Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einemAWS Client VPN - Amazon Managed Workflows für Apache Airflow

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einemAWS Client VPN

Dieses Tutorial führt Sie durch die Schritte zum Erstellen eines VPN-Tunnels von Ihrem Computer zum Apache Airflow-Webserver für Ihre Amazon Managed Workflows for Apache Airflow-Umgebung. Um über einen VPN-Tunnel eine Verbindung zum Internet herzustellen, müssen Sie zunächst einenAWS Client VPN Endpunkt erstellen. Nach der Einrichtung fungiert ein Client-VPN-Endpunkt als VPN-Server, der eine sichere Verbindung von Ihrem Computer zu den Ressourcen in Ihrer VPC ermöglicht. Anschließend stellen Sie von Ihrem Computer aus mithilfe des AWS Client VPNfür Desktop eine Verbindung zum Client VPN her.

Privates Netzwerk

In diesem Tutorial wird davon ausgegangen, dass Sie den privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver ausgewählt haben.

Dieses Bild zeigt die Architektur für eine Amazon MWAA-Umgebung mit einem privaten Webserver.

Der private Netzwerkzugriffsmodus beschränkt den Zugriff auf die Apache Airflow-Benutzeroberfläche auf Benutzer innerhalb Ihrer Amazon VPC, denen Zugriff auf die IAM-Richtlinie für Ihre Umgebung gewährt wurde.

Wenn Sie eine Umgebung mit privatem Webserverzugriff erstellen, müssen Sie alle Ihre Abhängigkeiten in ein Python-Rad-Archiv (.whl) packen und dann.whl in Ihrem auf das verweisenrequirements.txt. Anweisungen zum Packen und Installieren Ihrer Abhängigkeiten mithilfe von Wheel finden Sie unter Abhängigkeiten mit Python-Rad verwalten.

Die folgende Abbildung zeigt, wo Sie die Option Privates Netzwerk auf der Amazon MWAA-Konsole finden.

Dieses Bild zeigt, wo Sie die Option Privates Netzwerk auf der Amazon MWAA-Konsole finden.

Anwendungsfälle

Sie können dieses Tutorial verwenden, bevor oder nachdem Sie eine Amazon MWAA-Umgebung erstellt haben. Sie müssen dieselbe Amazon VPC, dieselbe VPC-Sicherheitsgruppe (n) und dieselben privaten Subnetze wie Ihre Umgebung verwenden. Wenn Sie dieses Tutorial verwenden, nachdem Sie eine Amazon MWAA-Umgebung erstellt haben, können Sie nach Abschluss der Schritte zur Amazon MWAA-Konsole zurückkehren und den Zugriffsmodus Ihres Apache Airflow-Webservers auf Privates Netzwerk ändern.

Bevor Sie beginnen

  1. Suchen Sie nach Benutzerberechtigungen. Stellen Sie sicher, dass Ihr Konto inAWS Identity and Access Management (IAM) über ausreichende Berechtigungen zum Erstellen und Verwalten von VPC-Ressourcen verfügt.

  2. Verwenden Sie Ihre Amazon MWAA VPC. In diesem Tutorial wird davon ausgegangen, dass Sie das Client VPN einer vorhandenen VPC zuordnen. Die Amazon VPC muss sich in derselbenAWS Region wie eine Amazon MWAA-Umgebung befinden und über zwei private Subnetze verfügen. Wenn Sie noch keine Amazon VPC erstellt haben, verwenden Sie dieAWS CloudFormation Vorlage inOption drei: Erstellen eines VPC Amazon-Netzwerks ohne Internetzugang.

Zielsetzungen

In diesem Tutorial führen Sie folgende Aufgaben durch:

  1. Erstellen Sie einenAWS Client VPN Endpunkt mithilfe einerAWS CloudFormation Vorlage für eine bestehende Amazon VPC.

  2. Generieren Server- und Client-Zertifikate und Client-Zertifikate und laden Sie dann das Serverzertifikat und der SchlüsselAWS Certificate Manager in dieselbeAWS Region in -Tags hoch.

  3. Laden Sie eine Client-VPN-Endpunktkonfigurationsdatei für Ihr Client VPN herunter, ändern Sie sie und verwenden Sie die Datei, um ein VPN-Profil für die Verbindung mit dem Client VPN für Desktop zu erstellen.

(Optional) Erster Schritt: Identifizieren Sie Ihre VPC, CIDR-Regeln und VPC-Sicherheit (en)

Im folgenden Abschnitt wird beschrieben, wie Sie IDs für Ihre Amazon VPC und VPC-Sicherheitsgruppe finden und wie Sie die CIDR-Regeln identifizieren, die Sie in den nachfolgenden Schritten zum Erstellen Ihres Client VPN benötigen.

