AWS App Runner wird ab dem 30. April 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie App Runner verwenden möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [Änderung der AWS App Runner Verfügbarkeit](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Privaten Endpunkt für eingehenden Datenverkehr aktivieren
Wenn Sie einen AWS App Runner Service erstellen, ist der Service standardmäßig über das Internet zugänglich. Sie können Ihren App Runner-Service jedoch auch privat machen und nur von einer Amazon Virtual Private Cloud (Amazon VPC) aus zugänglich machen.
Wenn Ihr App Runner-Service privat ist, haben Sie die vollständige Kontrolle über den eingehenden Datenverkehr und fügen so eine zusätzliche Sicherheitsebene hinzu. Dies ist in einer Vielzahl von Anwendungsfällen hilfreich, z. B. bei der Ausführung interner APIs, unternehmensinterner Webanwendungen oder bei Anwendungen, die sich noch in der Entwicklung befinden und ein höheres Maß an Datenschutz und Sicherheit erfordern oder bestimmte Compliance-Anforderungen erfüllen müssen.
**Anmerkung**
Wenn für Ihre App Runner-Anwendung Regeln zur Steuerung des IP/CIDR eingehenden Quellverkehrs erforderlich sind, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von [WAF](waf.md) Web verwenden. ACLs Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit dem WAF-Web verknüpft sind, ACLs nicht den IP-basierten Regeln.
Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im *Amazon VPC-Benutzerhandbuch*: [Steuern des Netzwerkverkehrs und Steuern](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic) [des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html).
Wenn Ihr App Runner-Service privat ist, können Sie von einer Amazon VPC aus auf Ihren Service zugreifen. Ein Internet-Gateway, ein NAT-Gerät oder eine VPN-Verbindung sind nicht erforderlich.
**Anmerkung**
App Runner unterstützt IPv4 Dual-Stack (sowohl als auch IPv6) IPv4 sowohl für eingehenden als auch für ausgehenden Verkehr.
## Überlegungen
+ Bevor Sie einen VPC-Schnittstellenendpunkt für App Runner einrichten, lesen Sie die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink Handbuch*.
+ VPC-Endpunktrichtlinien werden für App Runner nicht unterstützt. Standardmäßig ist der vollständige Zugriff auf App Runner über den VPC-Schnittstellenendpunkt zulässig. Alternativ können Sie den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu App Runner über den VPC-Schnittstellenendpunkt zu steuern.
+ Wenn Ihre App Runner-Anwendung Regeln zur Steuerung des IP/CIDR eingehenden Quellverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von [WAF-Web](waf.md) verwenden. ACLs Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit dem WAF-Web verknüpft sind, ACLs nicht den IP-basierten Regeln.
+ Nachdem Sie einen privaten Endpunkt aktiviert haben, ist Ihr Service nur von Ihrer VPC aus zugänglich und kann nicht über das Internet aufgerufen werden.
+ Für eine höhere Verfügbarkeit wird empfohlen, mindestens zwei Subnetze in der Availability Zone auszuwählen, die sich für den VPC-Schnittstellenendpunkt unterscheiden. Es wird nicht empfohlen, nur ein Subnetz zu verwenden.
+ Wenn Sie die Dual-Stack-Option für den IP-Adresstyp wählen, stellen Sie sicher, dass Ihre Subnetze Dual-Stack-Verkehr unterstützen können.
+ Sie können denselben VPC-Schnittstellenendpunkt verwenden, um auf mehrere App Runner-Dienste in einer VPC zuzugreifen.
