本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
App Mesh 接口VPC端点 (AWS PrivateLink)
重要
终止支持通知:2026 年 9 月 30 日, AWS 将停止对的支持。 AWS App Mesh 2026 年 9 月 30 日之后,您将无法再访问 AWS App Mesh 控制台或 AWS App Mesh 资源。如需了解更多信息,请访问此博客文章从迁移 AWS App Mesh 到 Amazon S ECS ervice Connect
您可以将 App Mesh 配置为使用接口VPC终端节点,从而改善亚马逊VPC的安全状况。接口端点由一项技术提供支持 AWS PrivateLink,该技术使您能够使用私有 IP 地址私密访问 App Mesh APIs。 PrivateLink将您的亚马逊VPC和 App Mesh 之间的所有网络流量限制到亚马逊网络。
您无需进行配置 PrivateLink,但我们建议您这样做。有关 PrivateLink 和接口VPC端点的更多信息,请参阅通过访问服务 AWS PrivateLink。
App Mesh 接口VPC端点的注意事项
在为 App Mesh 设置接口VPC端点之前,请注意以下注意事项:
-
如果您的 Amazon VPC 没有 Internet 网关,并且您的任务使用
awslogs日志驱动程序将日志信息发送到 Lo CloudWatch gs,则必须为 CloudWatch 日志创建接口VPC终端节点。有关更多信息,请参阅 Amazon Logs 用户指南中的将 CloudWatch CloudWatch 日志与接口VPC终端节点一起使用。 -
VPC终端节点不支持 AWS 跨区域请求。确保在计划向 App Mesh 发出API调用的同一区域创建终端节点。
-
VPC终端节点仅支持DNS亚马逊通过 Amazon Route 53 提供的服务。如果您想使用自己的转发DNS,则可以使用条件DNS转发。有关更多信息,请参阅 Amazon VPC 用户指南中的DHCP选项集。
-
连接到VPC终端节点的安全组必须允许从 Amazon VPC 的私有子网通过端口 443 进行传入连接。
注意
Envoy 连接不支持通过向端点附加端VPC点策略(例如,使用服务名称
com.amazonaws.)来控制对 App Mesh 的访问。Region.appmesh-envoy-management
有关其他注意事项和限制,请参阅接口端点可用区域注意事项和接口端点属性和限制。
为 App Mesh 创建接口VPC端点
要为 App Mesh 服务创建接口VPC终端节点,请使用亚马逊VPC用户指南中的创建接口终端节点程序。com.amazonaws. 为连接到 App Mesh 的公共 Envoy 管理服务的 Envoy 代理以及 Region.appmesh-envoy-managementcom.amazonaws. 网格操作指定服务名称。Region.appmesh
注意
Region 表示 App Mesh 支持的 AWS 区域(例如us-east-2美国东部(俄亥俄州)区域的区域标识符。
尽管您可以在任何支持 App Mesh 的区域中为 App Mesh 定义接口VPC端点,但可能无法为每个区域中的所有可用区域定义一个端点。要了解某个区域中的接口VPC终端节点支持哪些可用区,请使用describe-vpc-endpoint-services 命令或使用 AWS Management Console。例如,以下命令返回可在美国东部(俄亥俄州)区域内部署 App Mesh 接口VPC终端节点的可用区域:
aws --regionus-east-2ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
aws --regionus-east-2ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'
