管理私有端點 - AWS App Runner
App Runner 主控台App Runner API 或 AWS CLI

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理私有端點

使用下列其中一種方法來管理傳入流量的私有端點:

注意

如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須對私有端點使用安全群組規則,而不是 WAF Web ACLs。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此,與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。

若要進一步了解基礎設施安全和安全群組,包括最佳實務,請參閱《Amazon VPC 使用者指南》中的下列主題:使用安全群組控制網路流量和控制 AWS 資源的流量。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html

App Runner 主控台

當您使用 App Runner 主控台建立服務,或稍後更新其組態時,您可以選擇設定傳入流量。

若要設定傳入流量,請選擇下列其中一項。

  • 公有端點:讓所有服務都能透過網際網路存取您的服務。預設會選取公有端點

  • 私有端點:讓 App Runner 服務只能從 Amazon VPC 內存取。

啟用私有端點

私有端點與您要存取的 Amazon VPC 的 VPC 介面端點建立關聯,以啟用私有端點。您可以建立新的 VPC 介面端點,或選擇現有的 VPC 介面端點。

建立 VPC 介面端點

  1. 開啟 App Runner 主控台,然後在區域清單中選取您的 AWS 區域。

  2. 前往設定服務下的聯網區段。

  3. 針對傳入網路流量選擇私有端點。使用 VPC 介面端點連線至 VCP 的選項隨即開啟。

  4. 選擇建立新端點建立新的 VPC 介面端點對話方塊隨即開啟。

  5. 輸入 VPC 介面端點的名稱。

  6. 從可用的下拉式清單中選擇所需的 VPC 介面端點。

  7. 從下拉式清單中選擇安全群組。新增安全群組可為 VPC 介面端點提供額外的安全層。建議選擇兩個或多個安全群組。如果您未選擇安全群組,App Runner 會將預設安全群組指派給 VPC 介面端點。確保安全群組規則不會封鎖想要與 App Runner 服務通訊的資源。安全群組規則必須允許將與 App Runner 服務互動的資源。

    注意

    如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須對私有端點使用安全群組規則,而不是 WAF Web ACLs。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此,與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。

    若要進一步了解基礎設施安全和安全群組,包括最佳實務,請參閱《Amazon VPC 使用者指南》中的下列主題:使用安全群組控制網路流量和控制 AWS 資源的流量。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html

  8. 從下拉式清單中選擇所需的子網路。建議您為存取 App Runner 服務的每個可用區域至少選取兩個子網路。

    注意

    如果您要為雙堆疊設定端點,請確定您的基礎設施和 VPC 端點支援雙堆疊流量。

  9. (選用) 選擇新增標籤,然後輸入標籤索引鍵和標籤值。

  10. 選擇建立設定服務頁面隨即開啟,並在頂端列顯示成功建立 VPC 介面端點的訊息。

選擇現有的 VPC 介面端點

  1. 開啟 App Runner 主控台,然後在區域清單中選取您的 AWS 區域。

  2. 前往設定服務下的聯網區段。

  3. 針對傳入網路流量選擇私有端點。使用 VPC 介面端點連線至 VPC 的選項隨即開啟。隨即顯示可用的 VPC 介面端點清單。

  4. 選擇 VPC 介面端點下列出的必要 VPC 介面端點

  5. 選擇下一步以建立您的服務。App Runner 會啟用私有端點。

    注意

    建立服務之後,您可以視需要選擇編輯與 VPC 介面端點相關聯的安全群組和子網路。

    若要檢查私有端點的詳細資訊,請前往您的服務,並展開組態索引標籤下的聯網區段。它會顯示與私有端點相關聯的 VPC 和 VPC 介面端點的詳細資訊。

更新 VPC 介面端點

建立 App Runner 服務之後,您可以編輯與私有端點相關聯的 VPC 介面端點。

注意

您無法更新端點名稱VPC 欄位。

更新 VPC 介面端點

  1. 開啟 App Runner 主控台,然後在區域清單中選取您的 AWS 區域。

  2. 前往您的服務,然後在左側面板選擇聯網組態

  3. 選擇傳入流量,以檢視與個別服務相關聯的 VPC 介面端點。

  4. 選擇您要編輯的 VPC 介面端點。

  5. 選擇編輯。編輯 VPC 介面端點的對話方塊隨即開啟。

  6. 選擇所需的安全群組子網路,然後按一下更新。顯示 VPC 介面端點詳細資訊的頁面會開啟,並在頂端列上顯示 VPC 介面端點成功更新的訊息。

    注意

    如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須對私有端點使用安全群組規則,而不是 WAF Web ACLs。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此,與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。

    若要進一步了解基礎設施安全和安全群組,包括最佳實務,請參閱《Amazon VPC 使用者指南》中的下列主題:使用安全群組控制網路流量和控制 AWS 資源的流量。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html