[Informationen zu den in diesem Abschnitt verwendeten Begriffen finden Sie unter Terminologie.](network-terms.md)
## Berechtigungen
Im Folgenden finden Sie eine Liste der Berechtigungen, die zur Aktivierung des **privaten Endpunkts** erforderlich sind:
+ ec2: CreateTags
+ ec2: CreateVpcEndpoint
+ ec2: ModifyVpcEndpoint
+ ec2: DeleteVpcEndpoints
+ ec2: DescribeSubnets
+ ec2: DescribeVpcEndpoints
+ ec2: DescribeVpcs
## Endpunkt der VPC-Schnittstelle
Ein VPC-Schnittstellenendpunkt ist eine *AWS PrivateLink*Ressource, die eine Amazon-VPC mit einem Endpunktservice verbindet. Sie können angeben, in welcher Amazon VPC Ihr App Runner-Service zugänglich sein soll, indem Sie einen VPC-Schnittstellenendpunkt übergeben. Um einen VPC-Schnittstellenendpunkt zu erstellen, geben Sie Folgendes an:
+ Die Amazon VPC zur Aktivierung der Konnektivität.
+ Fügen Sie Sicherheitsgruppen hinzu. Standardmäßig wird dem VPC-Schnittstellenendpunkt eine Sicherheitsgruppe zugewiesen. Sie können sich dafür entscheiden, eine benutzerdefinierte Sicherheitsgruppe zuzuordnen, um den eingehenden Netzwerkverkehr weiter zu kontrollieren.
+ Fügen Sie Subnetze hinzu. Um eine höhere Verfügbarkeit zu gewährleisten, wird empfohlen, mindestens zwei Subnetze für jede Availability Zone auszuwählen, von der aus Sie auf den App Runner-Dienst zugreifen. In jedem Subnetz, das Sie für den VPC-Schnittstellenendpunkt aktivieren, wird ein Netzwerkschnittstellen-Endpunkt erstellt. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für App Runner bestimmt ist. Eine vom Anforderer verwaltete Netzwerkschnittstelle ist eine Netzwerkschnittstelle, die ein AWS Dienst in Ihrem Namen in Ihrer VPC erstellt.
+ Wenn Sie die API verwenden, fügen Sie den App Runner VPC-Schnittstellenendpunkt `Servicename` hinzu. Zum Beispiel
```
com.amazonaws.region.apprunner.requests
```
Sie können einen VPC-Schnittstellenendpunkt mit einem der folgenden AWS Dienste erstellen:
+ App Runner-Konsole. Weitere Informationen finden Sie unter [Privaten Endpunkt verwalten](network-pl-manage.md).
+ Amazon VPC-Konsole oder API und AWS Command Line Interface (AWS CLI). Weitere Informationen finden Sie unter [Zugriff auf AWS-Services über AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) im *AWS PrivateLink -Leitfaden*.
**Anmerkung**
Ihnen wird jeder VPC-Schnittstellen-Endpunkt, den Sie verwenden, auf der Grundlage der [AWS PrivateLink Preisgestaltung](https://aws.amazon.com/privatelink/pricing/) in Rechnung gestellt. Aus Kostengründen können Sie daher denselben VPC-Schnittstellenendpunkt verwenden, um auf mehrere App Runner-Dienste innerhalb einer VPC zuzugreifen. Für eine bessere Isolierung sollten Sie jedoch erwägen, jedem Ihrer App Runner-Dienste einen anderen VPC-Schnittstellenendpunkt zuzuordnen.
## VPC-Ingress-Verbindung
Eine *VPC-Ingress-Verbindung* ist eine App Runner-Ressource, die einen App Runner-Endpunkt für eingehenden Datenverkehr angibt. App Runner weist die VPC-Ingress-Verbindungsressource hinter den Kulissen zu, wenn Sie in der App Runner-Konsole den **privaten Endpunkt** für Ihren eingehenden Datenverkehr auswählen. Wählen Sie diese Option, damit nur Traffic von einer Amazon VPC auf Ihren App Runner-Service zugreifen kann. Die Ressource VPC Ingress Connection verbindet Ihren App Runner-Service mit dem VPC-Schnittstellenendpunkt der Amazon VPC. Sie können eine VPC-Ingress-Verbindungsressource nur erstellen, wenn Sie die API-Operationen verwenden, um die Netzwerkeinstellungen für eingehenden Datenverkehr zu konfigurieren. Weitere Informationen zum Erstellen einer VPC-Ingress-Verbindungsressource finden Sie [CreateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateVpcIngressConnection.html.html)in der *AWS App Runner API-Referenz*.
