Bedingungen Was wird unterstützt Überblick über die VPC-Infrastruktur Beispielanwendungsfälle für eine Amazon VPC und den Apache Airflow-Zugriffsmodus

Über Netzwerke auf Amazon MWAA

Eine Amazon VPC ist ein virtuelles Netzwerk, das mit Ihrem AWS Konto verknüpft ist. Es bietet Ihnen Cloud-Sicherheit und die Möglichkeit, dynamisch zu skalieren, indem es eine detaillierte Kontrolle über Ihre virtuelle Infrastruktur und die Segmentierung des Netzwerkverkehrs bietet. Auf dieser Seite wird die Amazon VPC-Infrastruktur mit öffentlichem Routing oder privatem Routing beschrieben, die zur Unterstützung einer Amazon Managed Workflows for Apache Airflow-Umgebung erforderlich ist.

Inhalt

Bedingungen

Öffentliches Routing: Ein Amazon VPC-Netzwerk, das Zugang zum Internet hat.
Privates Routing: Ein Amazon VPC-Netzwerk ohne Zugang zum Internet.

Was wird unterstützt

In der folgenden Tabelle werden die Typen von Amazon MWAA beschrieben, die VPCs Amazon MWAA unterstützt.

Amazon VPC-Typen	Unterstützt
Eine Amazon-VPC, die dem Konto gehört, das versucht, die Umgebung zu erstellen.	Ja
Eine gemeinsam genutzte Amazon-VPC, in der mehrere AWS Konten ihre AWS Ressourcen erstellen.	Ja

Überblick über die VPC-Infrastruktur

Wenn Sie eine Amazon MWAA-Umgebung erstellen, erstellt Amazon MWAA ein bis zwei VPC-Endpunkte für Ihre Umgebung, basierend auf dem Apache Airflow-Zugriffsmodus, den Sie für Ihre Umgebung ausgewählt haben. Diese Endpunkte werden IPs in Ihrer Amazon VPC als Elastic Network Interfaces (ENIs) mit privat angezeigt. Nachdem diese Endpunkte erstellt wurden, IPs wird der für sie bestimmte Datenverkehr privat oder öffentlich an die entsprechenden AWS Dienste weitergeleitet, die von Ihrer Umgebung genutzt werden.

Im folgenden Abschnitt wird die Amazon VPC-Infrastruktur beschrieben, die erforderlich ist, um den Verkehr öffentlich über das Internet oder privat innerhalb Ihrer Amazon VPC weiterzuleiten.

Öffentliches Routing über das Internet

In diesem Abschnitt wird die Amazon VPC-Infrastruktur einer Umgebung mit öffentlichem Routing beschrieben. Sie benötigen die folgende VPC-Infrastruktur:

Eine VPC-Sicherheitsgruppe. Eine VPC-Sicherheitsgruppe fungiert als virtuelle Firewall zur Steuerung des eingehenden (eingehenden) und ausgehenden (ausgehenden) Netzwerkverkehrs auf einer Instance.
- Es können bis zu 5 Sicherheitsgruppen angegeben werden.
- Die Sicherheitsgruppe muss für sich selbst eine Regel für eingehenden Datenverkehr angeben, die sich selbst referenziert.
- Die Sicherheitsgruppe muss eine ausgehende Regel für den gesamten Datenverkehr angeben (). 0.0.0.0/0
- Die Sicherheitsgruppe muss den gesamten Datenverkehr in der Regel für Selbstreferenzen zulassen. Beispiel, (Empfohlen) Beispiel für eine selbstreferenzierende Sicherheitsgruppe für alle Zugriffe .
- Die Sicherheitsgruppe kann den Verkehr optional weiter einschränken, indem sie den Portbereich für den HTTPS-Portbereich 443 und einen TCP-Portbereich angibt. 5432 Beispiel: (Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 5432 einschränkt und (Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 443 einschränkt.
Zwei öffentliche Subnetze. Ein öffentliches Subnetz ist in Subnetz, das einer Routing-Tabelle zugeordnet ist, die über eine Route zu einem Internet-Gateway verfügt.
- Zwei öffentliche Subnetze sind erforderlich. Auf diese Weise kann Amazon MWAA ein neues Container-Image für Ihre Umgebung in Ihrer anderen Availability Zone erstellen, falls ein Container ausfällt.
- Diese Subnetze müssen zu verschiedenen Availability-Zonen gehören. Zum Beispiel us-east-1a, us-east-1b.
- Die Subnetze müssen zu einem NAT-Gateway (oder einer NAT-Instance) mit einer Elastic IP-Adresse (EIP) weitergeleitet werden.
- Die Subnetze müssen über eine Routing-Tabelle verfügen, die den internetgebundenen Datenverkehr an ein Internet-Gateway weiterleitet.
Zwei private Subnetze. Ein privates Subnetz ist ein Subnetz, das keiner Routing-Tabelle zugeordnet ist, die eine Route zu einem Internet-Gateway enthält.
- Zwei private Subnetze sind erforderlich. Auf diese Weise kann Amazon MWAA ein neues Container-Image für Ihre Umgebung in Ihrer anderen Availability Zone erstellen, falls ein Container ausfällt.
- Diese Subnetze müssen zu verschiedenen Availability-Zonen gehören. Zum Beispiel us-east-1a, us-east-1b.
- Die Subnetze müssen über eine Routing-Tabelle zu einem NAT-Gerät (Gateway oder Instance) verfügen.
- Die Subnetze dürfen nicht zu einem Internet-Gateway weiterleiten.
Eine Netzwerkzugriffskontrollliste (ACL). Eine NACL verwaltet (nach Regeln zum Zulassen oder Verweigern) eingehenden und ausgehenden Verkehr auf Subnetzebene.
- Die NACL muss über eine Regel für eingehenden Datenverkehr verfügen, die den gesamten Datenverkehr zulässt (). 0.0.0.0/0
- Die NACL muss über eine Regel für ausgehenden Datenverkehr verfügen, die den gesamten Datenverkehr zulässt (). 0.0.0.0/0
- Beispiel, (Empfohlenes) Beispiel ACLs.
Zwei NAT-Gateways (oder NAT-Instanzen). Ein NAT-Gerät leitet den Datenverkehr von den Instances im privaten Subnetz an das Internet oder andere AWS Dienste weiter und leitet die Antwort dann zurück zu den Instances.
- Das NAT-Gerät muss an ein öffentliches Subnetz angeschlossen sein. (Ein NAT-Gerät pro öffentlichem Subnetz.)
- Das NAT-Gerät muss über eine Elastic IPv4 Address (EIP) verfügen, die an jedes öffentliche Subnetz angeschlossen ist.
Ein Internet-Gateway. Ein Internet-Gateway verbindet eine Amazon VPC mit dem Internet und anderen AWS Diensten.
- Ein Internet-Gateway muss an die Amazon VPC angeschlossen sein.

Privates Routing ohne Internetzugang

In diesem Abschnitt wird die Amazon VPC-Infrastruktur einer Umgebung mit privatem Routing beschrieben. Sie benötigen die folgende VPC-Infrastruktur:

Eine VPC-Sicherheitsgruppe. Eine VPC-Sicherheitsgruppe fungiert als virtuelle Firewall zur Steuerung des eingehenden (eingehenden) und ausgehenden (ausgehenden) Netzwerkverkehrs auf einer Instance.
- Es können bis zu 5 Sicherheitsgruppen angegeben werden.
- Die Sicherheitsgruppe muss für sich selbst eine Regel für eingehenden Datenverkehr angeben, die sich selbst referenziert.
- Die Sicherheitsgruppe muss eine ausgehende Regel für den gesamten Datenverkehr angeben (). 0.0.0.0/0
- Die Sicherheitsgruppe muss den gesamten Datenverkehr in der Regel für Selbstreferenzen zulassen. Beispiel, (Empfohlen) Beispiel für eine selbstreferenzierende Sicherheitsgruppe für alle Zugriffe .
- Die Sicherheitsgruppe kann den Verkehr optional weiter einschränken, indem sie den Portbereich für den HTTPS-Portbereich 443 und einen TCP-Portbereich angibt. 5432 Beispiel: (Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 5432 einschränkt und (Optional) Beispiel für eine Sicherheitsgruppe, die den eingehenden Zugriff auf Port 443 einschränkt.
Zwei private Subnetze. Ein privates Subnetz ist ein Subnetz, das keiner Routing-Tabelle zugeordnet ist, die eine Route zu einem Internet-Gateway enthält.
- Zwei private Subnetze sind erforderlich. Auf diese Weise kann Amazon MWAA ein neues Container-Image für Ihre Umgebung in Ihrer anderen Availability Zone erstellen, falls ein Container ausfällt.
- Diese Subnetze müssen zu verschiedenen Availability-Zonen gehören. Zum Beispiel us-east-1a, us-east-1b.
- Die Subnetze müssen über eine Routing-Tabelle zu Ihren VPC-Endpunkten verfügen.
- Die Subnetze dürfen weder über eine Routing-Tabelle zu einem NAT-Gerät (Gateway oder Instance) noch über ein Internet-Gateway verfügen.
Eine Netzwerkzugriffskontrollliste (ACL). Eine NACL verwaltet (nach Regeln zum Zulassen oder Verweigern) eingehenden und ausgehenden Verkehr auf Subnetzebene.
- Die NACL muss über eine Regel für eingehenden Datenverkehr verfügen, die den gesamten Datenverkehr zulässt (). 0.0.0.0/0
- Die NACL muss über eine Regel für ausgehenden Datenverkehr verfügen, die den gesamten Datenverkehr verweigert (). 0.0.0.0/0
- Beispiel, (Empfohlenes) Beispiel ACLs.
Eine lokale Routing-Tabelle. Eine lokale Routentabelle ist eine Standardroute für die Kommunikation innerhalb der VPC.
- Die lokale Routing-Tabelle muss Ihren privaten Subnetzen zugeordnet sein.
- Die lokale Routentabelle muss es Instances in Ihrer VPC ermöglichen, mit Ihrem eigenen Netzwerk zu kommunizieren. Wenn Sie beispielsweise einen für den AWS Client VPN Zugriff auf die VPC-Schnittstelle für Ihren Apache Airflow-Webserver verwenden, muss die Routentabelle zum VPC-Endpunkt weiterleiten.
VPC-Endpunkte für jeden AWS Service, der von Ihrer Umgebung verwendet wird, und Apache Airflow VPC-Endpunkte in derselben AWS Region und Amazon VPC wie Ihre Amazon MWAA-Umgebung.
- Ein VPC-Endpunkt für jeden von der Umgebung verwendeten AWS Dienst und VPC-Endpunkte für Apache Airflow. Beispiel, (Erforderlich) VPC-Endpunkte.
- Auf den VPC-Endpunkten muss privates DNS aktiviert sein.
- Die VPC-Endpunkte müssen den beiden privaten Subnetzen Ihrer Umgebung zugeordnet sein.
- Die VPC-Endpunkte müssen der Sicherheitsgruppe Ihrer Umgebung zugeordnet sein.
- Die VPC-Endpunktrichtlinie für jeden Endpunkt sollte so konfiguriert werden, dass der Zugriff auf die von der Umgebung verwendeten AWS Dienste ermöglicht wird. Beispiel, (Empfohlen) Beispiel für eine VPC-Endpunktrichtlinie, um allen Zugriff zuzulassen.
- Eine VPC-Endpunktrichtlinie für Amazon S3 sollte so konfiguriert werden, dass sie den Bucket-Zugriff ermöglicht. Beispiel, (Empfohlen) Beispiel für eine Amazon S3 S3-Gateway-Endpunktrichtlinie zum Zulassen des Bucket-Zugriffs.

Beispielanwendungsfälle für eine Amazon VPC und den Apache Airflow-Zugriffsmodus

In diesem Abschnitt werden die verschiedenen Anwendungsfälle für den Netzwerkzugriff in Ihrer Amazon VPC und der Apache Airflow-Webserver-Zugriffsmodus beschrieben, den Sie auf der Amazon MWAA-Konsole wählen sollten.

