Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di mesh condivise
Importante
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post del blog Migrazione da AWS App Mesh ad Amazon ECS Service Connect
Puoi condividere le tue mesh App Mesh tra più AWS account utilizzando il AWS Resource Access Manager servizio. Una mesh condivisa consente alle risorse create da AWS account diversi di comunicare tra loro nella stessa mesh.
Un AWS account può essere il proprietario di una risorsa mesh, un consumatore mesh o entrambi. I consumatori possono creare risorse in una mesh condivisa con il proprio account. I proprietari possono creare risorse in qualsiasi mesh di proprietà dell'account. Il proprietario di una mesh può condividere una mesh con i seguenti tipi di consumatori di mesh.
-
AWS Account specifici all'interno o all'esterno della sua organizzazione in AWS Organizations
-
Un'unità organizzativa all'interno della propria organizzazione in AWS Organizations
-
La sua intera organizzazione in AWS Organizations
Per una guida end-to-end dettagliata sulla condivisione di una mesh, consulta la guida sulla rete mesh su GitHub più account
Concessione delle autorizzazioni per condividere le mesh
Quando si condividono le mesh tra account, sono necessarie le autorizzazioni per il IAM principale che condivide la mesh e le autorizzazioni a livello di risorsa necessarie per la mesh stessa.
Concessione dell'autorizzazione alla condivisione di una mesh
È richiesto un set minimo di autorizzazioni affinché un IAM principale condivida una rete. Ti consigliamo di utilizzare AWSAppMeshFullAccess
le IAM policy AWSResourceAccessManagerFullAccess
gestite per garantire che IAM i tuoi principali dispongano delle autorizzazioni necessarie per condividere e utilizzare le mesh condivise.
Se si utilizza una IAM politica personalizzata, sono necessarie le appmesh:PutMeshPolicy
appmesh:DeleteMeshPolicy
azioni e appmesh:GetMeshPolicy
le relative azioni. Si tratta di azioni che richiedono solo l'autorizzazione. IAM Se a un IAM principale non sono concesse queste autorizzazioni, si verificherà un errore durante il tentativo di condividere la mesh utilizzando il servizio. AWS RAM
Per ulteriori informazioni sul modo in cui viene utilizzato il AWS Resource Access Manager servizioIAM, consulta How AWS RAM uses IAM in the AWS Resource Access Manager User Guide.
Concessione delle autorizzazioni per una mesh
Una mesh condivisa dispone delle seguenti autorizzazioni.
-
I consumatori possono elencare e descrivere tutte le risorse in una mesh condivisa con l'account.
-
I proprietari possono elencare e descrivere tutte le risorse in qualsiasi mesh di proprietà dell'account.
-
I proprietari e i consumatori possono modificare le risorse in una mesh creata dall'account, ma non possono modificare le risorse create da altri account.
-
I consumatori possono eliminare qualsiasi risorsa in una mesh creata dall'account.
-
I proprietari possono eliminare qualsiasi risorsa in una mesh creata da qualsiasi account.
-
Le risorse del proprietario possono fare riferimento solo ad altre risorse dello stesso account. Ad esempio, un nodo virtuale può fare riferimento AWS Cloud Map solo a un AWS Certificate Manager certificato che si trova nello stesso account del proprietario del nodo virtuale.
-
I proprietari e i consumatori possono connettere un proxy Envoy ad App Mesh come nodo virtuale di proprietà dell'account.
-
I proprietari possono creare gateway virtuali e percorsi di gateway virtuali.
-
I proprietari e i consumatori possono elencare i tag e possono taggare/rimuovere i tag dalle risorse in una mesh creata dall'account. Non possono elencare tag e risorse tag/rimuovere tag in una mesh che non sono state create dall'account.
Le mesh condivise utilizzano un'autorizzazione basata su policy. Una mesh viene condivisa con un set fisso di autorizzazioni. Queste autorizzazioni vengono selezionate per essere aggiunte a una politica delle risorse e una IAM politica facoltativa può anche essere selezionata in base IAM all'utente/ruolo. L'intersezione delle autorizzazioni consentite in queste politiche, meno le autorizzazioni esplicite negate, determina l'accesso del principale alla rete.
