Administración de un punto final privado - AWS App Runner
Consola App RunnerAPI de App Runner o AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de un punto final privado

Administre el punto final privado para el tráfico entrante mediante uno de los siguientes métodos:

nota

Si tu aplicación App Runner requiere reglas de control del tráfico entrante IP/CIDR de origen, debes usar reglas de grupos de seguridad para los puntos finales privados en lugar de las ACL web de WAF. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de la fuente de la solicitud a los servicios privados de App Runner asociados al WAF. Como resultado, las reglas de IP de origen de los servicios privados de App Runner que están asociadas a las ACL web del WAF no cumplen con las reglas basadas en IP.

Para obtener más información sobre la seguridad de la infraestructura y los grupos de seguridad, incluidas las prácticas recomendadas, consulte los siguientes temas de la Guía del usuario de Amazon VPC: Controle el tráfico de red y Controle el tráfico a sus recursos de AWS mediante grupos de seguridad.

Consola App Runner

Al crear un servicio mediante la consola de App Runner o al actualizar su configuración más adelante, puede optar por configurar el tráfico entrante.

Para configurar el tráfico entrante, elige una de las siguientes opciones.

  • Punto final público: para que todos los servicios de Internet puedan acceder a tu servicio. De forma predeterminada, se selecciona el punto final público.

  • Punto final privado: para hacer que su servicio App Runner sea accesible únicamente desde una Amazon VPC.

nota

Actualmente, App Runner solo admite IPv6 para puntos de enlace públicos. Los puntos de enlace IPv6 no son compatibles con los servicios de App Runner alojados en una Amazon Virtual Private Cloud (Amazon VPC). Si actualizas un servicio que utiliza un punto de enlace público de doble pila a uno privado, tu servicio de App Runner admitirá de forma predeterminada el tráfico únicamente desde los puntos de enlace de IPv4 y no recibirá el tráfico de los puntos de enlace de IPv6.

Habilita el punto final privado

Habilite un punto de enlace privado asociándolo al punto de enlace de la interfaz de VPC de la Amazon VPC a la que desea acceder. Puede crear un nuevo punto final de interfaz de VPC o elegir uno existente.

Para crear un punto final de interfaz de VPC

  1. Abre la consola de App Runner y, en la lista de regiones, selecciona la tuya Región de AWS.

  2. Vaya a la sección Redes en Configurar el servicio.

  3. Elija Punto final privado para el tráfico de red entrante. Se abren las opciones para conectarse a un VCP mediante el punto final de la interfaz de VPC.

  4. Elija Crear un nuevo punto final. Se abre el cuadro de diálogo Crear un nuevo punto final de interfaz de VPC.

  5. Introduzca un nombre para el punto final de la interfaz de VPC.

  6. Elija el punto final de la interfaz de VPC necesario en la lista desplegable disponible.

  7. Elija el grupo de seguridad de la lista desplegable. La adición de grupos de seguridad proporciona una capa de seguridad adicional al punto final de la interfaz de VPC. Se recomienda elegir dos o más grupos de seguridad. Si no eliges un grupo de seguridad, App Runner asigna un grupo de seguridad predeterminado al punto final de la interfaz de VPC. Asegúrese de que las reglas del grupo de seguridad no bloqueen los recursos que desean comunicarse con su servicio de App Runner. Las reglas del grupo de seguridad deben permitir que los recursos interactúen con tu servicio de App Runner.

    nota

    Si su aplicación App Runner requiere reglas de control de tráfico entrante IP/CIDR de origen, debe usar reglas de grupos de seguridad para los puntos finales privados en lugar de las ACL web de WAF. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de la fuente de la solicitud a los servicios privados de App Runner asociados al WAF. Como resultado, las reglas de IP de origen de los servicios privados de App Runner que están asociadas a las ACL web del WAF no cumplen con las reglas basadas en IP.

    Para obtener más información sobre la seguridad de la infraestructura y los grupos de seguridad, incluidas las prácticas recomendadas, consulte los siguientes temas de la Guía del usuario de Amazon VPC: Controle el tráfico de red y Controle el tráfico a sus recursos de AWS mediante grupos de seguridad.

  8. Elija las subredes necesarias de la lista desplegable. Se recomienda seleccionar al menos dos subredes para cada zona de disponibilidad desde la que accederá al servicio App Runner.

  9. (Opcional) Seleccione Añadir nueva etiqueta e introduzca la clave de la etiqueta y el valor de la etiqueta.

  10. Seleccione Crear. Se abre la página de configuración del servicio, que muestra el mensaje de que se ha creado correctamente el punto final de la interfaz de VPC en la barra superior.

Para elegir un punto final de interfaz de VPC existente

  1. Abre la consola de App Runner y, en la lista de regiones, selecciona la tuya Región de AWS.

  2. Vaya a la sección Redes en Configurar el servicio.

  3. Elija Punto final privado para el tráfico de red entrante. Se abren las opciones para conectarse a una VPC mediante el punto final de la interfaz de VPC. Se muestra una lista de los puntos finales de la interfaz de VPC disponibles.

