搭配 VPC 端點使用應用程式執行器 - AWS App Runner
為應用程式執行器設定 VPC 端點VPC 網路隱私權考量使用端點政策搭配 VPC 端點來控制存取與介面端點整合

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 VPC 端點使用應用程式執行器

您的 AWS 應用程式可能會將 AWS App Runner 服務與 AWS 服務 從 Amazon 虛擬私有雲 (Amazon VPC) 在 VPC 中執行的其他服務整合。部分應用程式可能會從 VPC 內向應用程式執行器發出要求。例如,您可 AWS CodePipeline 以使用持續部署到您的應用程式執行器服務。提高應用程序安全性的一種方法是通過 VPC 端點發送這些 App Runner 請求(並將請求發送給其他請求 AWS 服務)。

使用 VPC 端點,您可以將您的 VPC 以私密方式連接到由支援的 VPC 端點服務 AWS 服務 和 VPC 端點服務。 AWS PrivateLink您不需要網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。

VPC 中的資源不會使用公用 IP 位址與應用程式執行器資源進行互動。您的 VPC 和應用程序運行器之間的流量不會離開 Amazon 網絡。如需 VPC 端點的詳細資訊,請參閱指AWS PrivateLink 南中的 VPC 端點

注意

默認情況下,應用程序運行器服務中的 Web 應用程序在應用程序運行器提供和配置的 VPC 中運行。這個 VPC 是公開的。這意味著它已連接到互聯網。您可以選擇將應用程式與自訂 VPC 產生關聯。如需詳細資訊,請參閱 為傳出流量啟用 VPC 存取

您可以將服務設定為存取網際網路 (包括 AWS API),即使您的服務已連線至 VPC 也是如此。如需如何針對 VPC 輸出流量啟用公用網際網路存取的指示,請參閱選取子網路時的考量

應用程式執行程式不支援為您的應用程式建立 VPC 端點。

為應用程式執行器設定 VPC 端點

若要在 VPC 中為 App Runner 服務建立介面 VPC 端點,請遵循指南中的建立介面端點程序。AWS PrivateLink Service Name (服務名稱) 中,選擇 com.amazonaws.region.apprunner

VPC 網路隱私權考量

重要

針對 App Runner 使用 VPC 端點並不能確保來自 VPC 的所有流量都不會離開網際網路。VPC 可能是公開的。此外,解決方案的某些部分可能不會使用 VPC 端點進行 AWS API 呼叫。例如, AWS 服務 可能會使用其公有端點呼叫其他服務。如果 VPC 中的解決方案需要流量隱私,請閱讀本節。

若要確保 VPC 中網路流量的隱私權,請考慮下列事項:

  • 啟用 DNS 名稱 — 部分應用程式可能仍會使用apprunner.region.amazonaws.com公用端點透過網際網路傳送要求給 App Runner。如果您的 VPC 設定了網際網路存取,則這些要求會成功,而不會有任何指示。您可以確保在建立端點時啟用「啟用 DNS 名稱」,以防止這種情況發生。默認情況下,它設置為 true。這會在 VPC 中新增 DNS 項目,此項目會將公有服務端點映射至界面 VPC 端點。

  • 為其他服務設定 VPC 端點 — 您的解決方案可能會將請求傳送給其他 AWS 服務服務。例如, AWS CodePipeline 可能會將請求傳送至 AWS CodeBuild。為這些服務設定 VPC 端點,並在這些端點上啟用 DNS 名稱。

  • 定私人虛擬私人雲端 — 如果可能 (如果您的解決方案根本不需要網際網路存取),請將您的 VPC 設定為私有,這表示它沒有網際網路連線。這可確保遺失的 VPC 端點會導致可見錯誤,以便您可以新增遺失的端點。

使用端點政策搭配 VPC 端點來控制存取

應用程式執行器不支援 VPC 端點原則。默認情況下,允許通過接口端點對應用程序運行器的完全訪問。或者,您可以將安全群組與端點網路介面相關聯,以控制透過介面端點傳送至 App Runner 的流量。

與介面端點整合

應用程序運行器支持 AWS PrivateLink,它為應用程序運行器提供私人連接,並消除了流量暴露在互聯網上。若要讓您的應用程式能夠使用將要求傳送至 App Runner AWS PrivateLink,請設定一種稱為介面端點的 VPC 端點類型。如需詳細資訊,請參閱AWS PrivateLink 指南中的介面 VPC 端點 (AWS PrivateLink)