刪除 VPC 介面端點

如果您不希望 App Runner 服務可私下存取,您可以將傳入流量設定為有。變更為有會移除私有端點,但不會刪除 VPC 介面端點

刪除 VPC 介面端點

  1. 開啟 App Runner 主控台,然後在區域清單中選取您的 AWS 區域。

  2. 前往您的服務,然後在左側面板選擇聯網組態

  3. 選擇傳入流量,以檢視與個別 服務相關聯的 VPC 介面端點。

    注意

    刪除 VPC 介面端點之前,請先更新服務,將其從其連線的所有服務中移除。

  4. 選擇 刪除

    如果有服務連接到 VPC 介面端點,則您會收到無法刪除 VPC 介面端點訊息。如果沒有服務連接到 VPC 介面端點,您會收到確認刪除的訊息。

  5. 選擇 刪除網路組態頁面會開啟傳入流量,並在頂端列成功刪除 VPC 介面端點的訊息。

App Runner API 或 AWS CLI

您可以在只能從 Amazon VPC 內存取的 App Runner 上部署應用程式。

如需讓服務成為私有所需許可的資訊,請參閱 許可

建立 Amazon VPC 的私有服務連線

  1. 建立 VPC 介面端點,即 AWS PrivateLink 資源,以連線至 App Runner。若要這樣做,請指定要與應用程式建立關聯的子網路和安全群組。以下是建立 VPC 介面端點的範例。

    注意

    如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須對私有端點使用安全群組規則,而不是 WAF Web ACLs。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此,與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。

    若要進一步了解基礎設施安全和安全群組,包括最佳實務,請參閱《Amazon VPC 使用者指南》中的下列主題:使用安全群組控制網路流量和控制 AWS 資源的流量。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html

    aws ec2 create-vpc-endpoint
 --vpc-endpoint-type: Interface
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --subnets: subnet1, subnet2
 --security-groups: sg1

  2. 透過 CLI 使用 CreateServiceUpdateService App Runner API 動作來參考 VPC 介面端點。將您的服務設定為不可公開存取。在 NetworkConfiguration 參數IngressConfiguration的成員False中將 IsPubliclyAccessible設定為 。或者,您可以將 IpAddressType 欄位設定為 IPV4DUAL_STACK。如果未設定,則此值預設為 IPV4。下列範例參考 VPC 介面端點。

    aws apprunner create-service
 --network-configuration:
   {
   "IngressConfiguration":
      {
      "IsPubliclyAccessible": False
      },
      "IpAddressType": "IPV4"
   }
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --source-configuration: <source_configuration>

  3. 呼叫 create-vpc-ingress-connection API 動作來建立 App Runner 的 VPC 輸入連線資源,並將其與您在上一個步驟中建立的 VPC 介面端點建立關聯。它會傳回用於在指定 VPC 中存取服務的網域名稱。以下是建立 VPC 傳入連線資源的範例。

    範例 請求
    aws apprunner create-vpc-ingress-connection
 --service-arn: <apprunner_service_arn>
 --ingress-vpc-configuration: {"VpcId":<vpc_id>, "VpceId": <vpce_id>}
 --vpc-ingress-connection-name: <vic_connection_name>
    範例 回應
    {
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_CREATION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>
}

更新 VPC 輸入連線

您可以更新 VPC 傳入連線資源。VPC 傳入連線必須處於下列其中一種狀態,才能更新:

  • AVAILABLE

  • FAILED_CREATION

  • FAILED_UPDATE

以下是更新 VPC 傳入連線資源的範例。

範例 請求
aws apprunner update-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
範例 回應
{
    "VpcIngressConnectionArn":  <vpc_ingress_connection_arn>,
    "VpcIngressConnectionName":  <vic_connection_name>,
    "ServiceArn":  <apprunner_service_arn>,
    "Status": "FAILED_UPDATE",
    "AccountId":  <connection_owner_id>,
    "DomainName":  <domain_name_associated_with_vpce>,
    "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
    "CreatedAt":  <date_created>
}

刪除 VPC 傳入連線

如果您不再需要與 Amazon VPC 的私有連線,您可以刪除 VPC 傳入連線資源。

VPC 傳入連線必須處於下列其中一種狀態,才能刪除:

  • AVAILABLE

  • 失敗的建立

  • 失敗的更新

  • 失敗的刪除

以下是刪除 VPC 傳入連線的範例

範例 請求
aws apprunner delete-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
範例 回應
{
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_DELETION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>,
   "DeletedAt": <date_deleted>
}

使用下列 App Runner API 動作來管理服務的私有傳入流量。

如需使用 App Runner API 的詳細資訊,請參閱 App Runner API 參考指南