AWS App Runner 自 2026 年 4 月 30 日起,不再開放給新客戶。如果您想要使用 App Runner,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[AWS App Runner 可用性變更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理私有端點
使用下列其中一種方法來管理傳入流量的私有端點:
+ [App Runner 主控台](#network-pl-manage.console)
+ [App Runner API 或 AWS CLI](#network-pl-manage.api)
**注意**
如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須對私有端點使用安全群組規則,而不是 [WAF Web ACLs](waf.md)。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此,與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。
若要進一步了解基礎設施安全和安全群組,包括最佳實務,請參閱《*Amazon VPC 使用者指南*》中的下列主題:使用安全群組[控制網路流量](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)和控制 AWS 資源的流量。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)
## App Runner 主控台
當您使用 App Runner 主控台[建立服務](manage-create.md),或[稍後更新其組態](manage-configure.md)時,您可以選擇設定傳入流量。
若要設定傳入流量,請選擇下列其中一項。
+ **公有端點**:讓所有服務都能透過網際網路存取您的服務。預設會選取**公有端點**。
+ **私有端點**:讓 App Runner 服務只能從 Amazon VPC 內存取。
### 啟用私有端點
將**私有端點**與您要存取的 Amazon VPC 的 VPC 介面端點建立關聯,以啟用私有端點。您可以建立新的 VPC 介面端點,或選擇現有的 VPC 介面端點。
**建立 VPC 介面端點**
1. 開啟 [App Runner 主控台](https://console.aws.amazon.com/apprunner),然後在**區域**清單中選取您的 AWS 區域。
1. 前往**設定服務**下的**聯網**區段。
1. 針對**傳入網路流量**選擇**私有端點**。使用 VPC 介面端點連線至 VCP 的選項隨即開啟。
1. 選擇**建立新端點**。**建立新的 VPC 介面端點**對話方塊隨即開啟。
1. 輸入 VPC 介面端點的名稱。
1. 從可用的下拉式清單中選擇所需的 VPC 介面端點。
1. 從下拉式清單中選擇安全群組。新增安全群組可為 VPC 介面端點提供額外的安全層。建議選擇兩個或多個安全群組。如果您未選擇安全群組,App Runner 會將預設安全群組指派給 VPC 介面端點。確保安全群組規則不會封鎖想要與 App Runner 服務通訊的資源。安全群組規則必須允許將與您的 App Runner 服務互動的資源。
**注意**
如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須對私有端點使用安全群組規則,而不是 [WAF Web ACLs](waf.md)。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此,與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。
若要進一步了解基礎設施安全和安全群組,包括最佳實務,請參閱《*Amazon VPC 使用者指南*》中的下列主題:使用安全群組[控制網路流量](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)和控制 AWS 資源的流量。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)
1. 從下拉式清單中選擇所需的子網路。建議您為存取 App Runner 服務的每個可用區域至少選取兩個子網路。
**注意**
如果您要為雙堆疊設定端點,請確定您的基礎設施和 VPC 端點支援雙堆疊流量。
1. (選用) 選擇**新增標籤**,然後輸入標籤索引鍵和標籤值。
1. 選擇**建立**。**設定服務**頁面隨即開啟,並在頂端列顯示成功建立 VPC 介面端點的訊息。
**選擇現有的 VPC 介面端點**
1. 開啟 [App Runner 主控台](https://console.aws.amazon.com/apprunner),然後在**區域**清單中選取您的 AWS 區域。
1. 前往**設定服務**下的**聯網**區段。
1. 針對**傳入網路流量**選擇**私有端點**。使用 VPC 介面端點連線至 VPC 的選項隨即開啟。隨即顯示可用的 VPC 介面端點清單。
1. 選擇 VPC 介面端點下列出的必要 **VPC 介面端點**。
1. 選擇**下一步**以建立您的服務。App Runner 會啟用私有端點。
**注意**
建立服務之後,您可以視需要選擇編輯與 VPC 介面端點相關聯的安全群組和子網路。
若要檢查**私有端點**的詳細資訊,請前往您的服務,並展開**組態**索引標籤下的**聯網**區段。它會顯示與**私有端點相關聯的 VPC 和 VPC 介面端點**的詳細資訊。
