Bedingungen Was wird unterstützt VPCÜberblick über die Infrastruktur Beispielanwendungsfälle für einen Amazon VPC - und Apache Airflow-Zugriffsmodus

Über Netzwerke bei Amazon MWAA

Ein Amazon VPC ist ein virtuelles Netzwerk, das mit Ihrem AWS Konto verknüpft ist. Es bietet Ihnen Cloud-Sicherheit und die Möglichkeit, dynamisch zu skalieren, indem es eine detaillierte Kontrolle über Ihre virtuelle Infrastruktur und die Segmentierung des Netzwerkverkehrs bietet. Auf dieser Seite wird die VPC Amazon-Infrastruktur mit öffentlichem Routing oder privatem Routing beschrieben, die zur Unterstützung einer Amazon Managed Workflows for Apache Airflow-Umgebung erforderlich ist.

Inhalt

Bedingungen

Öffentliches Routing: Ein VPC Amazon-Netzwerk, das Zugang zum Internet hat.
Privates Routing: Ein VPC Amazon-Netzwerk ohne Zugang zum Internet.

Was wird unterstützt

In der folgenden Tabelle werden die von VPCs Amazon MWAA unterstützten Typen beschrieben.

VPCAmazon-Typen	Unterstützt
Ein Amazon-Konto, das dem Konto VPC gehört, das versucht, die Umgebung zu erstellen.	Ja
Ein gemeinsames AmazonVPC, in dem mehrere AWS Konten ihre AWS Ressourcen erstellen.	Ja

VPCÜberblick über die Infrastruktur

Wenn Sie eine MWAA Amazon-Umgebung erstellen, MWAA erstellt Amazon ein bis zwei VPC Endpunkte für Ihre Umgebung, basierend auf dem Apache Airflow-Zugriffsmodus, den Sie für Ihre Umgebung ausgewählt haben. Diese Endpunkte werden in Ihrem Amazon VPC als Elastic Network Interfaces (ENIs) mit privat IPs angezeigt. Nachdem diese Endpunkte erstellt wurden, wird jeglicher Datenverkehr, der für sie bestimmt IPs ist, privat oder öffentlich an die entsprechenden AWS Dienste weitergeleitet, die von Ihrer Umgebung genutzt werden.

Im folgenden Abschnitt wird die VPC Amazon-Infrastruktur beschrieben, die erforderlich ist, um den Verkehr öffentlich über das Internet oder privat innerhalb Ihres Amazon weiterzuleiten VPC.

Öffentliches Routing über das Internet

In diesem Abschnitt wird die VPC Amazon-Infrastruktur einer Umgebung mit öffentlichem Routing beschrieben. Sie benötigen die folgende VPC Infrastruktur:

Eine VPC Sicherheitsgruppe. Eine VPC Sicherheitsgruppe fungiert als virtuelle Firewall, um den eingehenden (eingehenden) und ausgehenden (ausgehenden) Netzwerkverkehr auf einer Instance zu kontrollieren.
- Es können bis zu 5 Sicherheitsgruppen angegeben werden.
- Die Sicherheitsgruppe muss für sich selbst eine Regel für eingehenden Datenverkehr angeben, die sich selbst referenziert.
- Die Sicherheitsgruppe muss eine ausgehende Regel für den gesamten Datenverkehr angeben (). 0.0.0.0/0
- Die Sicherheitsgruppe muss den gesamten Datenverkehr in der Regel für Selbstreferenzen zulassen. Beispiel, (Empfohlen) Beispiel für eine selbstreferenzierende Sicherheitsgruppe für alle Zugriffe .
- Die Sicherheitsgruppe kann den Verkehr optional weiter einschränken, indem sie den Portbereich für den HTTPS Portbereich 443 und einen TCP Portbereich angibt. 5432 Beispiel: (Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 5432 einschränkt und (Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 443 einschränkt.
Zwei öffentliche Subnetze. Ein öffentliches Subnetz ist in Subnetz, das einer Routing-Tabelle zugeordnet ist, die über eine Route zu einem Internet-Gateway verfügt.
- Zwei öffentliche Subnetze sind erforderlich. Auf diese Weise kann Amazon MWAA ein neues Container-Image für Ihre Umgebung in Ihrer anderen Availability Zone erstellen, falls ein Container ausfällt.
- Diese Subnetze müssen zu verschiedenen Availability-Zonen gehören. Zum Beispiel us-east-1a, us-east-1b.
- Die Subnetze müssen zu einem NAT Gateway (oder einer NAT Instance) mit einer Elastic IP-Adresse (EIP) weitergeleitet werden.
- Die Subnetze müssen über eine Routing-Tabelle verfügen, die den internetgebundenen Datenverkehr an ein Internet-Gateway weiterleitet.
Zwei private Subnetze. Ein privates Subnetz ist ein Subnetz, das keiner Routing-Tabelle zugeordnet ist, die eine Route zu einem Internet-Gateway enthält.
- Zwei private Subnetze sind erforderlich. Auf diese Weise kann Amazon MWAA ein neues Container-Image für Ihre Umgebung in Ihrer anderen Availability Zone erstellen, falls ein Container ausfällt.
- Diese Subnetze müssen zu verschiedenen Availability-Zonen gehören. Zum Beispiel us-east-1a, us-east-1b.
- Die Subnetze müssen über eine Routing-Tabelle zu einem NAT Gerät (Gateway oder Instance) verfügen.
- Die Subnetze dürfen nicht zu einem Internet-Gateway weiterleiten.
Eine Liste zur Netzwerkzugriffskontrolle (ACL). An NACL verwaltet eingehenden und ausgehenden Verkehr (nach Regeln zum Zulassen oder Verweigern) auf Subnetzebene.
- Sie NACL müssen über eine Regel für eingehenden Datenverkehr verfügen, die den gesamten Datenverkehr zulässt (). 0.0.0.0/0
- Sie NACL müssen über eine ausgehende Regel verfügen, die den gesamten Datenverkehr zulässt ()0.0.0.0/0.
- Beispiel, (Empfohlenes) Beispiel ACLs.
Zwei NAT Gateways (oder NAT Instanzen). Ein NAT Gerät leitet den Datenverkehr von den Instances im privaten Subnetz an das Internet oder andere AWS Dienste weiter und leitet die Antwort dann zurück zu den Instances.
- Das NAT Gerät muss an ein öffentliches Subnetz angeschlossen sein. (Ein NAT Gerät pro öffentlichem Subnetz.)
- Das NAT Gerät muss mit jedem öffentlichen Subnetz über eine Elastic IPv4 Address (EIP) verbunden sein.
Ein Internet-Gateway. Ein Internet-Gateway verbindet einen Amazon mit VPC dem Internet und anderen AWS Diensten.
- Ein Internet-Gateway muss an den Amazon angeschlossen seinVPC.

Privates Routing ohne Internetzugang

In diesem Abschnitt wird die VPC Amazon-Infrastruktur einer Umgebung mit privatem Routing beschrieben. Sie benötigen die folgende VPC Infrastruktur:

Eine VPC Sicherheitsgruppe. Eine VPC Sicherheitsgruppe fungiert als virtuelle Firewall, um den eingehenden (eingehenden) und ausgehenden (ausgehenden) Netzwerkverkehr auf einer Instance zu kontrollieren.
- Es können bis zu 5 Sicherheitsgruppen angegeben werden.
- Die Sicherheitsgruppe muss für sich selbst eine Regel für eingehenden Datenverkehr angeben, die sich selbst referenziert.
- Die Sicherheitsgruppe muss eine ausgehende Regel für den gesamten Datenverkehr angeben (). 0.0.0.0/0
- Die Sicherheitsgruppe muss den gesamten Datenverkehr in der Regel für Selbstreferenzen zulassen. Beispiel, (Empfohlen) Beispiel für eine selbstreferenzierende Sicherheitsgruppe für alle Zugriffe .
- Die Sicherheitsgruppe kann den Verkehr optional weiter einschränken, indem sie den Portbereich für den HTTPS Portbereich 443 und einen TCP Portbereich angibt. 5432 Beispiel: (Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 5432 einschränkt und (Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 443 einschränkt.
Zwei private Subnetze. Ein privates Subnetz ist ein Subnetz, das keiner Routing-Tabelle zugeordnet ist, die eine Route zu einem Internet-Gateway enthält.
- Zwei private Subnetze sind erforderlich. Auf diese Weise kann Amazon MWAA ein neues Container-Image für Ihre Umgebung in Ihrer anderen Availability Zone erstellen, falls ein Container ausfällt.
- Diese Subnetze müssen zu verschiedenen Availability-Zonen gehören. Zum Beispiel us-east-1a, us-east-1b.
- Die Subnetze müssen über eine Routing-Tabelle zu Ihren VPC Endpunkten verfügen.
- Die Subnetze dürfen weder über eine Routing-Tabelle zu einem NAT Gerät (Gateway oder Instanz) noch über ein Internet-Gateway verfügen.
Eine Liste zur Netzwerkzugriffskontrolle (ACL). An NACL verwaltet eingehenden und ausgehenden Verkehr (nach Regeln zum Zulassen oder Verweigern) auf Subnetzebene.
- Sie NACL müssen über eine Regel für eingehenden Datenverkehr verfügen, die den gesamten Datenverkehr zulässt (). 0.0.0.0/0
- Sie NACL müssen über eine ausgehende Regel verfügen, die den gesamten Datenverkehr verweigert (). 0.0.0.0/0
- Beispiel, (Empfohlenes) Beispiel ACLs.
Eine lokale Routing-Tabelle. Eine lokale Routentabelle ist eine Standardroute für die Kommunikation innerhalb derVPC.
- Die lokale Routentabelle muss Ihren privaten Subnetzen zugeordnet sein.
- Die lokale Routing-Tabelle muss es Ihren Instances ermöglichen, mit Ihrem eigenen Netzwerk VPC zu kommunizieren. Wenn Sie beispielsweise einen für den AWS Client VPN Zugriff auf die VPC Schnittstelle Ihres Apache Airflow-Webservers verwenden, muss die Routing-Tabelle zum VPC Endpunkt weiterleiten.
VPCEndpunkte für jeden AWS Service, der von Ihrer Umgebung genutzt wird, und Apache VPC Airflow-Endpunkte in derselben AWS Region und Amazon VPC wie Ihre Amazon-Umgebung. MWAA
- Ein VPC Endpunkt für jeden AWS Service, der von der Umgebung genutzt wird, und VPC Endpunkte für Apache Airflow. Beispiel, (Erforderlich) Endgeräte VPC.
- Auf den VPC Endpunkten muss Private aktiviert sein. DNS
- Die VPC Endpunkte müssen den beiden privaten Subnetzen Ihrer Umgebung zugeordnet sein.
- Die VPC Endpunkte müssen der Sicherheitsgruppe Ihrer Umgebung zugeordnet sein.
- Die VPC Endpunktrichtlinie für jeden Endpunkt sollte so konfiguriert sein, dass der Zugriff auf die von der Umgebung verwendeten AWS Dienste ermöglicht wird. Beispiel, (Empfohlen) Beispiel für eine VPC Endpunktrichtlinie, um allen Zugriff zuzulassen.
- Eine VPC Endpunktrichtlinie für Amazon S3 sollte konfiguriert werden, um den Bucket-Zugriff zu ermöglichen. Beispiel, (Empfohlen) Beispiel für eine Amazon S3 S3-Gateway-Endpunktrichtlinie zum Zulassen des Bucket-Zugriffs.

Beispielanwendungsfälle für einen Amazon VPC - und Apache Airflow-Zugriffsmodus

In diesem Abschnitt werden die verschiedenen Anwendungsfälle für den Netzwerkzugriff in Ihrem Amazon VPC und der Apache Airflow-Webserver-Zugriffsmodus beschrieben, den Sie auf der Amazon-Konsole wählen sollten. MWAA

Internetzugang ist erlaubt - neues VPC Amazon-Netzwerk

Wenn Ihr Unternehmen den Internetzugang in Ihrem VPC Unternehmen erlaubt und Sie möchten, dass Benutzer über das Internet auf Ihren Apache Airflow-Webserver zugreifen können, gehen Sie wie folgt vor:

Erstellen Sie ein VPC Amazon-Netzwerk mit Internetzugang.
Erstellen Sie eine Umgebung mit dem öffentlichen Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver.
Was wir empfehlen: Wir empfehlen, die AWS CloudFormation Schnellstartvorlage zu verwenden, mit der die VPC Amazon-Infrastruktur, ein Amazon S3-Bucket und eine MWAA Amazon-Umgebung gleichzeitig erstellt werden. Weitere Informationen hierzu finden Sie unter Schnellstartanleitung für Amazon Managed Workflows für Apache Airflow.

