Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Apache Airflow-Zugriffsmodi
Die Amazon Managed Workflows for Apache Airflow-Konsole enthält integrierte Optionen zur Konfiguration von privatem oder öffentlichem Routing zum Apache Airflow-Webserver in Ihrer Umgebung. Dieses Handbuch beschreibt die Zugriffsmodi, die für den Apache Airflow-Webserver in Ihrer Amazon Managed Workflows for Apache Airflow-Umgebung verfügbar sind, und die zusätzlichen Ressourcen, die Sie in Ihrer Amazon-Umgebung konfigurieren müssen, VPC wenn Sie die private Netzwerkoption wählen.
Inhalt
Apache Airflow-Zugriffsmodi
Sie können privates oder öffentliches Routing für Ihren Apache Airflow-Webserver wählen. Um privates Routing zu aktivieren, wählen Sie Privates Netzwerk. Dadurch wird der Benutzerzugriff auf einen Apache Airflow-Webserver auf einen VPC Amazon-Server beschränkt. Um öffentliches Routing zu aktivieren, wählen Sie Öffentliches Netzwerk. Dadurch können Benutzer über das Internet auf den Apache Airflow-Webserver zugreifen.
Öffentliches Netzwerk
Das folgende Architekturdiagramm zeigt eine MWAA Amazon-Umgebung mit einem öffentlichen Webserver.
Im öffentlichen Netzwerkzugriffsmodus können Benutzer, denen Zugriff auf die IAMRichtlinie für Ihre Umgebung gewährt wurde, über das Internet auf die Apache Airflow-Benutzeroberfläche zugreifen.
Das folgende Bild zeigt, wo Sie die Option Öffentliches Netzwerk auf der MWAA Amazon-Konsole finden.
Privates Netzwerk
Das folgende Architekturdiagramm zeigt eine MWAA Amazon-Umgebung mit einem privaten Webserver.
Der private Netzwerkzugriffsmodus beschränkt den Zugriff auf die Apache Airflow-Benutzeroberfläche auf Benutzer in Ihrem Amazon VPC, denen Zugriff auf die IAMRichtlinie für Ihre Umgebung gewährt wurde.
Wenn Sie eine Umgebung mit privatem Webserverzugriff erstellen, müssen Sie alle Ihre Abhängigkeiten in einem Python-Radarchiv (.whl) verpacken und dann auf das .whl in Ihrem verweisenrequirements.txt. Anweisungen zum Paketieren und Installieren Ihrer Abhängigkeiten mit Wheel finden Sie unter Abhängigkeiten mit Python Wheel verwalten.
Das folgende Bild zeigt, wo Sie die Option Privates Netzwerk auf der MWAA Amazon-Konsole finden.
Übersicht über die Zugriffsmodi
In diesem Abschnitt werden die VPC Endpunkte (AWS PrivateLink) beschrieben, die in Ihrem Amazon erstellt wurdenVPC, wenn Sie den Zugriffsmodus Öffentliches Netzwerk oder Privates Netzwerk wählen.
Öffentlicher Netzwerkzugriffsmodus
Wenn Sie den Modus Öffentlicher Netzwerkzugriff für Ihren Apache Airflow-Webserver gewählt haben, wird der Netzwerkverkehr öffentlich über das Internet geleitet.
-
Amazon MWAA erstellt einen VPC Schnittstellen-Endpunkt für Ihre Amazon Aurora SQL Postgre-Metadatendatenbank. Der Endpunkt wird in den Availability Zones erstellt, die Ihren privaten Subnetzen zugeordnet sind, und ist unabhängig von anderen Konten. AWS
-
Amazon bindet MWAA dann eine IP-Adresse aus Ihren privaten Subnetzen an die Schnittstellenendpunkte. Dies soll die bewährte Methode unterstützen, eine einzelne IP aus jeder Availability Zone des Amazon zu bindenVPC.
Modus für privaten Netzwerkzugriff
Wenn Sie den privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver ausgewählt haben, wird der Netzwerkverkehr innerhalb Ihres Amazon privat weitergeleitet. VPC
-
Amazon MWAA erstellt einen VPC Schnittstellenendpunkt für Ihren Apache Airflow-Webserver und einen Schnittstellenendpunkt für Ihre Amazon Aurora SQL Postgre-Metadatendatenbank. Die Endpunkte werden in den Availability Zones erstellt, die Ihren privaten Subnetzen zugeordnet sind, und sind unabhängig von anderen Konten. AWS
-
Amazon bindet MWAA dann eine IP-Adresse aus Ihren privaten Subnetzen an die Schnittstellenendpunkte. Dies soll die bewährte Methode unterstützen, eine einzelne IP aus jeder Availability Zone des Amazon zu bindenVPC.