### 更新 VPC 介面端點
建立 App Runner 服務之後,您可以編輯與私有端點相關聯的 VPC 介面端點。
**注意**
您無法更新**端點名稱**和 **VPC** 欄位。
**更新 VPC 介面端點**
1. 開啟 [App Runner 主控台](https://console.aws.amazon.com/apprunner),然後在**區域**清單中選取您的 AWS 區域。
1. 前往您的服務,然後在左側面板選擇**聯網組態**。
1. 選擇**傳入流量**,以檢視與個別服務相關聯的 VPC 介面端點。
1. 選擇您要編輯的 VPC 介面端點。
1. 選擇**編輯**。編輯 VPC 介面端點的對話方塊隨即開啟。
1. 選擇所需的**安全群組**和**子網路**,然後按一下**更新**。顯示 VPC 介面端點詳細資訊的頁面會開啟,並在頂端列顯示 VPC 介面端點成功更新的訊息。
**注意**
如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須對私有端點使用安全群組規則,而不是 [WAF Web ACLs](waf.md)。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此,與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。
若要進一步了解基礎設施安全和安全群組,包括最佳實務,請參閱《*Amazon VPC 使用者指南*》中的下列主題:使用安全群組[控制網路流量](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)和控制 AWS 資源的流量。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)
### 刪除 VPC 介面端點
如果您不希望 App Runner 服務可私下存取,您可以將傳入流量設定為**公**有。變更為**公**有會移除私有端點,但不會刪除 VPC 介面端點
**刪除 VPC 介面端點**
1. 開啟 [App Runner 主控台](https://console.aws.amazon.com/apprunner),然後在**區域**清單中選取您的 AWS 區域。
1. 前往您的服務,然後在左側面板選擇**聯網組態**。
1. 選擇**傳入流量**,以檢視與個別 服務相關聯的 VPC 介面端點。
**注意**
刪除 VPC 介面端點之前,請先更新服務,將其從其連線的所有服務中移除。
1. 選擇 **刪除**。
如果有服務連接到 VPC 介面端點,您會收到**無法刪除 VPC 介面端點**訊息。如果沒有服務連接到 VPC 介面端點,您會收到確認刪除的訊息。
1. 選擇 **刪除**。網路**組態**頁面會針對**傳入流量**開啟,並在頂端列成功刪除 VPC 介面端點的訊息。
## App Runner API 或 AWS CLI
您可以在只能從 Amazon VPC 內存取的 App Runner 上部署應用程式。
如需讓服務成為私有所需許可的資訊,請參閱 [許可](network-pl.md#network-pl.permissions)。
**建立 Amazon VPC 的私有服務連線**
1. 建立 VPC 介面端點,即 AWS PrivateLink 資源,以連線至 App Runner。若要這樣做,請指定要與應用程式建立關聯的子網路和安全群組。以下是建立 VPC 介面端點的範例。
**注意**
如果您的 App Runner 應用程式需要來源 IP/CIDR 傳入流量控制規則,您必須對私有端點使用安全群組規則,而不是 [WAF Web ACLs](waf.md)。這是因為我們目前不支援將請求來源 IP 資料轉送至與 WAF 相關聯的 App Runner 私有服務。因此,與 WAF Web ACLs 相關聯的 App Runner 私有服務的來源 IP 規則不遵守以 IP 為基礎的規則。
若要進一步了解基礎設施安全和安全群組,包括最佳實務,請參閱《*Amazon VPC 使用者指南*》中的下列主題:使用安全群組[控制網路流量](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)和控制 AWS 資源的流量。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)
**Example**
```
aws ec2 create-vpc-endpoint
--vpc-endpoint-type: Interface
--service-name: com.amazonaws.us-east-1.apprunner.requests
--subnets: subnet1, subnet2
--security-groups: sg1
```
1. 透過 CLI 使用 [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html) 或 [UpdateService](https://docs.aws.amazon.com/apprunner/latest/api/API_UpdateService.html) App Runner API 動作來參考 VPC 介面端點。將您的服務設定為不可公開存取。在 `NetworkConfiguration` 參數`IngressConfiguration`的成員`False`中將 `IsPubliclyAccessible`設定為 。或者,您可以將 `IpAddressType` 欄位設定為 `IPV4`或 `DUAL_STACK`。如果未設定,則此值預設為 IPV4。下列範例參考 VPC 介面端點。
