Privaten Endpunkt für eingehenden Datenverkehr aktivieren - AWS App Runner
ÜberlegungenBerechtigungenEndpunkt der VPC-SchnittstelleVPC-Ingress-VerbindungPrivater EndpunktÜbersicht

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Privaten Endpunkt für eingehenden Datenverkehr aktivieren

Wenn Sie einen AWS App Runner Service erstellen, ist der Service standardmäßig über das Internet zugänglich. Sie können Ihren App Runner-Service jedoch auch privat machen und nur von einer Amazon Virtual Private Cloud (Amazon VPC) aus zugänglich machen.

Wenn Ihr App Runner-Service privat ist, haben Sie die vollständige Kontrolle über den eingehenden Datenverkehr und fügen so eine zusätzliche Sicherheitsebene hinzu. Dies ist in einer Vielzahl von Anwendungsfällen hilfreich, z. B. beim Ausführen interner APIs, Unternehmens-Webanwendungen oder Anwendungen, die sich noch in der Entwicklung befinden und ein höheres Maß an Datenschutz und Sicherheit erfordern oder bestimmte Compliance-Anforderungen erfüllen müssen.

Anmerkung

Wenn Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF-Web-ACLs verwenden. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit WAF-Web-ACLs verknüpft sind, nicht den IP-basierten Regeln.

Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im Amazon VPC-Benutzerhandbuch: Steuern des Netzwerkverkehrs und Steuern des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen.

Wenn Ihr App Runner-Service privat ist, können Sie von einer Amazon VPC aus auf Ihren Service zugreifen. Ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung sind nicht erforderlich.

Anmerkung

App Runner unterstützt derzeit den Dual-Stack-Adresstyp (IPv4 und IPv6) nur für öffentlichen eingehenden Datenverkehr. Für ausgehenden Verkehr und privaten eingehenden Verkehr wird nur IPv4 unterstützt.

Überlegungen

  • Bevor Sie einen VPC-Schnittstellenendpunkt für App Runner einrichten, lesen Sie die Überlegungen im AWS PrivateLink Handbuch.

  • VPC-Endpunktrichtlinien werden für App Runner nicht unterstützt. Standardmäßig ist der vollständige Zugriff auf App Runner über den VPC-Schnittstellenendpunkt zulässig. Alternativ können Sie den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu App Runner über den VPC-Schnittstellenendpunkt zu steuern.

  • Wenn Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF-Web-ACLs verwenden. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit WAF-Web-ACLs verknüpft sind, nicht den IP-basierten Regeln.

  • Nachdem Sie einen privaten Endpunkt aktiviert haben, ist Ihr Service nur von Ihrer VPC aus zugänglich und kann nicht über das Internet aufgerufen werden.

  • Für eine höhere Verfügbarkeit wird empfohlen, mindestens zwei Subnetze in der Availability Zone auszuwählen, die sich für den VPC-Schnittstellenendpunkt unterscheiden. Es wird nicht empfohlen, nur ein Subnetz zu verwenden.

  • Sie können denselben VPC-Schnittstellenendpunkt verwenden, um auf mehrere App Runner-Dienste in einer VPC zuzugreifen.

Informationen zu den in diesem Abschnitt verwendeten Begriffen finden Sie unter Terminologie.

Berechtigungen

Im Folgenden finden Sie eine Liste der Berechtigungen, die zur Aktivierung des privaten Endpunkts erforderlich sind:

  • ec2: CreateTags

  • ec2: CreateVpcEndpoint

  • ec2: ModifyVpcEndpoint

  • ec2: DeleteVpcEndpoints

  • ec2: DescribeSubnets

  • ec2: DescribeVpcEndpoints

  • ec2: DescribeVpcs

Endpunkt der VPC-Schnittstelle

Ein VPC-Schnittstellenendpunkt ist eine AWS PrivateLinkRessource, die eine Amazon-VPC mit einem Endpunktservice verbindet. Sie können angeben, in welcher Amazon VPC Ihr App Runner-Service zugänglich sein soll, indem Sie einen VPC-Schnittstellenendpunkt übergeben. Um einen VPC-Schnittstellenendpunkt zu erstellen, geben Sie Folgendes an:

  • Die Amazon VPC zur Aktivierung der Konnektivität.

  • Fügen Sie Sicherheitsgruppen hinzu. Standardmäßig wird dem VPC-Schnittstellenendpunkt eine Sicherheitsgruppe zugewiesen. Sie können sich dafür entscheiden, eine benutzerdefinierte Sicherheitsgruppe zuzuordnen, um den eingehenden Netzwerkverkehr weiter zu kontrollieren.