Quando si condivide una mesh, il AWS Resource Access Manager servizio crea una policy gestita denominata AWSRAMDefaultPermissionAppMesh
e la associa all'App Mesh che fornisce le seguenti autorizzazioni.
-
appmesh:CreateVirtualNode
-
appmesh:CreateVirtualRouter
-
appmesh:CreateRoute
-
appmesh:CreateVirtualService
-
appmesh:UpdateVirtualNode
-
appmesh:UpdateVirtualRouter
-
appmesh:UpdateRoute
-
appmesh:UpdateVirtualService
-
appmesh:ListVirtualNodes
-
appmesh:ListVirtualRouters
-
appmesh:ListRoutes
-
appmesh:ListVirtualServices
-
appmesh:DescribeMesh
-
appmesh:DescribeVirtualNode
-
appmesh:DescribeVirtualRouter
-
appmesh:DescribeRoute
-
appmesh:DescribeVirtualService
-
appmesh:DeleteVirtualNode
-
appmesh:DeleteVirtualRouter
-
appmesh:DeleteRoute
-
appmesh:DeleteVirtualService
-
appmesh:TagResource
-
appmesh:UntagResource
Prerequisiti per la condivisione delle mesh
Per condividere una mesh, è necessario soddisfare i seguenti prerequisiti.
-
Devi essere il proprietario della mesh del tuo AWS account. Non puoi condividere una mesh che è stata condivisa con te.
-
Per condividere una mesh con la propria organizzazione o un'unità organizzativa AWS Organizations, è necessario abilitare la condivisione con AWS Organizations. Per ulteriori informazioni, consulta Abilita la condivisione con AWS Organizations nella Guida per l'utente AWS RAM .
-
I tuoi servizi devono essere distribuiti in un Amazon VPC con connettività condivisa tra gli account che includono le risorse mesh con cui desideri comunicare tra loro. Un modo per condividere la connettività di rete consiste nel distribuire tutti i servizi che desideri utilizzare nella rete mesh in una sottorete condivisa. Per ulteriori informazioni e limitazioni, consulta Condivisione di una sottorete.
-
I servizi devono essere rilevabili tramite DNS o. AWS Cloud Map Per ulteriori informazioni sulla scoperta dei servizi, consulta Nodi virtuali.
Servizi correlati
La condivisione della rete si integra con AWS Resource Access Manager (AWS RAM). AWS RAM è un servizio che ti consente di condividere AWS le tue risorse con qualsiasi AWS account o tramite AWS Organizations. Con AWS RAM, condividi le risorse di tua proprietà creando una condivisione di risorse. Una condivisione delle risorse specifica le risorse da condividere e gli utenti con cui condividerle. I consumatori possono essere singoli AWS account, unità organizzative o un'intera organizzazione AWS Organizations.
Per ulteriori informazioni in merito AWS RAM, consulta la Guida AWS RAM per l'utente.
Condivisione di una rete
La condivisione di una mesh consente alle risorse mesh create da account diversi di comunicare tra loro all'interno della stessa mesh. Puoi condividere solo una mesh di tua proprietà. Per condividere una mesh, è necessario aggiungerla a una condivisione di risorse. Una condivisione di risorse è una AWS RAM risorsa che consente di condividere le risorse tra AWS account. Una condivisione di risorse specifica le risorse da condividere e i consumatori con cui vengono condivise. Quando condividi una mesh utilizzando la console Amazon Linux, la aggiungi a una condivisione di risorse esistente. Per aggiungere la mesh a una nuova condivisione di risorse, crea la condivisione di risorse utilizzando la AWS RAM console
Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, ai consumatori dell'organizzazione può essere concesso automaticamente l'accesso alla rete mesh condivisa. In caso contrario, i consumatori ricevono un invito a partecipare alla condivisione di risorse e ottengono l'accesso alla mesh condivisa dopo aver accettato l'invito.