**Anmerkung**
Eine VPC-Ingress-Verbindungsressource des App Runner kann eine Verbindung zu einem VPC-Schnittstellenendpunkt der Amazon VPC herstellen. Außerdem können Sie für jeden App Runner-Dienst nur eine VPC-Ingress-Verbindungsressource erstellen.
## Privater Endpunkt
Private Endpoint ist eine App Runner-Konsolenoption, die Sie wählen können, wenn Sie nur eingehenden Datenverkehr von einer Amazon VPC empfangen möchten. Wenn Sie in der App Runner-Konsole die Option **Privater Endpunkt** auswählen, haben Sie die Möglichkeit, Ihren Service mit einer VPC zu verbinden, indem Sie dessen *VPC-Schnittstellenendpunkt* konfigurieren. Im Hintergrund weist App Runner dem von Ihnen konfigurierten VPC-Schnittstellenendpunkt eine VPC-Ingress-Verbindungsressource zu.
## Zusammenfassung
Machen Sie Ihren Service privat, indem Sie nur Traffic von einer Amazon VPC auf Ihren App Runner-Service zugreifen lassen. Um dies zu erreichen, erstellen Sie mit App Runner oder Amazon VPC einen VPC-Schnittstellenendpunkt für die ausgewählte Amazon VPC. In der App Runner-Konsole erstellen Sie einen VPC-Schnittstellenendpunkt, wenn Sie den **privaten Endpunkt** für den **eingehenden Datenverkehr** aktivieren. App Runner erstellt dann automatisch eine *VPC-Ingress-Verbindungsressource und stellt eine Verbindung* zum VPC-Schnittstellenendpunkt und Ihrem App Runner-Dienst her. Dadurch wird eine private Dienstverbindung erstellt, die sicherstellt, dass nur Traffic von der ausgewählten VPC auf Ihren App Runner-Dienst zugreifen kann.
# Private Endpunkte verwalten
Verwalten Sie den privaten Endpunkt für den eingehenden Datenverkehr mit einer der folgenden Methoden:
+ [App Runner-Konsole](#network-pl-manage.console)
+ [App Runner API oder AWS CLI](#network-pl-manage.api)
**Anmerkung**
Wenn Ihre App Runner-Anwendung Regeln zur Steuerung des IP/CIDR eingehenden Quellverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von [WAF](waf.md) Web verwenden. ACLs Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit dem WAF-Web verknüpft sind, ACLs nicht den IP-basierten Regeln.
Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im *Amazon VPC-Benutzerhandbuch*: [Steuern des Netzwerkverkehrs und Steuern](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic) [des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html).
## App Runner-Konsole
Wenn Sie [einen Dienst mit der App Runner-Konsole erstellen](manage-create.md) oder [seine Konfiguration später aktualisieren](manage-configure.md), können Sie wählen, ob Sie den eingehenden Datenverkehr konfigurieren möchten.
Wählen Sie eine der folgenden Optionen, um Ihren eingehenden Datenverkehr zu konfigurieren.
+ **Öffentlicher Endpunkt**: Um Ihren Dienst für alle Dienste über das Internet zugänglich zu machen. Standardmäßig ist der **öffentliche Endpunkt** ausgewählt.
+ **Privater Endpunkt**: Um Ihren App Runner-Service nur von einer Amazon VPC aus zugänglich zu machen.
### Privaten Endpunkt aktivieren
Aktivieren Sie einen **privaten Endpunkt**, indem Sie ihn dem VPC-Schnittstellenendpunkt der Amazon VPC zuordnen, auf die Sie zugreifen möchten. Sie können entweder einen neuen VPC-Schnittstellenendpunkt erstellen oder einen vorhandenen auswählen.
