Gestione dell'endpoint privato - AWS App Runner
Console App RunnerAPI App Runner o AWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione dell'endpoint privato

Gestisci l'endpoint privato per il traffico in entrata utilizzando uno dei seguenti metodi:

Nota

Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché gli ACL Web WAF. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Di conseguenza, le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP.

Per ulteriori informazioni sulla sicurezza dell'infrastruttura e sui gruppi di sicurezza, comprese le best practice, consulta i seguenti argomenti nella Guida per l'utente di Amazon VPC: Controllo del traffico di rete e Controllo del traffico verso le risorse AWS utilizzando gruppi di sicurezza.

Console App Runner

Quando crei un servizio utilizzando la console App Runner o quando ne aggiorni la configurazione in un secondo momento, puoi scegliere di configurare il traffico in entrata.

Per configurare il traffico in entrata, scegli una delle seguenti opzioni.

  • Endpoint pubblico: per rendere il servizio accessibile a tutti i servizi su Internet. Per impostazione predefinita, è selezionato Public endpoint.

  • Endpoint privato: per rendere il servizio App Runner accessibile solo all'interno di un Amazon VPC.

Nota

Attualmente, App Runner supporta IPv6 solo per endpoint pubblici. Gli endpoint IPv6 non sono supportati per i servizi App Runner ospitati in un Amazon Virtual Private Cloud (Amazon VPC). Se aggiorni un servizio che utilizza un endpoint pubblico dual-stack a un endpoint privato, per impostazione predefinita il servizio App Runner supporta il traffico proveniente solo dagli endpoint IPv4 e non riesce a ricevere traffico dagli endpoint IPv6.

Abilita l'endpoint privato

Abilita un endpoint privato associandolo all'endpoint dell'interfaccia VPC dell'Amazon VPC a cui desideri accedere. Puoi creare un nuovo endpoint di interfaccia VPC o sceglierne uno esistente.

Per creare un endpoint di interfaccia VPC

  1. Apri la console App Runner e, nell'elenco Regioni, seleziona la tua. Regione AWS

  2. Vai alla sezione Rete in Configura servizio.

  3. Scegli Endpoint privato, per il traffico di rete in entrata. Si aprono le opzioni per connettersi a un VCP utilizzando l'endpoint dell'interfaccia VPC.

  4. Scegli Crea nuovo endpoint. Viene visualizzata la finestra di dialogo Crea nuovo endpoint dell'interfaccia VPC.

  5. Inserisci un nome per l'endpoint dell'interfaccia VPC.

  6. Scegli l'endpoint dell'interfaccia VPC richiesto dall'elenco a discesa disponibile.

  7. Scegli il gruppo di sicurezza dall'elenco a discesa. L'aggiunta di gruppi di sicurezza fornisce un ulteriore livello di sicurezza all'endpoint dell'interfaccia VPC. Si consiglia di scegliere due o più gruppi di sicurezza. Se non scegli un gruppo di sicurezza, App Runner assegna un gruppo di sicurezza predefinito all'endpoint dell'interfaccia VPC. Assicurati che le regole del gruppo di sicurezza non blocchino le risorse che desiderano comunicare con il tuo servizio App Runner. Le regole del gruppo di sicurezza devono consentire alle risorse di interagire con il servizio App Runner.

    Nota

    Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché gli ACL Web WAF. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Di conseguenza, le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP.

    Per ulteriori informazioni sulla sicurezza dell'infrastruttura e sui gruppi di sicurezza, comprese le best practice, consulta i seguenti argomenti nella Guida per l'utente di Amazon VPC: Controllo del traffico di rete e Controllo del traffico verso le risorse AWS utilizzando gruppi di sicurezza.

  8. Scegli le sottoreti richieste dall'elenco a discesa. Si consiglia di selezionare almeno due sottoreti per ogni zona di disponibilità da cui accedere al servizio App Runner.

  9. (Facoltativo) Scegliete Aggiungi nuovo tag e inserite la chiave del tag e il valore del tag.

  10. Scegli Crea. Si apre la pagina Configura servizio che mostra il messaggio di corretta creazione dell'endpoint dell'interfaccia VPC sulla barra in alto.

