Usando o App Runner com VPC endpoints - AWS App Runner
Configurando um VPC endpoint para o App RunnerConsiderações sobre a privacidade da rede VPCUsar políticas de endpoint para controlar o acesso com VPC endpointsIntegração com o endpoint de interface

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o App Runner com VPC endpoints

Seu AWS aplicativo pode integrar AWS App Runner serviços com outros Serviços da AWS que são executados em uma VPC a partir da Amazon Virtual Private Cloud (Amazon VPC). Partes do seu aplicativo podem fazer solicitações ao App Runner de dentro da VPC. Por exemplo, você pode usar AWS CodePipeline para implantar continuamente em seu serviço App Runner. Uma forma de melhorar a segurança do seu aplicativo é enviar essas solicitações do App Runner (e solicitações para outros Serviços da AWS) por meio de um VPC endpoint.

Usando um VPC endpoint, você pode conectar de forma privada sua VPC a serviços de endpoint de VPC compatíveis Serviços da AWS e baseados em. AWS PrivateLink Você não precisa de um gateway de internet, dispositivo NAT, conexão VPN ou AWS Direct Connect conexão.

Os recursos em sua VPC não usam endereços IP públicos para interagir com os recursos do App Runner. O tráfego entre sua VPC e o App Runner não sai da rede Amazon. Para obter mais informações sobre VPC endpoints, consulte VPC endpoints no Guia.AWS PrivateLink

nota

Por padrão, o aplicativo web em seu serviço App Runner é executado em uma VPC que o App Runner fornece e configura. Essa VPC é pública. Isso significa que ele está conectado à internet. Opcionalmente, você pode associar seu aplicativo a uma VPC personalizada. Para ter mais informações, consulte Habilitando o acesso à VPC para tráfego de saída .

Você pode configurar seus serviços para acessar a Internet, incluindo AWS APIs, mesmo quando o serviço está conectado a uma VPC. Para obter instruções sobre como habilitar o acesso público à Internet para o tráfego de saída da VPC, consulte. Considerações ao selecionar uma sub-rede

O App Runner não oferece suporte à criação de um VPC endpoint para seu aplicativo.

Configurando um VPC endpoint para o App Runner

Para criar a interface VPC endpoint para o serviço App Runner em sua VPC, siga o procedimento Criar um endpoint de interface no Guia.AWS PrivateLink Em Service Name (Nome do serviço), escolha com.amazonaws.region.apprunner.

Considerações sobre a privacidade da rede VPC

Importante

Usar um VPC endpoint para o App Runner não garante que todo o tráfego da sua VPC permaneça fora da Internet. A VPC pode ser pública. Além disso, algumas partes da sua solução podem não usar VPC endpoints para fazer AWS chamadas de API. Por exemplo, Serviços da AWS pode ligar para outros serviços usando seus endpoints públicos. Se a privacidade do tráfego for necessária para a solução em sua VPC, leia esta seção.

Para garantir a privacidade do tráfego de rede em sua VPC, considere o seguinte:

  • Ativar nome DNS — partes do seu aplicativo ainda podem enviar solicitações ao App Runner pela Internet usando o endpoint apprunner.region.amazonaws.com público. Se sua VPC estiver configurada com acesso à Internet, essas solicitações serão bem-sucedidas sem nenhuma indicação para você. Você pode evitar isso garantindo que a opção Ativar nome DNS esteja ativada ao criar o endpoint. Por padrão, está definido como verdadeiro. Isso adiciona uma entrada DNS em sua VPC, que mapeia o endpoint público de serviço para o VPC endpoint de interface.

  • Configure endpoints VPC para serviços adicionais — sua solução pode enviar solicitações para outras pessoas. Serviços da AWS Por exemplo, AWS CodePipeline pode enviar solicitações para AWS CodeBuild. Configure endpoints VPC para esses serviços e habilite nomes DNS nesses endpoints.

  • Configurar uma VPC privada — Se possível (se sua solução não precisar de acesso à Internet), configure sua VPC como privada, o que significa que ela não tem conexão com a Internet. Isso garante que um VPC endpoint ausente cause um erro visível, para que você possa adicionar o endpoint ausente.

Usar políticas de endpoint para controlar o acesso com VPC endpoints

As políticas de VPC endpoint não são compatíveis com o App Runner. Por padrão, o acesso total ao App Runner é permitido por meio do endpoint da interface. Como alternativa, você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o App Runner por meio do endpoint da interface.

Integração com o endpoint de interface

Suporte ao App Runner AWS PrivateLink, que fornece conectividade privada ao App Runner e elimina a exposição do tráfego à Internet. Para permitir que seu aplicativo envie solicitações ao App Runner usando AWS PrivateLink, configure um tipo de VPC endpoint conhecido como endpoint de interface. Para mais informações, consulte Endpoints da VPC de interface(AWS PrivateLink) no Guia AWS PrivateLink .