Identifizieren Sie Ihre CIDR-Regeln

Der folgende Abschnitt zeigt, wie Sie die CIDR-Regeln identifizieren, die Sie benötigen, um Ihr Client VPN zu erstellen.

Um den CIDR für Ihr Client VPN zu identifizieren
  1. Öffnen Sie die Seite Ihre Amazon VPCs in der Amazon VPC-Konsole.

  2. Verwenden Sie die Regionsauswahl in der Navigationsleiste, um dieselbeAWS Region wie eine Amazon MWAA-Umgebung auszuwählen.

  3. Wählen Sie Ihre Amazon VPC.

  4. Angenommen, die CIDRs für Ihre privaten Subnetze sind:

    • Privates Subnetz 1:10.192.10.0/24

    • Privates Subnetz 2:10.192.11.0/24

    Wenn der CIDR für Ihre Amazon VPC 10.192.0.0 ist/16, dann wäre der Client-IPv4-CIDR, den Sie für Ihr Client VPN angeben würden, 10.192.0.0/22.

  5. Speichern Sie diesen CIDR-Wert und den Wert Ihrer VPC-ID für nachfolgende Schritte.

Identifizieren Sie Ihre VPC und Sicherheitsgruppe (n)

Der folgende Abschnitt zeigt, wie Sie die ID Ihrer Amazon VPC und Sicherheitsgruppe (n) finden, die Sie benötigen, um Ihr Client VPN zu erstellen.

Anmerkung

Möglicherweise verwenden Sie mehr als eine Sicherheitsgruppe. In den nachfolgenden Schritten müssen Sie alle Sicherheitsgruppen Ihrer VPC angeben.

Um die Sicherheitsgruppe (n) zu identifizieren
  1. Öffnen Sie die Seite Sicherheitsgruppen in der Amazon VPC-Konsole.

  2. Verwenden Sie die Regionsauswahl in der Navigationsleiste, um dieAWS Region auszuwählen.

  3. Suchen Sie in der VPC-ID nach der Amazon VPC und identifizieren Sie die Sicherheitsgruppen, die der VPC zugeordnet sind.

  4. Speichern Sie die ID Ihrer Sicherheitsgruppe (n) und Ihrer VPC für nachfolgende Schritte.

Schritt 2: Erstellen der Server- und Client-Zertifikate

Client VPN-Endpunkte unterstützen bei RSA nur Schlüsselgrößen von 1024-Bit und 2048-Bit. Im folgenden Abschnitt wird zum Generieren der OpenVPN und Client-Zertifikate sowie der Server- und Client-Zertifikate sowie der Schlüssel verwendet. Anschließend wird die Zertifikate unter Verwendung derAWS Command Line Interface (AWS CLI) nach ACM hochgeladen.

Um die Client-Zertifikate zu erstellen
  1. Folgen Sie diesen schnellen Schritten, um die Zertifikate zu erstellen und über denAWS CLI Link Client-Authentifizierung und -Autorisierung: Gegenseitige Authentifizierung auf ACM hochzuladen.

  2. In diesen Schritten müssen Sie beim Hochladen Ihrer Server- und Client-Zertifikate imAWS CLI Befehl dieselbeAWS Region wie eine Amazon MWAA-Umgebung angeben. Hier sehen Sie einige Beispiele dafür, wie Sie die Region in diesen Befehlen angeben:

    1. Beispiel Region für Serverzertifikat
      aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt --region us-west-2
    2. Beispiel Region für das Client-Zertifikat
      aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt --region us-west-2
    3. Speichern Sie nach diesen Schritten den Wert, der in derAWS CLI Antwort für die ARNs des Serverzertifikats und des Client-Zertifikats zurückgegeben wurde. Sie geben diese ARNs in IhrerAWS CloudFormation Vorlage an, um das Client VPN zu erstellen.

  3. In diesen Schritten werden ein Client-Zertifikat und ein privater Schlüssel auf Ihrem Computer gespeichert. Hier sehen Sie ein Beispiel dafür, wo Sie diese Anmeldeinformationen finden:

    1. Beispiel unter macOS

      Unter macOS werden die Inhalte unter gespeichert/Users/youruser/custom_folder. Wenn Sie alle (ls -a) -Inhalte dieses Verzeichnisses auflisten, sollten Sie etwas Ähnliches wie das Folgende sehen:

      . .. ca.crt client1.domain.tld.crt client1.domain.tld.key server.crt server.key
    2. Speichern Sie nach diesen Schritten den Inhalt oder notieren Sie sich den Speicherort des Client-Zertifikats und den privaten Schlüssel inclient1.domain.tld.key.client1.domain.tld.crt Sie werden diese Werte zur Konfigurationsdatei für Ihr Client VPN hinzufügen.