Wenn Ihr Unternehmen den Internetzugang in Ihrem VPC Unternehmen erlaubt und Sie den Zugriff auf den Apache Airflow-Webserver auf Benutzer in Ihrem Unternehmen beschränken möchten: VPC

Erstellen Sie ein VPC Amazon-Netzwerk mit Internetzugang.
Erstellen Sie einen Mechanismus, um von Ihrem Computer aus auf den VPC Schnittstellenendpunkt für Ihren Apache Airflow-Webserver zuzugreifen.
Erstellen Sie eine Umgebung mit dem privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver.
Was wir empfehlen:
1. Wir empfehlenOption eins: Erstellen des VPC Netzwerks auf der MWAA Amazon-Konsole, die MWAA Amazon-Konsole in oder die AWS CloudFormation Vorlage in zu verwendenOption zwei: Erstellen eines VPC Amazon-Netzwerks mit Internetzugang.
2. Wir empfehlen, den Zugriff über einen AWS Client VPN auf Ihren Apache Airflow-Webserver in Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einemAWS Client VPN zu konfigurieren.

Internetzugang ist nicht erlaubt - neues VPC Amazon-Netzwerk

Wenn der Internetzugang in Ihrem Unternehmen nicht erlaubt VPC ist:

Erstellen Sie ein VPC Amazon-Netzwerk ohne Internetzugang.
Erstellen Sie einen Mechanismus, um von Ihrem Computer aus auf den VPC Schnittstellenendpunkt für Ihren Apache Airflow-Webserver zuzugreifen.
Erstellen Sie VPC Endpunkte für jeden AWS Dienst, der von Ihrer Umgebung verwendet wird.
Erstellen Sie eine Umgebung mit dem privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver.
Was wir empfehlen:
1. Wir empfehlen, die AWS CloudFormation Vorlage zu verwenden, um ein Amazon VPC ohne Internetzugang und die VPC Endpunkte für jeden von Amazon verwendeten AWS Service MWAA in Option drei: Erstellen eines VPC Amazon-Netzwerks ohne Internetzugang zu erstellen.
2. Wir empfehlen, den Zugriff über einen AWS Client VPN auf Ihren Apache Airflow-Webserver in zu konfigurieren. Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einemAWS Client VPN

Internetzugang ist nicht erlaubt — vorhandenes VPC Amazon-Netzwerk

Wenn Ihr Unternehmen den Internetzugang in Ihrem VPC Unternehmen nicht zulässt und Sie bereits über das erforderliche VPC Amazon-Netzwerk ohne Internetzugang verfügen:

Erstellen Sie VPC Endpunkte für jeden AWS Service, der von Ihrer Umgebung genutzt wird.
Erstellen Sie VPC Endpunkte für Apache Airflow.
Erstellen Sie einen Mechanismus, um von Ihrem Computer aus auf den VPC Schnittstellenendpunkt für Ihren Apache Airflow-Webserver zuzugreifen.
Erstellen Sie eine Umgebung mit dem privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver.
Was wir empfehlen:
1. Wir empfehlen, die VPC Endpunkte zu erstellen und anzuhängen, die für jeden von Amazon verwendeten AWS Service benötigt werdenMWAA, sowie die VPC Endpunkte, die für Apache Airflow in benötigt werden. Erstellung der erforderlichen VPC Service-Endpunkte in einem Amazon VPC mit privatem Routing
2. Wir empfehlen, den Zugriff über einen auf Ihren Apache Airflow-Webserver AWS Client VPN in zu konfigurieren. Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einemAWS Client VPN

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Netzwerk

Sicherheit in Ihrem VPC