivos serviços.

  4. Escolha o endpoint da interface VPC que você deseja editar.

  5. Selecione a opção Editar. A caixa de diálogo para editar o endpoint da interface VPC é aberta.

  6. Escolha os grupos de segurança e sub-redes necessários e clique em Atualizar. A página que mostra os detalhes do endpoint da interface VPC é aberta com a mensagem de atualização bem-sucedida do endpoint da interface VPC na barra superior.

    nota

    Se seu aplicativo App Runner exigir regras de controle de tráfego de entrada IP/CIDR de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF Web ACLs. Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner que estão associados às ACLs da web do WAF não aderem às regras baseadas em IP.

    Para saber mais sobre segurança de infraestrutura e grupos de segurança, incluindo as melhores práticas, consulte os seguintes tópicos no Guia do usuário da Amazon VPC: Controle o tráfego de rede e Controle o tráfego para seus recursos da AWS usando grupos de segurança.

Excluir endpoint da interface VPC

Se você não quiser que seu serviço App Runner seja acessível de forma privada, você pode definir seu tráfego de entrada como Público. Mudar para Público remove o endpoint privado, mas não exclui o endpoint da interface VPC

Para excluir o endpoint da interface VPC

  1. Abra o console do App Runner e, na lista Regiões, selecione seu Região da AWS.

  2. Acesse seu serviço e escolha Configurações de rede no painel esquerdo.

  3. Escolha Tráfego de entrada para visualizar os endpoints da interface VPC associados aos respectivos serviços.

    nota

    Antes de excluir um endpoint da interface VPC, remova-o de todos os serviços aos quais ele está conectado atualizando seu serviço.

  4. Escolha Excluir.

    Se houver serviços conectados ao endpoint da interface VPC, você receberá a mensagem Não é possível excluir o endpoint da interface VPC. Se não houver serviços conectados ao endpoint da interface VPC, você receberá uma mensagem para confirmar a exclusão.

  5. Escolha Excluir. A página de configurações de rede é aberta para o tráfego de entrada com a mensagem de exclusão bem-sucedida do endpoint da interface VPC na barra superior.

API App Runner ou AWS CLI

Você pode implantar um aplicativo no App Runner que só pode ser acessado de dentro de uma Amazon VPC.

Para obter informações sobre as permissões necessárias para tornar seu serviço privado, consultePermissões.

nota

Atualmente, o App Runner oferece suporte a IPv6 somente para endpoints públicos. Os endpoints IPv6 não são compatíveis com os serviços App Runner hospedados em uma Amazon Virtual Private Cloud (Amazon VPC). Se você atualizar um serviço que usa um endpoint público de pilha dupla para um endpoint privado, seu serviço App Runner usará como padrão o tráfego somente de endpoints IPv4 e não receberá tráfego de endpoints IPv6.

Para criar uma conexão de serviço privada com a Amazon VPC

  1. Crie um endpoint de interface VPC, um AWS PrivateLink recurso, para se conectar ao App Runner. Para fazer isso, especifique sub-redes e grupos de segurança a serem associados ao aplicativo. Veja a seguir um exemplo de criação de um endpoint de interface VPC.

    nota

    Se seu aplicativo App Runner exigir regras de controle de tráfego de entrada IP/CIDR de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF Web ACLs. Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner que estão associados às ACLs da web do WAF não aderem às regras baseadas em IP.

    Para saber mais sobre segurança de infraestrutura e grupos de segurança, incluindo as melhores práticas, consulte os seguintes tópicos no Guia do usuário da Amazon VPC: Controle o tráfego de rede e Controle o tráfego para seus recursos da AWS usando grupos de segurança.

    aws ec2 create-vpc-endpoint
 --vpc-endpoint-type: Interface
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --subnets: subnet1, subnet2
 --security-groups: sg1

  2. Faça referência ao endpoint da interface VPC usando as ações da API CreateServiceou do UpdateServiceApp Runner por meio da CLI. Configure seu serviço para não ser acessível publicamente. IsPubliclyAccessibleDefina como False no IngressConfiguration membro do NetworkConfiguration parâmetro. Veja a seguir um exemplo de referência ao endpoint da interface VPC. 

    aws apprunner create-service
 --network-configuration: ingress-configuration=<ingress_configuration>
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --source-configuration: <source_configuration>
 # Ingress Configuration
 {
 "IsPubliclyAccessible": False 
 }

  3. Chame a ação da create-vpc-ingress-connection API para criar o recurso VPC Ingress Connection para o App Runner e associá-lo ao endpoint da interface VPC que você criou na etapa anterior. Ele retorna um nome de domínio usado para acessar seu serviço na VPC especificada. Veja a seguir um exemplo de criação de um recurso de conexão de entrada de VPC.

    exemplo Solicitação
    aws apprunner create-vpc-ingress-connection
 --service-arn: <apprunner_service_arn>
 --ingress-vpc-configuration: {"VpcId":<vpc_id>, "VpceId": <vpce_id>}
 --vpc-ingress-connection-name: <vic_connection_name>
    exemplo Resposta
    {
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_CREATION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>
}

Atualizar a conexão de entrada VPC

Você pode atualizar o recurso VPC Ingress Connection. A conexão de entrada da VPC precisa estar em um dos seguintes estados para ser atualizada:

  • DISPONÍVEL

  • CRIAÇÃO_FALHADA

  • ATUALIZAÇÃO COM FALHA

Veja a seguir um exemplo de atualização de um recurso do VPC Ingress Connection.

exemplo Solicitação
aws apprunner update-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
exemplo Resposta
{
    "VpcIngressConnectionArn":  <vpc_ingress_connection_arn>,
    "VpcIngressConnectionName":  <vic_connection_name>,
    "ServiceArn":  <apprunner_service_arn>,
    "Status": "FAILED_UPDATE",
    "AccountId":  <connection_owner_id>,
    "DomainName":  <domain_name_associated_with_vpce>,
    "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
    "CreatedAt":  <date_created>
}

Excluir conexão de entrada de VPC

Você pode excluir o recurso VPC Ingress Connection se não precisar mais da conexão privada com a Amazon VPC.

A conexão de entrada da VPC deve estar em um dos seguintes estados para ser excluída:

  • DISPONÍVEL

  • FALHA NA CRIAÇÃO

  • FALHA NA ATUALIZAÇÃO

  • FALHA NA EXCLUSÃO

Veja a seguir um exemplo de exclusão de uma conexão de entrada de VPC

exemplo Solicitação
aws apprunner delete-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
exemplo Resposta
{
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_DELETION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>,
   "DeletedAt": <date_deleted>
}

Use as seguintes ações da API App Runner para gerenciar o tráfego de entrada privado do seu serviço.

Para obter mais informações sobre como usar a API App Runner, consulte o guia de referência da API App Runner.