Schritt drei: Speichern Sie dieAWS CloudFormation Vorlage lokal

Der folgende Abschnitt enthält dieAWS CloudFormation Vorlage zum Erstellen des Client VPN. Sie müssen dieselbe Amazon VPC, VPC-Sicherheitsgruppe (n) und dieselben privaten Subnetze wie Ihre Amazon MWAA-Umgebung angeben.

  • Kopieren Sie den Inhalt der folgenden Vorlage und speichern Sie es lokal untermwaa_vpn_client.yaml. Sie können die Vorlage auch herunterladen.

    Ersetzen Sie die folgenden Werte:

    • YOUR_CLIENT_ROOT_CERTIFICATE_ARN— Der ARN für Ihr client1.domain.tld-Zertifikat inClientRootCertificateChainArn.

    • YOUR_SERVER_CERTIFICATE_ARN— Der ARN für Ihr Serverzertifikat inServerCertificateArn.

    • Die Client-IPv4-CIDR-Regel inClientCidrBlock. Eine CIDR-Regel von10.192.0.0/22 wird bereitgestellt.

    • Ihre Amazon VPC-ID inVpcId. Eine VPC vonvpc-010101010101 wird bereitgestellt.

    • Ihre VPC-Sicherheitsgruppen-ID (n) inSecurityGroupIds. Eine Sicherheitsgruppe vonsg-0101010101 wird bereitgestellt.

    AWSTemplateFormatVersion: 2010-09-09 Description: This template deploys a VPN Client Endpoint. Resources: ClientVpnEndpoint: Type: 'AWS::EC2::ClientVpnEndpoint' Properties: AuthenticationOptions: - Type: "certificate-authentication" MutualAuthentication: ClientRootCertificateChainArn: "YOUR_CLIENT_ROOT_CERTIFICATE_ARN" ClientCidrBlock: 10.192.0.0/22 ClientConnectOptions: Enabled: false ConnectionLogOptions: Enabled: false Description: "MWAA Client VPN" DnsServers: [] SecurityGroupIds: - sg-0101010101 SelfServicePortal: '' ServerCertificateArn: "YOUR_SERVER_CERTIFICATE_ARN" SplitTunnel: true TagSpecifications: - ResourceType: "client-vpn-endpoint" Tags: - Key: Name Value: MWAA-Client-VPN TransportProtocol: udp VpcId: vpc-010101010101 VpnPort: 443
Anmerkung

Wenn Sie mehr als eine Sicherheitsgruppe für Ihre Umgebung verwenden, können Sie mehrere Sicherheitsgruppen im folgenden Format angeben:

SecurityGroupIds: - sg-0112233445566778b - sg-0223344556677889f

Schritt vier: Erstellen Sie denAWS CloudFormation Client-VPN-Stack

So erstellen Sie das AWS Client VPN
  1. Öffnen Sie die AWS CloudFormation-Konsole.

  2. Wählen Sie Vorlage ist fertig, Laden Sie eine Vorlagendatei hoch.

  3. Wählen Sie Datei auswählen und wählen Sie Ihremwaa_vpn_client.yaml Datei aus.

  4. Wählen Sie Weiter, Weiter.

  5. Wählen Sie die Bestätigung aus, und wählen Sie dann Stapel erstellen.

Schritt fünf: Subnetze mit Ihrem Client VPN verknüpfen

Um private Subnetze mit dem zu verknüpfenAWS Client VPN
  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Wählen Sie die Seite Client VPN Endpoints aus.

  3. Wählen Sie Ihr Client VPN aus und wählen Sie dann auf der Registerkarte Verknüpfungen die Option Zuordnen.

  4. Wählen Sie in der Dropdown-Liste Folgendes aus:

    • Ihre Amazon VPC in VPC.

    • Eines Ihrer privaten Subnetze unter Wählen Sie ein Subnetz aus, das Sie zuordnen möchten.

  5. Wählen Sie Associate aus.

Anmerkung

Es dauert einige Minuten, bis die VPC und das Subnetz dem Client VPN zugeordnet werden.

Schritt 6: Fügen Sie Ihrem Client VPN eine Autorisierungsregel für den Eingang hinzu

Sie müssen Ihrem Client VPN eine Autorisierungsregel für den Eingang hinzufügen, indem Sie die CIDR-Regel für Ihre VPC verwenden. Wenn Sie bestimmte Benutzer oder Gruppen aus Ihrer Active Directory-Gruppe oder Ihrem SAML-basierten Identitätsanbieter (IdP) autorisieren möchten, lesen Sie die Autorisierungsregeln im Client-VPN-Handbuch.

Um den CIDR zu der hinzuzufügenAWS Client VPN
  1. Öffnen Sie die Amazon VPC-Konsole.

