App Runner mit VPC-Endpunkten verwenden - AWS App Runner
Einrichtung eines VPC-Endpunkts für App RunnerÜberlegungen zum Datenschutz in VPC-NetzwerkenVerwenden von Endpunktrichtlinien zur Steuerung des Zugriffs mit VPC-EndpunktenIntegration mit dem Schnittstellenendpunkt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

App Runner mit VPC-Endpunkten verwenden

Ihre AWS Anwendung integriert möglicherweise AWS App Runner Dienste mit anderen AWS-Services , die in einer VPC von Amazon Virtual Private Cloud (Amazon VPC) ausgeführt werden. Teile Ihrer Anwendung stellen möglicherweise Anfragen von der VPC aus an App Runner. Dies können Sie beispielsweise für die kontinuierliche Bereitstellung AWS CodePipeline in Ihrem App Runner-Dienst verwenden. Eine Möglichkeit, die Sicherheit Ihrer Anwendung zu verbessern, besteht darin, diese App Runner-Anfragen (und Anfragen an andere AWS-Services) über einen VPC-Endpunkt zu senden.

Mithilfe eines VPC-Endpunkts können Sie Ihre VPC privat mit unterstützten AWS-Services und VPC-Endpunktdiensten verbinden, die von unterstützt werden. AWS PrivateLink Sie benötigen kein Internet-Gateway, kein NAT-Gerät, keine VPN-Verbindung oder Verbindung. AWS Direct Connect

Ressourcen in Ihrer VPC verwenden keine öffentlichen IP-Adressen, um mit App Runner-Ressourcen zu interagieren. Der Datenverkehr zwischen Ihrer VPC und App Runner verlässt das Amazon-Netzwerk nicht. Weitere Informationen zu VPC-Endpunkten finden Sie im Handbuch unter VPC-Endpoints.AWS PrivateLink

Anmerkung

Standardmäßig wird die Webanwendung in Ihrem App Runner-Dienst in einer VPC ausgeführt, die App Runner bereitstellt und konfiguriert. Diese VPC ist öffentlich. Das bedeutet, dass sie mit dem Internet verbunden ist. Sie können Ihre Anwendung optional einer benutzerdefinierten VPC zuordnen. Weitere Informationen finden Sie unter VPC-Zugriff für ausgehenden Verkehr aktivieren .

Sie können Ihre Dienste so konfigurieren, dass sie auf das Internet zugreifen, einschließlich AWS APIs, auch wenn Ihr Service mit einer VPC verbunden ist. Anweisungen zum Aktivieren des öffentlichen Internetzugangs für ausgehenden VPC-Verkehr finden Sie unter. Überlegungen bei der Auswahl eines Subnetzes

App Runner unterstützt nicht die Erstellung eines VPC-Endpunkts für Ihre Anwendung.

Einrichtung eines VPC-Endpunkts für App Runner

Um den VPC-Schnittstellen-Endpunkt für den App Runner-Dienst in Ihrer VPC zu erstellen, folgen Sie dem Verfahren Schnittstellen-Endpunkt erstellen im AWS PrivateLink Handbuch. Wählen Sie für Servicename com.amazonaws.region.apprunner aus.

Überlegungen zum Datenschutz in VPC-Netzwerken

Wichtig

Die Verwendung eines VPC-Endpunkts für App Runner stellt nicht sicher, dass der gesamte Datenverkehr von Ihrer VPC vom Internet ferngehalten wird. Die VPC ist möglicherweise öffentlich. Darüber hinaus verwenden einige Teile Ihrer Lösung möglicherweise keine VPC-Endpunkte für AWS API-Aufrufe. Sie AWS-Services könnten beispielsweise andere Dienste über ihre öffentlichen Endpunkte aufrufen. Wenn für die Lösung in Ihrer VPC Datenschutz erforderlich ist, lesen Sie diesen Abschnitt.

Beachten Sie Folgendes, um die Vertraulichkeit des Netzwerkverkehrs in Ihrer VPC zu gewährleisten:

  • DNS-Namen aktivieren — Teile Ihrer Anwendung senden möglicherweise weiterhin Anfragen über das Internet über den apprunner.region.amazonaws.com öffentlichen Endpunkt an App Runner. Wenn Ihre VPC mit Internetzugang konfiguriert ist, sind diese Anfragen erfolgreich, ohne dass Sie etwas davon erfahren. Sie können dies verhindern, indem Sie sicherstellen, dass die Option DNS-Name aktivieren aktiviert ist, wenn Sie den Endpunkt erstellen. Standardmäßig ist er auf „true“ gesetzt. Hierdurch wird ein DNS-Eintrag in Ihrer VPC hinzugefügt, der den Endpunkt für den öffentlichen Service dem VPC-Schnittstellenendpunkt zuordnet.

  • VPC-Endpunkte für zusätzliche Dienste konfigurieren — Ihre Lösung sendet möglicherweise Anfragen an andere. AWS-Services AWS CodePipeline Könnte beispielsweise Anfragen senden an. AWS CodeBuild Konfigurieren Sie VPC-Endpunkte für diese Dienste und aktivieren Sie DNS-Namen auf diesen Endpunkten.

  • Eine private VPC konfigurieren — Wenn möglich (wenn Ihre Lösung überhaupt keinen Internetzugang benötigt), richten Sie Ihre VPC als privat ein, was bedeutet, dass sie keine Internetverbindung hat. Dadurch wird sichergestellt, dass ein fehlender VPC-Endpunkt einen sichtbaren Fehler verursacht, sodass Sie den fehlenden Endpunkt hinzufügen können.

Verwenden von Endpunktrichtlinien zur Steuerung des Zugriffs mit VPC-Endpunkten

VPC-Endpunktrichtlinien werden für App Runner nicht unterstützt. Standardmäßig ist der vollständige Zugriff auf App Runner über den Schnittstellenendpunkt zulässig. Alternativ können Sie den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu App Runner über den Schnittstellenendpunkt zu steuern.

Integration mit dem Schnittstellenendpunkt

App Runner unterstützt AWS PrivateLink, bietet private Konnektivität zu App Runner und verhindert, dass der Datenverkehr über das Internet zugänglich ist. Damit Ihre Anwendung Anfragen an App Runner senden kann AWS PrivateLink, konfigurieren Sie einen VPC-Endpunkttyp, den sogenannten Schnittstellenendpunkt. Weitere Informationen finden Sie im Handbuch unter Interface VPC endpoints (AWS PrivateLink).AWS PrivateLink