Private Endgeräte verwalten - AWS App Runner
App Runner-KonsoleApp Runner API oder AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Private Endgeräte verwalten

Verwalten Sie den privaten Endpunkt für den eingehenden Datenverkehr mit einer der folgenden Methoden:

Anmerkung

Wenn Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF-Web-ACLs verwenden. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit WAF-Web-ACLs verknüpft sind, nicht den IP-basierten Regeln.

Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im Amazon VPC-Benutzerhandbuch: Steuern des Netzwerkverkehrs und Steuern des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen.

App Runner-Konsole

Wenn Sie einen Dienst mit der App Runner-Konsole erstellen oder wenn Sie seine Konfiguration später aktualisieren, können Sie wählen, ob Sie den eingehenden Datenverkehr konfigurieren möchten.

Wählen Sie eine der folgenden Optionen, um Ihren eingehenden Datenverkehr zu konfigurieren.

  • Öffentlicher Endpunkt: Um Ihren Dienst für alle Dienste über das Internet zugänglich zu machen. Standardmäßig ist der öffentliche Endpunkt ausgewählt.

  • Privater Endpunkt: Um Ihren App Runner-Service nur von einer Amazon VPC aus zugänglich zu machen.

Anmerkung

Derzeit unterstützt App Runner IPv6 nur für öffentliche Endpunkte. IPv6-Endpunkte werden für App Runner-Services, die in einer Amazon Virtual Private Cloud (Amazon VPC) gehostet werden, nicht unterstützt. Wenn Sie einen Service, der einen öffentlichen Dual-Stack-Endpunkt verwendet, auf einen privaten Endpunkt aktualisieren, unterstützt Ihr App Runner-Service standardmäßig nur Datenverkehr von IPv4-Endpunkten und empfängt keinen Datenverkehr von IPv6-Endpunkten.

Privaten Endpunkt aktivieren

Aktivieren Sie einen privaten Endpunkt, indem Sie ihn dem VPC-Schnittstellenendpunkt der Amazon VPC zuordnen, auf die Sie zugreifen möchten. Sie können entweder einen neuen VPC-Schnittstellenendpunkt erstellen oder einen vorhandenen auswählen.

So erstellen Sie einen VPC-Schnittstellenendpunkt

  1. Öffnen Sie die App Runner-Konsole und wählen Sie in der Liste der Regionen Ihre AWS-Region aus.

  2. Gehen Sie unter Dienst konfigurieren zum Abschnitt Netzwerk.

  3. Wählen Sie Private Endpoint für Eingehenden Netzwerkverkehr. Optionen zum Herstellen einer Verbindung zu einem VCP über den VPC-Schnittstellenendpunkt werden geöffnet.

  4. Wählen Sie Neuen Endpunkt erstellen aus. Das Dialogfeld Neuen VPC-Schnittstellenendpunkt erstellen wird geöffnet.

  5. Geben Sie einen Namen für den VPC-Schnittstellenendpunkt ein.

  6. Wählen Sie den erforderlichen VPC-Schnittstellenendpunkt aus der verfügbaren Dropdownliste aus.

  7. Wählen Sie eine Sicherheitsgruppe aus der Drop-down-Liste aus. Das Hinzufügen von Sicherheitsgruppen bietet eine zusätzliche Sicherheitsebene für den VPC-Schnittstellenendpunkt. Es wird empfohlen, zwei oder mehr Sicherheitsgruppen auszuwählen. Wenn Sie keine Sicherheitsgruppe auswählen, weist App Runner dem VPC-Schnittstellenendpunkt eine Standardsicherheitsgruppe zu. Stellen Sie sicher, dass die Sicherheitsgruppenregeln nicht die Ressourcen blockieren, die mit Ihrem App Runner-Dienst kommunizieren möchten. Die Sicherheitsgruppenregeln müssen Ressourcen zulassen, die mit Ihrem App Runner-Dienst interagieren.

    Anmerkung

    Wenn Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF-Web-ACLs verwenden. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit WAF-Web-ACLs verknüpft sind, nicht den IP-basierten Regeln.

    Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im Amazon VPC-Benutzerhandbuch: Steuern des Netzwerkverkehrs und Steuern des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen.

  8. Wählen Sie die erforderlichen Subnetze aus der Drop-down-Liste aus. Es wird empfohlen, mindestens zwei Subnetze für jede Availability Zone auszuwählen, von der aus Sie auf den App Runner-Dienst zugreifen.

  9. (Optional) Wählen Sie Neues Tag hinzufügen und geben Sie den Tag-Schlüssel und den Tag-Wert ein.

  10. Wählen Sie Erstellen. Die Seite Dienst konfigurieren wird geöffnet und in der oberen Leiste wird die Meldung angezeigt, dass der VPC-Schnittstellenendpunkt erfolgreich erstellt wurde.

So wählen Sie einen vorhandenen VPC-Schnittstellen-Endpunkt

  1. Öffnen Sie die App Runner-Konsole und wählen Sie in der Liste der Regionen Ihre AWS-Region aus.

  2. Gehen Sie unter Dienst konfigurieren zum Abschnitt Netzwerk.

  3. Wählen Sie Private Endpoint für Eingehenden Netzwerkverkehr. Optionen zum Herstellen einer Verbindung mit einer VPC über den VPC-Schnittstellenendpunkt werden geöffnet. Eine Liste der verfügbaren VPC-Schnittstellenendpunkte wird angezeigt.

  4. Wählen Sie den erforderlichen VPC-Schnittstellenendpunkt aus, der unter VPC-Schnittstellenendpunkte aufgeführt ist.

  5. Wählen Sie Weiter, um Ihren Service zu erstellen. App Runner aktiviert den privaten Endpunkt.

    Anmerkung

    Nachdem Ihr Service erstellt wurde, können Sie bei Bedarf die Sicherheitsgruppen und Subnetze bearbeiten, die dem VPC-Schnittstellenendpunkt zugeordnet sind.

    Um die Details des privaten Endpunkts zu überprüfen, gehen Sie zu Ihrem Service und erweitern Sie den Bereich Netzwerk auf der Registerkarte Konfiguration. Es zeigt Details zur VPC und zum VPC-Schnittstellenendpunkt, der dem privaten Endpunkt zugeordnet ist.

VPC-Schnittstellenendpunkt aktualisieren

Nachdem Ihr App Runner-Dienst erstellt wurde, können Sie den VPC-Schnittstellenendpunkt bearbeiten, der dem privaten Endpunkt zugeordnet ist.

Anmerkung

Sie können den Endpunktnamen und die VPC-Felder nicht aktualisieren.

So aktualisieren Sie den VPC-Schnittstellenendpunkt

  1. Öffnen Sie die App Runner-Konsole und wählen Sie in der Liste der Regionen Ihre AWS-Region aus.

  2. Gehen Sie zu Ihrem Dienst und wählen Sie im linken Bereich Netzwerkkonfigurationen aus.

  3. Wählen Sie Eingehender Verkehr, um die VPC-Schnittstellenendpunkte anzuzeigen, die den jeweiligen Diensten zugeordnet sind.

  4. Wählen Sie den VPC-Schnittstellen-Endpunkt aus, den Sie bearbeiten möchten.

  5. Wählen Sie Bearbeiten aus. Das Dialogfeld zum Bearbeiten des VPC-Schnittstellenendpunkts wird geöffnet.

  6. Wählen Sie die erforderlichen Sicherheitsgruppen und Subnetze aus und klicken Sie auf Aktualisieren. Die Seite mit den Details zum VPC-Schnittstellen-Endpunkt wird mit der Meldung über die erfolgreiche Aktualisierung des VPC-Schnittstellenendpunkts in der oberen Leiste geöffnet.

    Anmerkung

    Wenn Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF-Web-ACLs verwenden. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit WAF-Web-ACLs verknüpft sind, nicht den IP-basierten Regeln.

    Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im Amazon VPC-Benutzerhandbuch: Steuern des Netzwerkverkehrs und Steuern des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen.