**So erstellen Sie einen VPC-Schnittstellenendpunkt**
1. Öffnen Sie die [App Runner-Konsole](https://console.aws.amazon.com/apprunner) und wählen Sie in der Liste der **Regionen** Ihre AWS-Region aus.
1. Gehen Sie unter **Dienst konfigurieren** zum Abschnitt **Netzwerk**.
1. Wählen Sie **Private Endpoint** für **Eingehenden Netzwerkverkehr**. Optionen zum Herstellen einer Verbindung zu einem VCP über den VPC-Schnittstellenendpunkt werden geöffnet.
1. Wählen Sie **Neuen Endpunkt erstellen** aus. Das Dialogfeld **Neuen VPC-Schnittstellenendpunkt** erstellen wird geöffnet.
1. Geben Sie einen Namen für den VPC-Schnittstellenendpunkt ein.
1. Wählen Sie den erforderlichen VPC-Schnittstellenendpunkt aus der verfügbaren Dropdownliste aus.
1. Wählen Sie eine Sicherheitsgruppe aus der Drop-down-Liste aus. Das Hinzufügen von Sicherheitsgruppen bietet eine zusätzliche Sicherheitsebene für den VPC-Schnittstellenendpunkt. Es wird empfohlen, zwei oder mehr Sicherheitsgruppen auszuwählen. Wenn Sie keine Sicherheitsgruppe auswählen, weist App Runner dem VPC-Schnittstellenendpunkt eine Standardsicherheitsgruppe zu. Stellen Sie sicher, dass die Sicherheitsgruppenregeln nicht die Ressourcen blockieren, die mit Ihrem App Runner-Dienst kommunizieren möchten. Die Sicherheitsgruppenregeln müssen Ressourcen zulassen, die mit Ihrem App Runner-Dienst interagieren.
**Anmerkung**
Wenn Ihre App Runner-Anwendung Regeln zur Steuerung des IP/CIDR eingehenden Quellverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von [WAF](waf.md) Web verwenden. ACLs Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit dem WAF-Web verknüpft sind, ACLs nicht den IP-basierten Regeln.
Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im *Amazon VPC-Benutzerhandbuch*: [Steuern des Netzwerkverkehrs und Steuern](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic) [des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html).
1. Wählen Sie die erforderlichen Subnetze aus der Drop-down-Liste aus. Es wird empfohlen, mindestens zwei Subnetze für jede Availability Zone auszuwählen, von der aus Sie auf den App Runner-Dienst zugreifen.
**Anmerkung**
Wenn Sie den Endpunkt für Dual-Stack konfigurieren, stellen Sie sicher, dass Ihre Infrastruktur und Ihr VPC-Endpunkt Dual-Stack-Verkehr unterstützen.
1. (Optional) Wählen Sie **Neues Tag hinzufügen und geben Sie den Tag-Schlüssel** und den Tag-Wert ein.
1. Wählen Sie **Erstellen** aus. Die Seite **Dienst konfigurieren** wird geöffnet und in der oberen Leiste wird die Meldung angezeigt, dass der VPC-Schnittstellenendpunkt erfolgreich erstellt wurde.
**So wählen Sie einen vorhandenen VPC-Schnittstellenendpunkt aus**
1. Öffnen Sie die [App Runner-Konsole](https://console.aws.amazon.com/apprunner) und wählen Sie in der Liste der **Regionen** Ihre AWS-Region aus.
1. Gehen Sie unter **Dienst konfigurieren** zum Abschnitt **Netzwerk**.
1. Wählen Sie **Private Endpoint** für **Eingehenden Netzwerkverkehr**. Optionen zum Herstellen einer Verbindung mit einer VPC über den VPC-Schnittstellenendpunkt werden geöffnet. Eine Liste der verfügbaren VPC-Schnittstellenendpunkte wird angezeigt.
