本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 VPC 端點使用 App Runner
您的 AWS 應用程式可能會將 AWS App Runner 服務與從 Amazon Virtual Private Cloud (Amazon VPC) 在 VPC 中執行 AWS 服務 的其他 整合。應用程式的一部分可能會從 VPC 內向 App Runner 提出請求。例如,您可以使用 AWS CodePipeline 來持續部署到 App Runner 服務。改善應用程式安全性的一種方法是透過 VPC 端點傳送這些 App Runner 請求 (以及對其他 的請求 AWS 服務)。
使用 VPC 端點,您可以私下將 VPC 連線至支援 AWS 服務 和由 提供支援的 VPC 端點服務 AWS PrivateLink。您不需要網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。
VPC 中的資源不會使用公有 IP 地址與 App Runner 資源互動。VPC 和 App Runner 之間的流量不會離開 Amazon 網路。如需 VPC 端點的詳細資訊,請參閱 AWS PrivateLink 指南中的 VPC 端點。
注意
根據預設,App Runner 服務中的 Web 應用程式會在 App Runner 提供和設定的 VPC 中執行。此 VPC 為公有。這表示其已連線至網際網路。您可以選擇性地將應用程式與自訂 VPC 建立關聯。如需詳細資訊,請參閱啟用傳出流量的 VPC 存取 。
您可以設定您的服務以存取網際網路,包括 AWS APIs,即使您的服務已連線至 VPC。如需如何為 VPC 傳出流量啟用公有網際網路存取的說明,請參閱 選取子網路時的考量事項 。
App Runner 不支援為您的應用程式建立 VPC 端點。
設定 App Runner 的 VPC 端點
若要在 VPC 中建立 App Runner 服務的介面 VPC 端點,請遵循 AWS PrivateLink 指南中的建立介面端點程序。在 Service Name (服務名稱) 中,選擇 com.amazonaws.。region.apprunner
VPC 網路隱私權考量事項
重要
將 VPC 端點用於 App Runner 並不保證來自 VPC 的所有流量都保持網際網路。VPC 可能是公有的。此外,您解決方案的某些部分可能不會使用 VPC 端點進行 AWS API 呼叫。例如, AWS 服務 可能會使用其公有端點呼叫其他服務。如果 VPC 中的解決方案需要流量隱私權,請閱讀本節。
為了確保 VPC 中網路流量的隱私權,請考慮下列事項:
-
啟用 DNS 名稱 – 您應用程式的一部分可能仍會使用
apprunner.公有端點透過網際網路將請求傳送至 App Runner。如果您的 VPC 已設定網際網路存取,則這些請求會成功,而沒有對您的指示。您可以在建立端點時確保啟用 DNS 名稱已啟用,以防止這種情況發生。根據預設,它會設為 true。這會在 VPC 中新增 DNS 項目,此項目會將公有服務端點映射至界面 VPC 端點。region.amazonaws.com -
設定其他服務的 VPC 端點 – 您的解決方案可能會將請求傳送給其他 AWS 服務。例如, AWS CodePipeline 可能會將請求傳送至 AWS CodeBuild。為這些服務設定 VPC 端點,並啟用這些端點上的 DNS 名稱。
-
設定私有 VPC – 如果可能 (如果您的解決方案完全不需要網際網路存取),請將 VPC 設定為私有,這表示它沒有網際網路連線。這可確保缺少的 VPC 端點會導致可見錯誤,因此您可以新增缺少的端點。
使用端點政策搭配 VPC 端點來控制存取
App Runner 不支援 VPC 端點政策。根據預設,允許透過介面端點完整存取 App Runner。或者,您可以將安全群組與端點網路介面建立關聯,以控制透過介面端點傳送至 App Runner 的流量。
與介面端點整合
App Runner 支援 AWS PrivateLink,可提供私有連線給 App Runner,並消除流量暴露到網際網路。若要讓您的應用程式使用 傳送請求至 App Runner AWS PrivateLink,請設定稱為介面端點的 VPC 端點類型。如需詳細資訊,請參閱 AWS PrivateLink 指南中的界面 VPC 端點 (AWS PrivateLink)。
