本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
App Mesh 介面 VPC 端點 ()AWS PrivateLink
您可以將應用程式網格設定為使用介面 VPC 端點,以改善 Amazon VPC 的安全狀態。介面端點採用這項技術 AWS PrivateLink,可讓您使用私有 IP 位址私有存取 App Mesh API。 PrivateLink將 Amazon VPC 和應用程式網格之間的所有網路流量限制在 Amazon 網路。
您不需要進行設定 PrivateLink,但我們建議您這麼做。如需 VPC 端點 PrivateLink 和連接 VPC 端點的詳細資訊,請參閱透過 AWS PrivateLink存取服務。
應用程式網格介面 VPC 端點的注意事項
在為 App Mesh 設定介面 VPC 端點之前,請注意下列考量事項:
-
如果您的 Amazon VPC 沒有網際網路閘道,而且您的任務使用日
awslogs誌驅動程式將日誌資訊傳送到 CloudWatch 日誌,則必須為 CloudWatch 日誌建立介面 VPC 端點。如需詳細資訊,請參閱 Amazon CloudWatch 日誌使用指南中的將日 CloudWatch 誌與界面 VPC 端點搭配使用。 -
VPC 端點不支援 AWS 跨區域要求。確保您在計劃向 App Mesh 發出 API 呼叫的相同區域中建立端點。
-
透過 Amazon Route 53,VPC 端點僅支援 Amazon 提供的 DNS。如果您想要使用自己的 DNS,您可以使用條件式 DNS 轉送。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 DHCP 選項集。
-
連接到 VPC 端點的安全群組必須允許來自 Amazon VPC 私有子網路的連入連線,連接埠 443 上的連入連線。
注意
Envoy 連線不支援透過將端點原則附加到 VPC 端點 (例如,使用服務名稱
com.amazonaws.) 來控制對應用程式網格的存取。Region.appmesh-envoy-management
如需其他考量和限制,請參閱介面端點可用區域考量和介面端點內容與限制。
為應用程式網格建立介面 VPC 端點
若要為應用 App Mesh 服務建立介面 VPC 端點,請使用 Amazon VPC 使用者指南中的建立介面端點程序。com.amazonaws.為您的 Envoy 代理指定服務名稱,以連接到 App Mesh 的公共特使管理服務以及用Region.appmesh-envoy-managementcom.amazonaws.於網格操作。Region.appmesh
注意
區域代表 App Mesh 支援的 AWS 區域識別碼,us-east-2例如美國東部 (俄亥俄) 區域。
雖然您可以在任何支援 App Mesh 的區域中為 App Mesh 定義介面 VPC 端點,但您可能無法為每個區域中的所有可用區域定義端點。若要瞭解某個區域中的介面 VPC 端點支援哪些可用區域,請使用describe-vpc-endpoint-services 命令或使用 AWS Management Console. 例如,下列命令會傳回可在美國東部 (俄亥俄) 區域內部署 App Mesh 介面 VPC 端點的可用區域:
aws --regionus-east-2ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
aws --regionus-east-2ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'