  4. Elija el punto de enlace de la interfaz de VPC requerido que aparece en los puntos de enlace de la interfaz de VPC.

  5. Seleccione Siguiente para crear el servicio. App Runner habilita el punto final privado.

    nota

    Una vez creado el servicio, puede optar por editar los grupos de seguridad y las subredes asociados al punto final de la interfaz de VPC, si es necesario.

    Para comprobar los detalles del punto de conexión privado, vaya a su servicio y amplíe la sección Redes en la pestaña Configuración. Muestra los detalles de la VPC y del punto final de la interfaz de VPC asociados al punto final privado.

Actualizar el punto final de la interfaz de VPC

Una vez creado el servicio App Runner, puede editar el punto final de la interfaz de VPC asociado al punto final privado.

nota

No puede actualizar el nombre del punto final ni los campos de la VPC.

Para actualizar el punto final de la interfaz de VPC

  1. Abre la consola de App Runner y, en la lista de regiones, selecciona la tuya Región de AWS.

  2. Ve a tu servicio y selecciona Configuraciones de red en el panel izquierdo.

  3. Elija Tráfico entrante para ver los puntos finales de la interfaz de VPC asociados a los servicios respectivos.

  4. Elija el punto final de la interfaz de VPC que desee editar.

  5. Elija Editar. Se abre el cuadro de diálogo para editar el punto final de la interfaz de VPC.

  6. Elija los grupos de seguridad y las subredes necesarios y haga clic en Actualizar. La página que muestra los detalles del punto final de la interfaz de VPC se abre con el mensaje de actualización correcta del punto final de la interfaz de VPC en la barra superior.

    nota

    Si tu aplicación App Runner requiere reglas de control de tráfico entrante IP/CIDR de origen, debes usar reglas de grupos de seguridad para los puntos finales privados en lugar de las ACL web de WAF. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de la fuente de la solicitud a los servicios privados de App Runner asociados al WAF. Como resultado, las reglas de IP de origen de los servicios privados de App Runner que están asociadas a las ACL web del WAF no cumplen con las reglas basadas en IP.

    Para obtener más información sobre la seguridad de la infraestructura y los grupos de seguridad, incluidas las prácticas recomendadas, consulte los siguientes temas de la Guía del usuario de Amazon VPC: Controle el tráfico de red y Controle el tráfico a sus recursos de AWS mediante grupos de seguridad.

Eliminar punto final de la interfaz de VPC

Si no quieres que tu servicio de App Runner sea de acceso privado, puedes configurar el tráfico entrante como público. Al cambiar a público, se elimina el punto de conexión privado, pero no se elimina el punto de conexión de la interfaz de VPC

Para eliminar el punto final de la interfaz de VPC

  1. Abre la consola de App Runner y, en la lista de regiones, selecciona la tuya Región de AWS.

  2. Ve a tu servicio y selecciona Configuraciones de red en el panel izquierdo.

  3. Elija Tráfico entrante para ver los puntos finales de la interfaz de VPC asociados a los servicios respectivos.

    nota

    Antes de eliminar un punto final de la interfaz de VPC, quítelo de todos los servicios a los que esté conectado actualizando su servicio.

  4. Elija Eliminar.

    Si hay servicios conectados al punto final de la interfaz de VPC, recibirá el mensaje No se puede eliminar el punto final de la interfaz de VPC. Si no hay ningún servicio conectado al punto final de la interfaz de VPC, recibirá un mensaje para confirmar la eliminación.

  5. Elija Eliminar. Se abre la página de configuraciones de red para el tráfico entrante con el mensaje de que se ha eliminado correctamente el punto final de la interfaz de VPC en la barra superior.

API de App Runner o AWS CLI

Puede implementar una aplicación en App Runner a la que solo se pueda acceder desde una Amazon VPC.

Para obtener información sobre los permisos necesarios para que su servicio sea privado, consultePermisos.

nota

Actualmente, App Runner solo admite IPv6 para terminales públicos. Los puntos de enlace IPv6 no son compatibles con los servicios de App Runner alojados en una Amazon Virtual Private Cloud (Amazon VPC). Si actualizas un servicio que utiliza un punto de enlace público de doble pila a uno privado, tu servicio de App Runner admitirá de forma predeterminada el tráfico únicamente desde los puntos de enlace de IPv4 y no recibirá el tráfico de los puntos de enlace de IPv6.

