本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使 AWS Batch 用介面端點存取
您可以使 AWS PrivateLink 用在VPC和之間建立私人連線 AWS Batch。您可以 AWS Batch 像在您的一樣訪問VPC,而無需使用 Internet 網關,NAT設備,VPN連接或 AWS Direct Connect 連接。您中的執行個體VPC不需要公用 IP 位址即可存取 AWS Batch。
您可以建立由 AWS PrivateLink提供支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可作為目的地為 AWS Batch之流量的進入點。
如需詳細資訊,請參閱AWS PrivateLink 指南中的介面VPC端點。
的注意事項 AWS Batch
設定的介面端點之前 AWS Batch,請先檢閱AWS PrivateLink 指南中的介面端點內容和限制。
AWS Batch 支援透過介面端點呼叫其所有API動作。
在設定的介面VPC端點之前 AWS Batch,請注意下列考量事項:
-
使用 Fargate 資源啟動類型的任務不需要 Amazon 的界面VPC端點ECS,但您可能需要 Amazon AWS Batch ECR、Secrets Manager 或 Amazon CloudWatch 日誌的界面VPC端點,如以下幾點所述。
-
若要執行任務,您必須為 Amazon 建立介面VPC端點ECS。如需詳細資訊,請參閱 Amazon 彈性容器服務開發人員指南中的介面VPC端點 (AWS PrivateLink)。
-
若要允許您的任務從 Amazon 提取私有映像ECR,您必須為 Amazon 建立介面VPC端點ECR。如需詳細資訊,請參閱 Amazon 彈性容器登錄使用者指南中的介面VPC端點 (AWS PrivateLink)。
-
若要允許您的工作從 Secrets Manager 提取機密資料,您必須為 Secrets Manager 建立介面VPC端點。如需詳細資訊,請參閱使用指南中的將 Secrets Manager 與VPC端點搭配AWS Secrets Manager使用。
-
如果您VPC沒有網際網路閘道,而您的工作使用記
awslogs錄驅動程式將記錄檔資訊傳送至 CloudWatch 記錄檔,則必須為 CloudWatch 記錄檔建立介面VPC端點。如需詳細資訊,請參閱 Amazon CloudWatch 日誌使用指南中的將 CloudWatch 日誌與界面VPC端點搭配使用。
-
-
使用EC2資源的任務需要啟動它們的容器執行個體,才能執行 Amazon ECS 容器代理程式的版本
1.25.1或更新版本。如需詳細資訊,請參閱 Amazon 彈性容器服務開發人員指南中的 Amazon ECS Linux 容器代理程式版本。 -
VPC端點目前不支援跨區域要求。請務必在您打算向其發出API電話的相同區域中建立端點 AWS Batch。
-
VPC端點僅支持 Amazon DNS 通過 Amazon 路線 53 提供的。如果你想使用自己的DNS,你可以使用條件DNS轉發。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的DHCP選項集。
-
連接至VPC端點的安全性群組必須允許來自的私人子網路連入連接埠 443。VPC
-
AWS Batch 在以下情況中不支援VPC介面端點 AWS 區域:
-
亞太區域 (大阪) (
ap-northeast-3) -
亞太區域 (雅加達) (
ap-southeast-3)
-
建立的介面端點 AWS Batch
您可以建立 AWS Batch 使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI) 的介面端點。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的建立介面端點。
建立 AWS Batch 使用下列服務名稱的介面端點:
com.amazonaws.region.batch
例如:
com.amazonaws.us-east-2.batch
在分aws-cn區中,格式不同:
cn.com.amazonaws.region.batch
例如:
cn.com.amazonaws.cn-northwest-1.batch
如果您DNS為介面端點啟用 private,您可以 AWS Batch 使用其預設地區DNS名稱提出API要求。例如:batch.us-east-1.amazonaws.com。
如需詳細資訊,請參閱指AWS PrivateLink 南中的透過介面端點存取服務。
為您的介面端點建立端點政策
端點策略是您可以附加到介面端點的IAM資源。預設端點策略允許 AWS Batch 透過介面端點進行完整存取。若要控制 AWS Batch 從您的允許存取VPC,請將自訂端點原則附加到介面端點。
端點政策會指定以下資訊:
-
可以執行動作 (AWS 帳戶、使用者和IAM角色) 的主參與者。
-
可執行的動作。
-
可供執行動作的資源。
如需詳細資訊,請參閱《AWS PrivateLink 指南》中的使用端點政策控制對服務的存取。
範例: AWS Batch 處理行動的VPC端點策略
以下是自訂端點政策的範例。當您將此原則附加到介面端點時,它會授與所有資源上所有主參與者所列 AWS Batch 動作的存取權。
{ "Statement": [ { "Principal": "*", "Effect": "Allow", "Action": [ "batch:SubmitJob", "batch:ListJobs", "batch:DescribeJobs" ], "Resource":"*" } ] }
