App Mesh 接口 VPC 端点 (AWS PrivateLink) - AWS App Mesh

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

App Mesh 接口 VPC 端点 (AWS PrivateLink)

您可以将 App Mesh 配置为使用接口 VPC 端点以改善 Amazon VPC 的安全状况。接口端点由一项技术提供支持 AWS PrivateLink,该技术使您能够使用私有 IP 地址私密访问 App Mesh API。 PrivateLink将您的亚马逊 VPC 和 App Mesh 之间的所有网络流量限制到亚马逊网络。

您无需进行配置 PrivateLink,但我们建议您这样做。有关 PrivateLink 和接口 VPC 终端节点的更多信息,请参阅通过访问服务 AWS PrivateLink

App Mesh 接口 VPC 端点的注意事项

在为 App Mesh 设置接口 VPC 端点之前,请注意以下事项:

  • 如果您的 Amazon VPC 没有互联网网关,并且您的任务使用awslogs日志驱动程序向日志发送日志信息,则必须为 CloudWatch CloudWatch 日志创建接口 VPC 终端节点。有关更多信息,请参阅 Amazon CloudWatch CloudWatch 日志用户指南中的将日志与接口 VPC 终端节点配合使用

  • VPC 终端节点不支持 AWS 跨区域请求。确保在计划向 App Mesh 发出 API 调用的同一区域中创建端点。

  • VPC 端点仅通过 Amazon Route 53 支持 Amazon 提供的 DNS。如果您希望使用自己的 DNS,可以使用条件 DNS 转发。有关更多信息,请参阅《Amazon VPC 用户指南》中的 DHCP 选项集

  • 附加到 Amazon VPC 端点的安全组必须允许端口 443 上来自 VPC 的私有子网的传入连接。

    注意

    Envoy 连接不支持通过向 VPC 端点附加端点策略(例如,使用服务名称 com.amazonaws.Region.appmesh-envoy-management)来控制对 App Mesh 的访问。

有关其他注意事项和限制,请参阅接口端点可用区域注意事项接口端点属性和限制

为 App Mesh 创建接口 VPC 端点

要为 App Mesh 服务创建 VPC 端点,请使用 《Amazon VPC 用户指南》中的创建接口端点过程。com.amazonaws.Region.appmesh-envoy-management 为连接到 App Mesh 的公共 Envoy 管理服务的 Envoy 代理以及 com.amazonaws.Region.appmesh 网格操作指定服务名称。

注意

区域表示 App Mesh 支持的 AWS 区域(例如us-east-2美国东部(俄亥俄州)区域的区域标识符。

尽管您可以在任何支持 App Mesh 的区域中为 App Mesh 定义接口 VPC 端点,但您可能无法为每个区域中的所有可用区域定义一个端点。要了解某个区域中接口 VPC 终端节点支持哪些可用区,请使用describe-vpc-endpoint-services 命令或使用 AWS Management Console。例如,以下命令返回可在美国东部(俄亥俄州)区域内部署 App Mesh 接口 VPC 端点的可用区域:

aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'