Internetzugang ist erlaubt — neues Amazon VPC-Netzwerk

Wenn Ihr Unternehmen den Internetzugang in Ihrer VPC erlaubt und Sie möchten, dass Benutzer über das Internet auf Ihren Apache Airflow-Webserver zugreifen:

Erstellen Sie ein Amazon VPC-Netzwerk mit Internetzugang.
Erstellen Sie eine Umgebung mit dem öffentlichen Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver.
Was wir empfehlen: Wir empfehlen, die AWS CloudFormation Schnellstartvorlage zu verwenden, mit der die Amazon VPC-Infrastruktur, ein Amazon S3 S3-Bucket und eine Amazon MWAA-Umgebung gleichzeitig erstellt werden. Weitere Informationen hierzu finden Sie unter Schnellstartanleitung für Amazon Managed Workflows für Apache Airflow.

Wenn Ihr Unternehmen den Internetzugang in Ihrer VPC erlaubt und Sie den Zugriff auf den Apache Airflow-Webserver auf Benutzer innerhalb Ihrer VPC beschränken möchten:

Erstellen Sie ein Amazon VPC-Netzwerk mit Internetzugang.
Erstellen Sie einen Mechanismus, um von Ihrem Computer aus auf den VPC-Schnittstellenendpunkt für Ihren Apache Airflow-Webserver zuzugreifen.
Erstellen Sie eine Umgebung mit dem privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver.
Was wir empfehlen:
1. Wir empfehlen, die Amazon MWAA-Konsole in oder die AWS CloudFormation Vorlage in Option eins: Erstellen des VPC-Netzwerks auf der Amazon MWAA-Konsole zu verwenden. Option zwei: Erstellen eines Amazon VPC-Netzwerks mit Internetzugang
2. Wir empfehlen, den Zugriff über einen auf Ihren Apache Airflow-Webserver in AWS Client VPN zu konfigurieren. Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einem AWS Client VPN

Internetzugang ist nicht erlaubt — neues Amazon VPC-Netzwerk

Wenn Ihr Unternehmen den Internetzugang in Ihrer VPC nicht zulässt:

Erstellen Sie ein Amazon VPC-Netzwerk ohne Internetzugang.
Erstellen Sie einen Mechanismus, um von Ihrem Computer aus auf den VPC-Schnittstellenendpunkt für Ihren Apache Airflow-Webserver zuzugreifen.
Erstellen Sie VPC-Endpunkte für jeden AWS Service, der von Ihrer Umgebung verwendet wird.
Erstellen Sie eine Umgebung mit dem privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver.
Was wir empfehlen:
1. Wir empfehlen, die AWS CloudFormation Vorlage zu verwenden, um eine Amazon-VPC ohne Internetzugang und die VPC-Endpunkte für jeden von Amazon MWAA verwendeten AWS Service in zu erstellen. Option drei: Erstellen eines Amazon VPC-Netzwerks ohne Internetzugang
2. Wir empfehlen, den Zugriff über einen auf Ihren Apache Airflow-Webserver AWS Client VPN in zu konfigurieren. Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einem AWS Client VPN

Internetzugang ist nicht erlaubt — vorhandenes Amazon VPC-Netzwerk

Wenn Ihr Unternehmen den Internetzugang in Ihrer VPC nicht zulässt und Sie bereits über das erforderliche Amazon VPC-Netzwerk ohne Internetzugang verfügen:

Erstellen Sie VPC-Endpunkte für jeden AWS Service, der von Ihrer Umgebung verwendet wird.
Erstellen Sie VPC-Endpoints für Apache Airflow.
Erstellen Sie einen Mechanismus, um von Ihrem Computer aus auf den VPC-Schnittstellenendpunkt für Ihren Apache Airflow-Webserver zuzugreifen.
Erstellen Sie eine Umgebung mit dem privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver.
Was wir empfehlen:
1. Wir empfehlen, die VPC-Endpunkte zu erstellen und anzuhängen, die für jeden von Amazon MWAA verwendeten AWS Service benötigt werden, sowie die VPC-Endpunkte, die für Apache Airflow in benötigt werden. Erstellung der erforderlichen VPC-Serviceendpunkte in einer Amazon VPC mit privatem Routing
2. Wir empfehlen, den Zugriff über einen auf Ihren Apache Airflow-Webserver in zu konfigurieren. AWS Client VPN Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einem AWS Client VPN

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Netzwerk

Sicherheit in Ihrer VPC