VPC-Schnittstellenendpunkt löschen

Wenn Sie nicht möchten, dass Ihr App Runner-Dienst privat zugänglich ist, können Sie Ihren eingehenden Datenverkehr auf Öffentlich setzen. Wenn Sie zu Öffentlich wechseln, wird der private Endpunkt entfernt, der Endpunkt der VPC-Schnittstelle wird jedoch nicht gelöscht

Um den VPC-Schnittstellenendpunkt zu löschen

  1. Öffnen Sie die App Runner-Konsole und wählen Sie in der Liste der Regionen Ihre AWS-Region aus.

  2. Gehen Sie zu Ihrem Dienst und wählen Sie im linken Bereich Netzwerkkonfigurationen aus.

  3. Wählen Sie Eingehender Verkehr, um die VPC-Schnittstellenendpunkte anzuzeigen, die den jeweiligen Diensten zugeordnet sind.

    Anmerkung

    Bevor Sie einen VPC-Schnittstellenendpunkt löschen, entfernen Sie ihn aus allen Diensten, mit denen er verbunden ist, indem Sie Ihren Service aktualisieren.

  4. Wählen Sie Löschen aus.

    Wenn Dienste mit dem VPC-Schnittstellenendpunkt verbunden sind, erhalten Sie die Meldung „VPC-Schnittstellenendpunkt kann nicht gelöscht werden“. Wenn keine Dienste mit dem VPC-Schnittstellenendpunkt verbunden sind, erhalten Sie eine Meldung zur Bestätigung des Löschvorgangs.

  5. Wählen Sie Löschen aus. Die Seite Netzwerkkonfigurationen für den eingehenden Datenverkehr wird geöffnet. In der oberen Leiste wird die Meldung angezeigt, dass der VPC-Schnittstellenendpunkt erfolgreich gelöscht wurde.

App Runner API oder AWS CLI

Sie können eine Anwendung auf App Runner bereitstellen, auf die nur von einer Amazon VPC aus zugegriffen werden kann.

Informationen zu den Berechtigungen, die erforderlich sind, um Ihren Service privat zu machen, finden Sie unterBerechtigungen.

Anmerkung

Derzeit unterstützt App Runner IPv6 nur für öffentliche Endpunkte. IPv6-Endpunkte werden für App Runner-Services, die in einer Amazon Virtual Private Cloud (Amazon VPC) gehostet werden, nicht unterstützt. Wenn Sie einen Service, der einen öffentlichen Dual-Stack-Endpunkt verwendet, auf einen privaten Endpunkt aktualisieren, unterstützt Ihr App Runner-Service standardmäßig nur Datenverkehr von IPv4-Endpunkten und empfängt keinen Datenverkehr von IPv6-Endpunkten.

So erstellen Sie eine private Serviceverbindung zu Amazon VPC

  1. Erstellen Sie einen VPC-Schnittstellenendpunkt, eine AWS PrivateLink Ressource, um eine Verbindung zu App Runner herzustellen. Geben Sie dazu Subnetze und Sicherheitsgruppen an, die der Anwendung zugeordnet werden sollen. Im Folgenden finden Sie ein Beispiel für die Erstellung eines VPC-Schnittstellenendpunkts.

    Anmerkung

    Wenn Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF-Web-ACLs verwenden. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit WAF-Web-ACLs verknüpft sind, nicht den IP-basierten Regeln.

    Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im Amazon VPC-Benutzerhandbuch: Steuern des Netzwerkverkehrs und Steuern des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen.

    aws ec2 create-vpc-endpoint
 --vpc-endpoint-type: Interface
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --subnets: subnet1, subnet2
 --security-groups: sg1

  2. Referenzieren Sie den VPC-Schnittstellenendpunkt, indem Sie die API-Aktionen CreateServiceoder UpdateServiceApp Runner über die CLI verwenden. Konfigurieren Sie Ihren Service so, dass er nicht öffentlich zugänglich ist. FalseIm IngressConfiguration Element des NetworkConfiguration Parameters auf festgelegtIsPubliclyAccessible. Im Folgenden finden Sie ein Beispiel für die Referenzierung eines VPC-Schnittstellenendpunkts. 