  2. Wählen Sie die Seite Client VPN Endpoints aus.

  3. Wählen Sie Ihr Client VPN aus und wählen Sie dann auf der Registerkarte Autorisierung den Eingang autorisieren.

  4. Geben Sie Folgendes an:

    • Die CIDR-Regel Ihrer Amazon VPC im Zielnetzwerk muss aktiviert werden. Beispiel:

      10.192.0.0/16
    • Wählen Sie unter Zugriff gewähren für alle Benutzer die Option Zugriff gewähren aus.

    • Geben Sie unter Beschreibung einen aussagekräftigen Namen ein.

  5. Wählen Sie Autorisierungsregel hinzufügen.

Anmerkung

Abhängig von den Netzwerkkomponenten für Ihre Amazon VPC benötigen Sie möglicherweise auch diese Autorisierungsregel für den Eingang in Ihre Network Access Control List (NACL).

Schritt 7: Herunterladen der Server VPN-Endpunkt-Konfigurationsdatei

So laden Sie die Konfigurationsdatei herunter
  1. Folgen Sie diesen schnellen Schritten, um die Client-VPN-Konfigurationsdatei unter Herunterladen der Client-VPN-Endpunktkonfigurationsdatei herunterzuladen.

  2. In diesen Schritten werden Sie aufgefordert, dem DNS-Namen Ihres Client-VPN-Endpunkts eine Zeichenfolge voranzustellen. Ein Beispiel:

    1. Beispiel DNS-Name des -Endpunkts

      Wenn der DNS-Name Ihres Client VPN VPN-Endpunkts wie folgt aussieht:

      remote cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443

      Sie können eine Zeichenfolge hinzufügen, um Ihren Client-VPN-Endpunkt wie folgt zu identifizieren:

      remote mwaavpn.cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443
  3. In diesen Schritten werden Sie dazu den Inhalt des Client-Zertifikats in<cert></cert> -Tags hinzu. Anschließend wird den Inhalt des privaten Schlüssels in<key></key> -Tags hinzu. Ein Beispiel:

    1. Öffnen Sie eine Befehlszeile und ändern Sie das Verzeichnis zum Speicherort Ihres Client-Zertifikats und Ihres privaten Schlüssels.

    2. Beispiel macOS client1.domain.tld.crt

      Um den Inhalt derclient1.domain.tld.crt Datei auf macOS anzuzeigen, können Sie verwendencat client1.domain.tld.crt.

      Kopieren Sie den Wert aus dem Terminal und fügen Sie ihndownloaded-client-config.ovpn wie folgt ein:

      ZZZ1111dddaBBB -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- YOUR client1.domain.tld.crt -----END CERTIFICATE----- </cert>
    3. Beispiel macOS client1.domain.tld.key

      Um den Inhalt von anzuzeigenclient1.domain.tld.key, können Sie verwendencat client1.domain.tld.key.

      Kopieren Sie den Wert aus dem Terminal und fügen Sie ihndownloaded-client-config.ovpn wie folgt ein:

      ZZZ1111dddaBBB -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- YOUR client1.domain.tld.crt -----END CERTIFICATE----- </cert> <key> -----BEGIN CERTIFICATE----- YOUR client1.domain.tld.key -----END CERTIFICATE----- </key>

Schritt acht: Stellen Sie eine Verbindung zum herAWS Client VPN

Der KundeAWS Client VPN wird kostenlos zur Verfügung gestellt. Sie können Ihren Computer direkt mit verbinden,AWS Client VPN um ein durchgehendes VPN-Erlebnis zu erhalten.

Um eine Verbindung zum Client VPN herzustellen
  1. Laden Sie das AWS Client VPNfür den Desktop herunter und installieren Sie es.

  2. Öffnen Sie die AWS Client VPN.

  3. Wählen Sie im VPN-Client-Menü Datei, Verwaltete Profile.

  4. Wählen Sie Profil hinzufügen und wählen Sie dann diedownloaded-client-config.ovpn.

  5. Geben Sie im Feld Anzeigename einen beschreibenden Namen ein.

  6. Wählen Sie Profil hinzufügen, Fertig.

  7. Wählen Sie Connect (Verbinden) aus.

Nachdem Sie sich mit dem Client VPN verbunden haben, müssen Sie die Verbindung zu anderen VPNs trennen, um alle Ressourcen in Ihrer Amazon VPC sehen zu können.

Anmerkung

Möglicherweise müssen Sie den Client beenden und erneut starten, bevor Sie eine Verbindung herstellen können.

Als nächstes

  • Erfahren Sie unter, wie Sie eine Amazon MWAA-Umgebung erstellenBeginnen Sie mit Amazon Managed Workflows for Apache Airflow. Sie müssen eine Umgebung in derselbenAWS Region wie das Client VPN erstellen und dieselbe VPC, dieselben privaten Subnetze und Sicherheitsgruppe wie das Client VPN verwenden.