Per scegliere un endpoint di interfaccia VPC esistente

  1. Apri la console App Runner e, nell'elenco Regioni, seleziona la tua. Regione AWS

  2. Vai alla sezione Rete in Configura servizio.

  3. Scegli Endpoint privato, per il traffico di rete in entrata. Si aprono le opzioni per connettersi a un VPC utilizzando l'endpoint dell'interfaccia VPC. Viene visualizzato un elenco degli endpoint dell'interfaccia VPC disponibili.

  4. Scegli l'endpoint di interfaccia VPC richiesto elencato in Endpoint dell'interfaccia VPC.

  5. Scegli Avanti per creare il tuo servizio. App Runner abilita l'endpoint privato.

    Nota

    Dopo aver creato il servizio, puoi scegliere di modificare i gruppi di sicurezza e le sottoreti associati all'endpoint dell'interfaccia VPC, se necessario.

    Per controllare i dettagli dell'endpoint privato, vai al tuo servizio ed espandi la sezione Rete nella scheda Configurazione. Mostra i dettagli del VPC e dell'endpoint dell'interfaccia VPC associati all'endpoint privato.

Aggiorna l'endpoint dell'interfaccia VPC

Dopo aver creato il servizio App Runner, puoi modificare l'endpoint dell'interfaccia VPC associato all'endpoint privato.

Nota

Non è possibile aggiornare il nome dell'endpoint e i campi VPC.

Per aggiornare l'endpoint dell'interfaccia VPC

  1. Apri la console App Runner e, nell'elenco Regioni, seleziona la tua. Regione AWS

  2. Vai al tuo servizio e scegli Configurazioni di rete nel pannello di sinistra.

  3. Scegli Traffico in entrata per visualizzare gli endpoint dell'interfaccia VPC associati ai rispettivi servizi.

  4. Scegli l'endpoint dell'interfaccia VPC che desideri modificare.

  5. Scegli Modifica. Si apre la finestra di dialogo per modificare l'endpoint dell'interfaccia VPC.

  6. Scegli i gruppi di sicurezza e le sottoreti richiesti e fai clic su Aggiorna. La pagina che mostra i dettagli dell'endpoint dell'interfaccia VPC si apre con il messaggio di aggiornamento riuscito dell'endpoint dell'interfaccia VPC sulla barra in alto.

    Nota

    Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché gli ACL Web WAF. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Di conseguenza, le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP.

    Per ulteriori informazioni sulla sicurezza dell'infrastruttura e sui gruppi di sicurezza, comprese le best practice, consulta i seguenti argomenti nella Guida per l'utente di Amazon VPC: Controllo del traffico di rete e Controllo del traffico verso le risorse AWS utilizzando gruppi di sicurezza.

Eliminare l'endpoint dell'interfaccia VPC

Se non desideri che il servizio App Runner sia accessibile privatamente, puoi impostare il traffico in entrata su Pubblico. La modifica a Pubblico rimuove l'endpoint privato, ma non elimina l'endpoint dell'interfaccia VPC

Per eliminare l'endpoint dell'interfaccia VPC

  1. Apri la console App Runner e, nell'elenco Regioni, seleziona la tua. Regione AWS

  2. Vai al tuo servizio e scegli Configurazioni di rete nel pannello di sinistra.

  3. Scegli Traffico in entrata per visualizzare gli endpoint dell'interfaccia VPC associati ai rispettivi servizi.

    Nota

    Prima di eliminare un endpoint di interfaccia VPC, rimuovilo da tutti i servizi a cui è connesso aggiornando il servizio.

  4. Scegli Elimina.

    Se ci sono servizi collegati all'endpoint dell'interfaccia VPC, riceverai il messaggio Impossibile eliminare l'endpoint dell'interfaccia VPC. Se non ci sono servizi collegati all'endpoint dell'interfaccia VPC, riceverai un messaggio per confermare l'eliminazione.

  5. Scegli Elimina. Si apre la pagina delle configurazioni di rete per il traffico in entrata con il messaggio di avvenuta eliminazione dell'endpoint dell'interfaccia VPC nella barra superiore.

API App Runner o AWS CLI

Puoi distribuire un'applicazione su App Runner accessibile solo dall'interno di un Amazon VPC.

Per informazioni sulle autorizzazioni necessarie per rendere privato il servizio, consulta. Autorizzazioni

Nota

Attualmente, App Runner supporta IPv6 solo per gli endpoint pubblici. Gli endpoint IPv6 non sono supportati per i servizi App Runner ospitati in un Amazon Virtual Private Cloud (Amazon VPC). Se aggiorni un servizio che utilizza un endpoint pubblico dual-stack a un endpoint privato, per impostazione predefinita il servizio App Runner supporta il traffico proveniente solo dagli endpoint IPv4 e non riesce a ricevere traffico dagli endpoint IPv6.