Para crear una conexión de servicio privado a Amazon VPC

  1. Cree un punto final de la interfaz de VPC, un AWS PrivateLink recurso, para conectarse a App Runner. Para ello, especifique las subredes y los grupos de seguridad que desee asociar a la aplicación. A continuación, se muestra un ejemplo de cómo crear un punto final de interfaz de VPC.

    nota

    Si su aplicación App Runner requiere reglas de control de tráfico entrante IP/CIDR de origen, debe usar reglas de grupos de seguridad para los puntos finales privados en lugar de las ACL web de WAF. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de la fuente de la solicitud a los servicios privados de App Runner asociados al WAF. Como resultado, las reglas de IP de origen de los servicios privados de App Runner que están asociadas a las ACL web del WAF no cumplen con las reglas basadas en IP.

    Para obtener más información sobre la seguridad de la infraestructura y los grupos de seguridad, incluidas las prácticas recomendadas, consulte los siguientes temas de la Guía del usuario de Amazon VPC: Controle el tráfico de red y Controle el tráfico a sus recursos de AWS mediante grupos de seguridad.

    aws ec2 create-vpc-endpoint
 --vpc-endpoint-type: Interface
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --subnets: subnet1, subnet2
 --security-groups: sg1

  2. Haga referencia al punto final de la interfaz de VPC mediante las acciones de la API CreateServiceo de UpdateServiceApp Runner a través de la CLI. Configure su servicio para que no sea de acceso público. IsPubliclyAccessibleFalseConfigúrelo en el IngressConfiguration miembro del NetworkConfiguration parámetro. A continuación, se muestra un ejemplo de cómo hacer referencia al punto final de la interfaz de VPC. 

    aws apprunner create-service
 --network-configuration: ingress-configuration=<ingress_configuration>
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --source-configuration: <source_configuration>
 # Ingress Configuration
 {
 "IsPubliclyAccessible": False 
 }

  3. Ejecute la acción de la create-vpc-ingress-connection API para crear el recurso de conexión de entrada de VPC para App Runner y asócielo al punto final de la interfaz de VPC que creó en el paso anterior. Devuelve un nombre de dominio que se utiliza para acceder al servicio en la VPC especificada. A continuación, se muestra un ejemplo de creación de un recurso de conexión de entrada de VPC.

    ejemplo Solicitud
    aws apprunner create-vpc-ingress-connection
 --service-arn: <apprunner_service_arn>
 --ingress-vpc-configuration: {"VpcId":<vpc_id>, "VpceId": <vpce_id>}
 --vpc-ingress-connection-name: <vic_connection_name>
    ejemplo Respuesta
    {
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_CREATION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>
}

Actualizar la conexión de entrada de VPC

Puede actualizar el recurso de conexión de entrada de VPC. La conexión de entrada de la VPC debe estar en uno de los siguientes estados para poder actualizarse:

  • DISPONIBLE

  • CREACIÓN FALLIDA

  • ACTUALIZACIÓN_FALLIDA

El siguiente es un ejemplo de actualización de un recurso de conexión de entrada de VPC.

ejemplo Solicitud
aws apprunner update-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
ejemplo Respuesta
{
    "VpcIngressConnectionArn":  <vpc_ingress_connection_arn>,
    "VpcIngressConnectionName":  <vic_connection_name>,
    "ServiceArn":  <apprunner_service_arn>,
    "Status": "FAILED_UPDATE",
    "AccountId":  <connection_owner_id>,
    "DomainName":  <domain_name_associated_with_vpce>,
    "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
    "CreatedAt":  <date_created>
}

Eliminar la conexión de entrada de VPC

Puede eliminar el recurso de conexión de entrada de la VPC si ya no necesita la conexión privada a la Amazon VPC.

Para poder eliminarla, la conexión de entrada de la VPC debe estar en uno de los siguientes estados:

  • DISPONIBLE

  • ERROR EN LA CREACIÓN

  • ERROR EN LA ACTUALIZACIÓN

  • ELIMINACIÓN FALLIDA

A continuación, se muestra un ejemplo de cómo eliminar una conexión de entrada de VPC

ejemplo Solicitud
aws apprunner delete-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
ejemplo Respuesta
{
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_DELETION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>,
   "DeletedAt": <date_deleted>
}

Usa las siguientes acciones de la API de App Runner para administrar el tráfico entrante privado de tu servicio.

  • CreateVpcIngressConnection— Cree un nuevo recurso de conexión de entrada de VPC. App Runner requiere este recurso cuando desea asociar su servicio de App Runner a un punto de conexión de Amazon VPC.

  • ListVpcIngressConnections— Devuelve una lista de los puntos finales de AWS App Runner VPC Ingress Connection que están asociados a su cuenta. AWS

  • DescribeVpcIngressConnection— Devuelve una descripción completa del recurso de AWS App Runner conexión de entrada de VPC.

  • UpdateVpcIngressConnection— Actualice el recurso de conexión de entrada de AWS App Runner VPC.

  • DeleteVpcIngressConnection— Eliminar un recurso de conexión de entrada de VPC de App Runner que esté asociado al servicio de App Runner.

Para obtener más información sobre el uso de la API de App Runner, consulta la guía de referencia de la API de App Runner.