1. Wählen Sie den erforderlichen VPC-Schnittstellenendpunkt aus, der unter **VPC-Schnittstellenendpunkte** aufgeführt ist.
1. Wählen Sie **Weiter, um Ihren** Service zu erstellen. App Runner aktiviert den privaten Endpunkt.
**Anmerkung**
Nachdem Ihr Service erstellt wurde, können Sie bei Bedarf die Sicherheitsgruppen und Subnetze bearbeiten, die dem VPC-Schnittstellenendpunkt zugeordnet sind.
Um die Details des **privaten Endpunkts** zu überprüfen, gehen Sie zu Ihrem Service und erweitern Sie den Bereich **Netzwerk** auf der Registerkarte **Konfiguration**. Es zeigt Details zur VPC und zum VPC-Schnittstellenendpunkt, der dem **privaten** Endpunkt zugeordnet ist.
### VPC-Schnittstellenendpunkt aktualisieren
Nachdem Ihr App Runner-Dienst erstellt wurde, können Sie den VPC-Schnittstellenendpunkt bearbeiten, der dem privaten Endpunkt zugeordnet ist.
**Anmerkung**
Sie können den **Endpunktnamen** und die **VPC-Felder** nicht aktualisieren.
**So aktualisieren Sie den VPC-Schnittstellenendpunkt**
1. Öffnen Sie die [App Runner-Konsole](https://console.aws.amazon.com/apprunner) und wählen Sie in der Liste der **Regionen** Ihre AWS-Region aus.
1. Gehen Sie zu Ihrem Dienst und wählen Sie im linken Bereich **Netzwerkkonfigurationen** aus.
1. Wählen Sie **Eingehender Verkehr**, um die VPC-Schnittstellenendpunkte anzuzeigen, die den jeweiligen Diensten zugeordnet sind.
1. Wählen Sie den VPC-Schnittstellen-Endpunkt aus, den Sie bearbeiten möchten.
1. Wählen Sie **Bearbeiten** aus. Das Dialogfeld zum Bearbeiten des VPC-Schnittstellenendpunkts wird geöffnet.
1. **Wählen Sie die erforderlichen **Sicherheitsgruppen** und **Subnetze** aus und klicken Sie auf Aktualisieren.** Die Seite mit den Details zum VPC-Schnittstellen-Endpunkt wird mit der Meldung über die erfolgreiche Aktualisierung des VPC-Schnittstellenendpunkts in der oberen Leiste geöffnet.
**Anmerkung**
[Wenn Ihre App Runner-Anwendung Regeln zur Steuerung des IP/CIDR eingehenden Quellverkehrs benötigt, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von WAF Web verwenden. ACLs](waf.md) Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit dem WAF-Web verknüpft sind, ACLs nicht den IP-basierten Regeln.
Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im *Amazon VPC-Benutzerhandbuch*: [Steuern des Netzwerkverkehrs und Steuern](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic) [des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html).
### VPC-Schnittstellenendpunkt löschen
Wenn Sie nicht möchten, dass Ihr App Runner-Dienst privat zugänglich ist, können Sie Ihren eingehenden Datenverkehr auf **Öffentlich** setzen. Wenn Sie zu **Öffentlich** wechseln, wird der private Endpunkt entfernt, der Endpunkt der VPC-Schnittstelle wird jedoch nicht gelöscht
**Um den VPC-Schnittstellenendpunkt zu löschen**
1. Öffnen Sie die [App Runner-Konsole](https://console.aws.amazon.com/apprunner) und wählen Sie in der Liste der **Regionen** Ihre AWS-Region aus.
1. Gehen Sie zu Ihrem Dienst und wählen Sie im linken Bereich **Netzwerkkonfigurationen** aus.
1. Wählen Sie **Eingehender Verkehr**, um die VPC-Schnittstellenendpunkte anzuzeigen, die den jeweiligen Diensten zugeordnet sind.