  • Fügen Sie Subnetze hinzu. Um eine höhere Verfügbarkeit zu gewährleisten, wird empfohlen, mindestens zwei Subnetze für jede Availability Zone auszuwählen, von der aus Sie auf den App Runner-Dienst zugreifen. In jedem Subnetz, das Sie für den VPC-Schnittstellenendpunkt aktivieren, wird ein Netzwerkschnittstellen-Endpunkt erstellt. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für App Runner bestimmt ist. Eine vom Anforderer verwaltete Netzwerkschnittstelle ist eine Netzwerkschnittstelle, die ein AWS -Service in Ihrer VPC für Sie erstellt.

  • Wenn Sie die API verwenden, fügen Sie den App Runner VPC-Schnittstellenendpunkt Servicename hinzu. Zum Beispiel 

    com.amazonaws.region.apprunner.requests

Sie können einen VPC-Schnittstellenendpunkt mit einem der folgenden AWS Dienste erstellen:

  • App Runner-Konsole. Weitere Informationen finden Sie unter Privaten Endpunkt verwalten.

  • Amazon VPC-Konsole oder API und AWS Command Line Interface (AWS CLI). Weitere Informationen finden Sie AWS PrivateLink im AWS PrivateLink Handbuch unter Access AWS-Services through.

Anmerkung

Ihnen wird jeder VPC-Schnittstellen-Endpunkt, den Sie verwenden, auf der Grundlage der AWS PrivateLink Preisgestaltung in Rechnung gestellt. Aus Kostengründen können Sie daher denselben VPC-Schnittstellenendpunkt verwenden, um auf mehrere App Runner-Dienste innerhalb einer VPC zuzugreifen. Für eine bessere Isolierung sollten Sie jedoch erwägen, jedem Ihrer App Runner-Dienste einen anderen VPC-Schnittstellenendpunkt zuzuordnen.

VPC-Ingress-Verbindung

Eine VPC-Ingress-Verbindung ist eine App Runner-Ressource, die einen App Runner-Endpunkt für eingehenden Datenverkehr angibt. App Runner weist die VPC-Ingress-Verbindungsressource hinter den Kulissen zu, wenn Sie in der App Runner-Konsole den privaten Endpunkt für Ihren eingehenden Datenverkehr auswählen. Wählen Sie diese Option, damit nur Traffic von einer Amazon VPC auf Ihren App Runner-Service zugreifen kann. Die Ressource VPC Ingress Connection verbindet Ihren App Runner-Service mit dem VPC-Schnittstellenendpunkt der Amazon VPC. Sie können eine VPC-Ingress-Verbindungsressource nur erstellen, wenn Sie die API-Operationen verwenden, um die Netzwerkeinstellungen für eingehenden Datenverkehr zu konfigurieren. Weitere Informationen zum Erstellen einer VPC-Ingress-Verbindungsressource finden Sie CreateVpcIngressConnectionin der AWS App Runner API-Referenz.

Anmerkung

Eine VPC-Ingress-Verbindungsressource des App Runner kann eine Verbindung zu einem VPC-Schnittstellenendpunkt der Amazon VPC herstellen. Außerdem können Sie für jeden App Runner-Dienst nur eine VPC-Ingress-Verbindungsressource erstellen.

Privater Endpunkt

Private Endpoint ist eine App Runner-Konsolenoption, die Sie wählen können, wenn Sie nur eingehenden Datenverkehr von einer Amazon VPC empfangen möchten. Wenn Sie in der App Runner-Konsole die Option Privater Endpunkt auswählen, haben Sie die Möglichkeit, Ihren Service mit einer VPC zu verbinden, indem Sie dessen VPC-Schnittstellenendpunkt konfigurieren. Im Hintergrund weist App Runner dem von Ihnen konfigurierten VPC-Schnittstellenendpunkt eine VPC-Ingress-Verbindungsressource zu.

Anmerkung

Für den privaten Endpunkt wird nur IPv4-Netzwerkverkehr unterstützt.

Übersicht

Machen Sie Ihren Service privat, indem Sie nur Traffic von einer Amazon VPC auf Ihren App Runner-Service zugreifen lassen. Um dies zu erreichen, erstellen Sie mit App Runner oder Amazon VPC einen VPC-Schnittstellenendpunkt für die ausgewählte Amazon VPC. In der App Runner-Konsole erstellen Sie einen VPC-Schnittstellenendpunkt, wenn Sie den privaten Endpunkt für den eingehenden Datenverkehr aktivieren. App Runner erstellt dann automatisch eine VPC-Ingress-Verbindungsressource und stellt eine Verbindung zum VPC-Schnittstellenendpunkt und Ihrem App Runner-Dienst her. Dadurch wird eine private Dienstverbindung erstellt, die sicherstellt, dass nur Traffic von der ausgewählten VPC auf Ihren App Runner-Dienst zugreifen kann.