**Example**
```
aws apprunner create-service
--network-configuration:
{
"IngressConfiguration":
{
"IsPubliclyAccessible": False
},
"IpAddressType": "IPV4"
}
--service-name: com.amazonaws.us-east-1.apprunner.requests
--source-configuration:
```
1. 呼叫 `create-vpc-ingress-connection` API 動作來建立 App Runner 的 VPC 輸入連線資源,並將其與您在上一個步驟中建立的 VPC 介面端點建立關聯。它會傳回用於在指定 VPC 中存取服務的網域名稱。以下是建立 VPC 傳入連線資源的範例。
**Example 請求**
```
aws apprunner create-vpc-ingress-connection
--service-arn:
--ingress-vpc-configuration: {"VpcId":, "VpceId": }
--vpc-ingress-connection-name:
```
**Example 回應**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "PENDING_CREATION",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt":
}
```
### 更新 VPC 輸入連線
您可以更新 VPC 傳入連線資源。VPC 傳入連線必須處於下列其中一種狀態,才能更新:
+ AVAILABLE
+ FAILED\$1CREATION
+ FAILED\$1UPDATE
以下是更新 VPC 傳入連線資源的範例。
**Example 請求**
```
aws apprunner update-vpc-ingress-connection
--vpc-ingress-connection-arn:
```
**Example 回應**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "FAILED_UPDATE",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt":
}
```
### 刪除 VPC 輸入連線
如果您不再需要與 Amazon VPC 的私有連線,您可以刪除 VPC 傳入連線資源。
VPC 傳入連線必須處於下列其中一種狀態,才能刪除:
+ AVAILABLE
+ 失敗的建立
+ 失敗的更新
+ 失敗的刪除
以下是刪除 VPC 輸入連線的範例
**Example 請求**
```
aws apprunner delete-vpc-ingress-connection
--vpc-ingress-connection-arn:
```
**Example 回應**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "PENDING_DELETION",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt": ,
"DeletedAt":
}
```
使用下列 App Runner API 動作來管理服務的私有傳入流量。
+ [CreateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateVpcIngressConnection.html) – 建立新的 VPC 傳入連線資源。當您要將 App Runner 服務與 Amazon VPC 端點相關聯時,App Runner 會需要此資源。
+ [ListVpcIngressConnections](https://docs.aws.amazon.com/apprunner/latest/api/API_ListVpcIngressConnections.html) – 傳回與您 AWS 帳戶相關聯的 AWS App Runner VPC 傳入連線端點清單。
+ [DescribeVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_DescribeVpcIngressConnection.html) – 傳回 AWS App Runner VPC Ingress Connection 資源的完整描述。
+ [UpdateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_UpdateVpcIngressConnection.html) – 更新 AWS App Runner VPC 傳入連線資源。
+ [DeleteVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_DeleteVpcIngressConnection.html) – 刪除與 App Runner 服務相關聯的 App Runner VPC Ingress Connection 資源。
如需使用 App Runner API 的詳細資訊,請參閱 [App Runner API 參考指南](https://docs.aws.amazon.com/apprunner/latest/api/)。