**Anmerkung**
Bevor Sie einen VPC-Schnittstellenendpunkt löschen, entfernen Sie ihn aus allen Diensten, mit denen er verbunden ist, indem Sie Ihren Service aktualisieren.
1. Wählen Sie **Löschen** aus.
Wenn Dienste mit dem VPC-Schnittstellenendpunkt verbunden sind, erhalten Sie die Meldung „**VPC-Schnittstellenendpunkt kann nicht gelöscht werden**“. Wenn keine Dienste mit dem VPC-Schnittstellenendpunkt verbunden sind, erhalten Sie eine Meldung zur Bestätigung des Löschvorgangs.
1. Wählen Sie **Löschen** aus. Die Seite **Netzwerkkonfigurationen** für den **eingehenden Datenverkehr** wird geöffnet. In der oberen Leiste wird die Meldung angezeigt, dass der VPC-Schnittstellenendpunkt erfolgreich gelöscht wurde.
## App Runner API oder AWS CLI
Sie können eine Anwendung auf App Runner bereitstellen, auf die nur von einer Amazon VPC aus zugegriffen werden kann.
Informationen zu den Berechtigungen, die erforderlich sind, um Ihren Service privat zu machen, finden Sie unter[Berechtigungen](network-pl.md#network-pl.permissions).
**So erstellen Sie eine private Serviceverbindung zu Amazon VPC**
1. Erstellen Sie einen VPC-Schnittstellenendpunkt, eine AWS PrivateLink Ressource, um eine Verbindung zu App Runner herzustellen. Geben Sie dazu Subnetze und Sicherheitsgruppen an, die der Anwendung zugeordnet werden sollen. Im Folgenden finden Sie ein Beispiel für die Erstellung eines VPC-Schnittstellenendpunkts.
**Anmerkung**
Wenn für Ihre App Runner-Anwendung Regeln zur Steuerung des IP/CIDR eingehenden Quellverkehrs erforderlich sind, müssen Sie Sicherheitsgruppenregeln für private Endpunkte anstelle von [WAF](waf.md) Web verwenden. ACLs Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Aus diesem Grund entsprechen die Quell-IP-Regeln für private App Runner-Dienste, die mit dem WAF-Web verknüpft sind, ACLs nicht den IP-basierten Regeln.
Weitere Informationen zur Infrastruktursicherheit und zu Sicherheitsgruppen, einschließlich bewährter Methoden, finden Sie in den folgenden Themen im *Amazon VPC-Benutzerhandbuch*: [Steuern des Netzwerkverkehrs und Steuern](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic) [des Datenverkehrs zu Ihren AWS-Ressourcen mithilfe von Sicherheitsgruppen](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html).
**Example**
```
aws ec2 create-vpc-endpoint
--vpc-endpoint-type: Interface
--service-name: com.amazonaws.us-east-1.apprunner.requests
--subnets: subnet1, subnet2
--security-groups: sg1
```
1. Referenzieren Sie den VPC-Schnittstellenendpunkt, indem Sie die API-Aktionen [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)oder [UpdateService](https://docs.aws.amazon.com/apprunner/latest/api/API_UpdateService.html)App Runner über die CLI verwenden. Konfigurieren Sie Ihren Service so, dass er nicht öffentlich zugänglich ist. `False`Im `IngressConfiguration` Element des `NetworkConfiguration` Parameters auf festgelegt`IsPubliclyAccessible`. Optional können Sie das `IpAddressType` Feld auf `IPV4` oder setzen`DUAL_STACK`. Wenn nicht festgelegt, ist dieser Wert standardmäßig auf IPV4. Das folgende Beispiel verweist auf den VPC-Schnittstellenendpunkt.