    aws apprunner create-service
 --network-configuration: ingress-configuration=<ingress_configuration>
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --source-configuration: <source_configuration>
 # Ingress Configuration
 {
 "IsPubliclyAccessible": False 
 }

  3. Rufen Sie die create-vpc-ingress-connection API-Aktion auf, um die VPC-Ingress-Verbindungsressource für App Runner zu erstellen und sie dem VPC-Schnittstellenendpunkt zuzuordnen, den Sie im vorherigen Schritt erstellt haben. Es gibt einen Domainnamen zurück, der für den Zugriff auf Ihren Service in der angegebenen VPC verwendet wird. Im Folgenden finden Sie ein Beispiel für die Erstellung einer VPC-Ingress-Verbindungsressource.

    Beispiel Anforderung
    aws apprunner create-vpc-ingress-connection
 --service-arn: <apprunner_service_arn>
 --ingress-vpc-configuration: {"VpcId":<vpc_id>, "VpceId": <vpce_id>}
 --vpc-ingress-connection-name: <vic_connection_name>
    Beispiel Antwort
    {
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_CREATION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>
}

VPC-Eingangsverbindung aktualisieren

Sie können die VPC-Ingress-Verbindungsressource aktualisieren. Die VPC-Ingress-Verbindung muss sich in einem der folgenden Zustände befinden, damit sie aktualisiert werden kann:

  • VERFÜGBAR

  • FAILED_CREATION

  • FEHLGESCHLAGENES UPDATE

Im Folgenden finden Sie ein Beispiel für die Aktualisierung einer VPC-Ingress-Verbindungsressource.

Beispiel Anforderung
aws apprunner update-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
Beispiel Antwort
{
    "VpcIngressConnectionArn":  <vpc_ingress_connection_arn>,
    "VpcIngressConnectionName":  <vic_connection_name>,
    "ServiceArn":  <apprunner_service_arn>,
    "Status": "FAILED_UPDATE",
    "AccountId":  <connection_owner_id>,
    "DomainName":  <domain_name_associated_with_vpce>,
    "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
    "CreatedAt":  <date_created>
}

VPC-Eingangsverbindung löschen

Sie können die Ressource VPC Ingress Connection löschen, wenn Sie die private Verbindung zur Amazon VPC nicht mehr benötigen.

Die VPC-Eingangsverbindung muss sich in einem der folgenden Zustände befinden, um gelöscht zu werden:

  • VERFÜGBAR

  • FEHLER BEI DER ERSTELLUNG

  • AKTUALISIERUNG FEHLGESCHLAGEN

  • FEHLGESCHLAGENES LÖSCHEN

Im Folgenden finden Sie ein Beispiel für das Löschen einer VPC-Ingress-Verbindung

Beispiel Anforderung
aws apprunner delete-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
Beispiel Antwort
{
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_DELETION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>,
   "DeletedAt": <date_deleted>
}

Verwenden Sie die folgenden App Runner-API-Aktionen, um den privaten eingehenden Datenverkehr für Ihren Service zu verwalten.

  • CreateVpcIngressConnection— Erstellen Sie eine neue VPC-Ingress-Verbindungsressource. App Runner benötigt diese Ressource, wenn Sie Ihren App-Runner-Service einem Amazon-VPC-Endpunkt zuordnen möchten.

  • ListVpcIngressConnections— Gibt eine Liste der AWS App Runner VPC Ingress Connection-Endpunkte zurück, die Ihrem Konto zugeordnet sind. AWS

  • DescribeVpcIngressConnection— Gibt eine vollständige Beschreibung der AWS App Runner VPC Ingress Connection-Ressource zurück.

  • UpdateVpcIngressConnection— Aktualisieren Sie die AWS App Runner VPC-Ingress-Verbindungsressource.

  • DeleteVpcIngressConnection— Löscht eine App Runner VPC Ingress Connection-Ressource, die dem App Runner-Dienst zugeordnet ist.

Weitere Informationen zur Verwendung der App Runner API finden Sie im App Runner API-Referenzhandbuch.