Weitere Informationen hierzu finden Sie unter Beispielanwendungsfälle für einen Amazon VPC - und Apache Airflow-Zugriffsmodus.
Einrichtung für private und öffentliche Zugriffsmodi
Im folgenden Abschnitt werden die zusätzlichen Einstellungen und Konfigurationen beschrieben, die Sie je nach dem Apache Airflow-Zugriffsmodus benötigen, den Sie für Ihre Umgebung ausgewählt haben.
Einrichtung für ein öffentliches Netzwerk
Wenn Sie die Option Öffentliches Netzwerk für Ihren Apache Airflow-Webserver wählen, können Sie nach dem Erstellen Ihrer Umgebung mit der Verwendung der Apache Airflow-Benutzeroberfläche beginnen.
Sie müssen die folgenden Schritte ausführen, um den Zugriff für Ihre Benutzer und die Erlaubnis für Ihre Umgebung zur Nutzung anderer AWS Dienste zu konfigurieren.
-
Fügen Sie Berechtigungen hinzu. Amazon MWAA benötigt eine Genehmigung zur Nutzung anderer AWS Dienste. Wenn Sie eine Umgebung erstellen, MWAA erstellt Amazon eine serviceverknüpfte Rolle, die es ermöglicht, bestimmte IAM Aktionen für Amazon Elastic Container Registry (AmazonECR), CloudWatch Logs und Amazon EC2 zu verwenden.
Sie können die Erlaubnis zur Verwendung zusätzlicher Aktionen für diese Services oder zur Nutzung anderer AWS Services hinzufügen, indem Sie Ihrer Ausführungsrolle Berechtigungen hinzufügen. Weitere Informationen hierzu finden Sie unter MWAAAmazon-Ausführungsrolle.
-
Erstellen Sie Benutzerrichtlinien. Möglicherweise müssen Sie mehrere IAM Richtlinien für Ihre Benutzer erstellen, um den Zugriff auf Ihre Umgebung und die Apache Airflow-Benutzeroberfläche zu konfigurieren. Weitere Informationen hierzu finden Sie unter Zugriff auf eine MWAA Amazon-Umgebung.
Einrichtung für ein privates Netzwerk
Wenn Sie die Option Privates Netzwerk für Ihren Apache Airflow-Webserver wählen, müssen Sie den Zugriff für Ihre Benutzer und die Erlaubnis für Ihre Umgebung zur Nutzung anderer AWS Dienste konfigurieren und einen Mechanismus einrichten, mit dem Sie von Ihrem Computer VPC aus auf die Ressourcen in Ihrem Amazon zugreifen können.
-
Fügen Sie Berechtigungen hinzu. Amazon MWAA benötigt eine Genehmigung zur Nutzung anderer AWS Dienste. Wenn Sie eine Umgebung erstellen, MWAA erstellt Amazon eine serviceverknüpfte Rolle, die es ermöglicht, bestimmte IAM Aktionen für Amazon Elastic Container Registry (AmazonECR), CloudWatch Logs und Amazon EC2 zu verwenden.
Sie können die Erlaubnis zur Verwendung zusätzlicher Aktionen für diese Services oder zur Nutzung anderer AWS Services hinzufügen, indem Sie Ihrer Ausführungsrolle Berechtigungen hinzufügen. Weitere Informationen hierzu finden Sie unter MWAAAmazon-Ausführungsrolle.
-
Erstellen Sie Benutzerrichtlinien. Möglicherweise müssen Sie mehrere IAM Richtlinien für Ihre Benutzer erstellen, um den Zugriff auf Ihre Umgebung und die Apache Airflow-Benutzeroberfläche zu konfigurieren. Weitere Informationen hierzu finden Sie unter Zugriff auf eine MWAA Amazon-Umgebung.
-
Aktivieren Sie den Netzwerkzugriff. Sie müssen in Ihrem Amazon einen Mechanismus erstellen, um eine Verbindung VPC zum VPC Endpunkt (AWS PrivateLink) für Ihren Apache Airflow-Webserver herzustellen. Zum Beispiel, indem Sie mit einem einen VPN Tunnel von Ihrem Computer aus erstellen. AWS Client VPN
Zugreifen auf den VPC Endpunkt für Ihren Apache Airflow-Webserver (privater Netzwerkzugriff)
Wenn Sie die Option Privates Netzwerk ausgewählt haben, müssen Sie in Ihrem Amazon einen Mechanismus einrichten, VPC um auf den VPC Endpunkt (AWS PrivateLink) für Ihren Apache Airflow-Webserver zuzugreifen. Wir empfehlen, für diese Ressourcen dieselben Amazon-VPC, VPC Sicherheitsgruppen- und privaten Subnetze wie Ihre MWAA Amazon-Umgebung zu verwenden.
Weitere Informationen finden Sie unter Zugriff für VPC Endgeräte verwalten.