**Example**
```
aws apprunner create-service
--network-configuration:
{
"IngressConfiguration":
{
"IsPubliclyAccessible": False
},
"IpAddressType": "IPV4"
}
--service-name: com.amazonaws.us-east-1.apprunner.requests
--source-configuration:
```
1. Rufen Sie die `create-vpc-ingress-connection` API-Aktion auf, um die VPC-Ingress-Verbindungsressource für App Runner zu erstellen und sie dem VPC-Schnittstellenendpunkt zuzuordnen, den Sie im vorherigen Schritt erstellt haben. Es gibt einen Domainnamen zurück, der für den Zugriff auf Ihren Service in der angegebenen VPC verwendet wird. Im Folgenden finden Sie ein Beispiel für die Erstellung einer VPC-Ingress-Verbindungsressource.
**Example Anforderung**
```
aws apprunner create-vpc-ingress-connection
--service-arn:
--ingress-vpc-configuration: {"VpcId":, "VpceId": }
--vpc-ingress-connection-name:
```
**Example Antwort**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "PENDING_CREATION",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt":
}
```
### VPC-Eingangsverbindung aktualisieren
Sie können die Ressource VPC Ingress Connection aktualisieren. Die VPC-Ingress-Verbindung muss sich in einem der folgenden Zustände befinden, damit sie aktualisiert werden kann:
+ VERFÜGBAR
+ FAILED\$1CREATION
+ FEHLGESCHLAGENES UPDATE
Im Folgenden finden Sie ein Beispiel für die Aktualisierung einer VPC-Ingress-Verbindungsressource.
**Example Anforderung**
```
aws apprunner update-vpc-ingress-connection
--vpc-ingress-connection-arn:
```
**Example Antwort**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "FAILED_UPDATE",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt":
}
```
### VPC-Eingangsverbindung löschen
Sie können die Ressource VPC Ingress Connection löschen, wenn Sie die private Verbindung zur Amazon VPC nicht mehr benötigen.
Die VPC-Eingangsverbindung muss sich in einem der folgenden Zustände befinden, um gelöscht zu werden:
+ VERFÜGBAR
+ FEHLER BEI DER ERSTELLUNG
+ AKTUALISIERUNG FEHLGESCHLAGEN
+ FEHLGESCHLAGENES LÖSCHEN
Im Folgenden finden Sie ein Beispiel für das Löschen einer VPC-Ingress-Verbindung
**Example Anforderung**
```
aws apprunner delete-vpc-ingress-connection
--vpc-ingress-connection-arn:
```
**Example Antwort**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "PENDING_DELETION",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt": ,
"DeletedAt":
}
```
Verwenden Sie die folgenden App Runner-API-Aktionen, um den privaten eingehenden Datenverkehr für Ihren Service zu verwalten.
+ [CreateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateVpcIngressConnection.html)— Erstellen Sie eine neue VPC-Ingress-Verbindungsressource. App Runner benötigt diese Ressource, wenn Sie Ihren App-Runner-Service einem Amazon-VPC-Endpunkt zuordnen möchten.
+ [ListVpcIngressConnections](https://docs.aws.amazon.com/apprunner/latest/api/API_ListVpcIngressConnections.html)— Gibt eine Liste der AWS App Runner VPC Ingress Connection-Endpunkte zurück, die Ihrem Konto zugeordnet sind. AWS
+ [DescribeVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_DescribeVpcIngressConnection.html)— Gibt eine vollständige Beschreibung der AWS App Runner VPC Ingress Connection-Ressource zurück.
+ [UpdateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_UpdateVpcIngressConnection.html)— Aktualisieren Sie die AWS App Runner VPC Ingress Connection-Ressource.
+ [DeleteVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_DeleteVpcIngressConnection.html)— Löscht eine App Runner VPC Ingress Connection-Ressource, die dem App Runner-Dienst zugeordnet ist.
Weitere Informationen zur Verwendung der App Runner API finden Sie im [App Runner API-Referenzhandbuch.](https://docs.aws.amazon.com/apprunner/latest/api/)