Per creare una connessione di servizio privata ad Amazon VPC

  1. Crea un endpoint di interfaccia VPC, una AWS PrivateLink risorsa, per connetterti ad App Runner. Per fare ciò, specifica le sottoreti e i gruppi di sicurezza da associare all'applicazione. Di seguito è riportato un esempio di creazione di un endpoint di interfaccia VPC.

    Nota

    Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché gli ACL Web WAF. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Di conseguenza, le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP.

    Per ulteriori informazioni sulla sicurezza dell'infrastruttura e sui gruppi di sicurezza, comprese le best practice, consulta i seguenti argomenti nella Guida per l'utente di Amazon VPC: Controllo del traffico di rete e Controllo del traffico verso le risorse AWS utilizzando gruppi di sicurezza.

    aws ec2 create-vpc-endpoint
 --vpc-endpoint-type: Interface
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --subnets: subnet1, subnet2
 --security-groups: sg1

  2. Fai riferimento all'endpoint dell'interfaccia VPC utilizzando le azioni dell'API CreateServiceo UpdateServiceApp Runner tramite la CLI. Configura il tuo servizio in modo che non sia accessibile al pubblico. IsPubliclyAccessibleImposta su False nel IngressConfiguration membro del NetworkConfiguration parametro. Di seguito è riportato un esempio di riferimento all'endpoint dell'interfaccia VPC. 

    aws apprunner create-service
 --network-configuration: ingress-configuration=<ingress_configuration>
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --source-configuration: <source_configuration>
 # Ingress Configuration
 {
 "IsPubliclyAccessible": False 
 }

  3. Richiama l'azione create-vpc-ingress-connection API per creare la risorsa VPC Ingress Connection per App Runner e associarla all'endpoint dell'interfaccia VPC creato nel passaggio precedente. Restituisce un nome di dominio utilizzato per accedere al servizio nel VPC specificato. Di seguito è riportato un esempio di creazione di una risorsa VPC Ingress Connection.

    Esempio Richiesta
    aws apprunner create-vpc-ingress-connection
 --service-arn: <apprunner_service_arn>
 --ingress-vpc-configuration: {"VpcId":<vpc_id>, "VpceId": <vpce_id>}
 --vpc-ingress-connection-name: <vic_connection_name>
    Esempio Risposta
    {
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_CREATION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>
}

Aggiorna la connessione VPC Ingress

È possibile aggiornare la risorsa VPC Ingress Connection. La connessione di ingresso VPC deve trovarsi in uno dei seguenti stati per essere aggiornata:

  • DISPONIBILE

  • CREAZIONE FALLITA

  • AGGIORNAMENTO_FALLITO

Di seguito è riportato un esempio di aggiornamento di una risorsa VPC Ingress Connection.

Esempio Richiesta
aws apprunner update-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
Esempio Risposta
{
    "VpcIngressConnectionArn":  <vpc_ingress_connection_arn>,
    "VpcIngressConnectionName":  <vic_connection_name>,
    "ServiceArn":  <apprunner_service_arn>,
    "Status": "FAILED_UPDATE",
    "AccountId":  <connection_owner_id>,
    "DomainName":  <domain_name_associated_with_vpce>,
    "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
    "CreatedAt":  <date_created>
}

Eliminare la connessione di ingresso VPC

Puoi eliminare la risorsa VPC Ingress Connection se non hai più bisogno della connessione privata ad Amazon VPC.

La connessione di ingresso VPC deve trovarsi in uno dei seguenti stati per essere eliminata:

  • DISPONIBILE

  • CREAZIONE NON RIUSCITA

  • AGGIORNAMENTO NON RIUSCITO

  • ELIMINAZIONE NON RIUSCITA

Di seguito è riportato un esempio di eliminazione di una connessione di ingresso VPC

Esempio Richiesta
aws apprunner delete-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
Esempio Risposta
{
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_DELETION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>,
   "DeletedAt": <date_deleted>
}

Utilizza le seguenti azioni dell'API App Runner per gestire il traffico privato in entrata per il tuo servizio.

Per ulteriori informazioni sull'utilizzo dell'API App Runner, consulta la guida di riferimento dell'API App Runner.