Puoi condividere una mesh di tua proprietà utilizzando la AWS RAM console o il AWS CLI.
Per condividere una mesh di tua proprietà utilizzando la AWS RAM console
Per istruzioni, consulta Creazione di una condivisione di risorse nella Guida AWS RAM per l'utente. Quando selezioni un tipo di risorsa, seleziona Mesh, quindi seleziona la mesh che desideri condividere. Se non è elencata alcuna mesh, create prima una mesh. Per ulteriori informazioni, consulta Creazione di una service mesh.
Per condividere una mesh di tua proprietà, usa il AWS CLI
Usa il create-resource-sharecomando. Per l'--resource-arns
opzione, ARN specificate la mesh che desiderate condividere.
Annullamento della condivisione di una mesh condivisa
Quando annulli la condivisione di una mesh, App Mesh disabilita l'ulteriore accesso alla mesh da parte degli ex utenti della mesh. Tuttavia, App Mesh non elimina le risorse create dai consumatori. Dopo che la mesh non è condivisa, solo il proprietario della mesh può accedere alle risorse ed eliminarle. App Mesh impedisce all'account che possedeva le risorse nella mesh di ricevere informazioni di configurazione dopo che la mesh non è stata condivisa. App Mesh impedisce inoltre a qualsiasi altro account con risorse nella mesh di ricevere informazioni di configurazione da una mesh non condivisa. Solo il proprietario della mesh può annullarne la condivisione.
Per annullare la condivisione di una mesh condivisa di tua proprietà, devi rimuoverla dalla condivisione di risorse. Puoi farlo utilizzando la AWS RAM console o il AWS CLI.
Per annullare la condivisione di una mesh condivisa di tua proprietà utilizzando la console AWS RAM
Per istruzioni, consulta Aggiornamento di una condivisione di risorse nella Guida per l'AWS RAM utente.
Per annullare la condivisione di una mesh condivisa di tua proprietà, utilizza il AWS CLI
Usa il disassociate-resource-sharecomando.
Identificazione di una rete condivisa
Proprietari e consumatori possono identificare mesh e risorse mesh condivise utilizzando la console Amazon Linux e AWS CLI
Per identificare una mesh condivisa utilizzando la console Amazon Linux
-
Apri la console App Mesh all'indirizzo https://console.aws.amazon.com/appmesh/
. -
Dalla barra di navigazione a sinistra, seleziona Meshes. L'ID dell'account del proprietario della mesh per ogni mesh è elencato nella colonna Proprietario della mesh.
-
Dalla barra di navigazione a sinistra, seleziona Servizi virtuali, Router virtuali o Nodi virtuali. Vengono visualizzati l'ID dell'account del proprietario della rete Mesh e il proprietario della risorsa per ciascuna risorsa.
Per identificare una mesh condivisa utilizzando il AWS CLI
Usate il aws appmesh list
comando, ad esempioresource
aws appmesh list-meshes
. Il comando restituisce le mesh che possiedi e le mesh condivise con te. La meshOwner
proprietà mostra l'ID dell' AWS
account meshOwner
e la resourceOwner
proprietà mostra l'ID dell' AWS account del proprietario della risorsa. Qualsiasi comando eseguito su qualsiasi risorsa mesh restituisce queste proprietà.
I tag definiti dall'utente che alleghi a una mesh condivisa sono disponibili solo per i tuoi Account AWS. Non sono disponibili per gli altri account con cui è condivisa la mesh. Al aws appmesh list-tags-for-resource
comando per una mesh in un altro account viene negato l'accesso.
Fatturazione e misurazione
Non sono previsti costi per la condivisione di una rete.
Quote di istanze
Tutte le quote per una mesh si applicano anche alle mesh condivise, indipendentemente da chi ha creato le risorse nella mesh. Solo il proprietario di una mesh può richiedere aumenti delle quote. Per ulteriori informazioni, consulta Quote del servizio App Mesh. Il AWS Resource Access Manager servizio prevede anche delle quote. Per ulteriori informazioni, consulta Service Quotas.