Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwaltung des Zugriffs auf servicespezifische Amazon VPC-Endpunkte auf Amazon MWAA
Ein VPC-Endpunkt (AWS PrivateLink) ermöglicht es Ihnen, Ihre VPC privat mit Diensten zu verbinden, auf denen gehostet wird, AWS ohne dass ein Internet-Gateway, ein NAT-Gerät, VPN oder Firewall-Proxys erforderlich sind. Bei diesen Endpunkten handelt es sich um horizontal skalierbare und hochverfügbare virtuelle Geräte, die die Kommunikation zwischen Instances in Ihrer VPC und AWS Services ermöglichen. Auf dieser Seite werden die von Amazon MWAA erstellten VPC-Endpoints beschrieben und wie Sie auf den VPC-Endpunkt für Ihren Apache Airflow-Webserver zugreifen können, wenn Sie den privaten Netzwerkzugriffsmodus in Amazon Managed Workflows for Apache Airflow gewählt haben.
Inhalt
Preisgestaltung
Übersicht über VPC-Endpunkte
Wenn Sie eine Amazon MWAA-Umgebung erstellen, erstellt Amazon MWAA zwischen einem und zwei VPC-Endpunkten für Ihre Umgebung. Diese Endpunkte werden als Elastic Network Interfaces (ENIs) mit privaten IPs in Ihrer Amazon VPC angezeigt. Nachdem diese Endpunkte erstellt wurden, wird jeglicher Datenverkehr, der für diese IPs bestimmt ist, privat oder öffentlich an die entsprechenden AWS Dienste weitergeleitet, die von Ihrer Umgebung verwendet werden.
Öffentlicher Netzwerkzugriffsmodus
Wenn Sie den Modus Öffentlicher Netzwerkzugriff für Ihren Apache Airflow-Webserver gewählt haben, wird der Netzwerkverkehr öffentlich über das Internet geleitet.
-
Amazon MWAA erstellt einen VPC-Schnittstellenendpunkt für Ihre Amazon Aurora PostgreSQL-Metadatendatenbank. Der Endpunkt wird in den Availability Zones erstellt, die Ihren privaten Subnetzen zugeordnet sind, und ist unabhängig von anderen Konten. AWS
-
Amazon MWAA bindet dann eine IP-Adresse aus Ihren privaten Subnetzen an die Schnittstellenendpunkte. Dies soll die bewährte Methode unterstützen, eine einzelne IP aus jeder Availability Zone der Amazon VPC zu binden.
Privater Netzwerkzugriffsmodus
Wenn Sie den privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver gewählt haben, wird der Netzwerkverkehr innerhalb Ihrer Amazon VPC privat weitergeleitet.
-
Amazon MWAA erstellt einen VPC-Schnittstellenendpunkt für Ihren Apache Airflow-Webserver und einen Schnittstellenendpunkt für Ihre Amazon Aurora PostgreSQL-Metadatendatenbank. Die Endpunkte werden in den Availability Zones erstellt, die Ihren privaten Subnetzen zugeordnet sind, und sind unabhängig von anderen Konten. AWS
-
Amazon MWAA bindet dann eine IP-Adresse aus Ihren privaten Subnetzen an die Schnittstellenendpunkte. Dies soll die bewährte Methode unterstützen, eine einzelne IP aus jeder Availability Zone der Amazon VPC zu binden.
Erlaubnis zur Nutzung anderer Dienste AWS
Die Schnittstellenendpunkte verwenden die Ausführungsrolle für Ihre Umgebung in AWS Identity and Access Management (IAM), um die Berechtigungen für AWS Ressourcen zu verwalten, die von Ihrer Umgebung verwendet werden. Da mehr AWS Dienste für eine Umgebung aktiviert sind, müssen Sie für jeden Dienst Berechtigungen mithilfe der Ausführungsrolle Ihrer Umgebung konfigurieren. Informationen zum Hinzufügen von Berechtigungen finden Sie unterMWAAAmazon-Ausführungsrolle.
Wenn Sie den privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver ausgewählt haben, müssen Sie auch in der VPC-Endpunktrichtlinie für jeden Endpunkt eine Genehmigung zulassen. Weitere Informationen hierzu finden Sie unter VPCEndpunktrichtlinien (nur privates Routing).
VPC-Endpoints anzeigen
In diesem Abschnitt wird beschrieben, wie Sie die von Amazon MWAA erstellten VPC-Endpoints anzeigen und wie Sie die privaten IP-Adressen für Ihren Apache Airflow VPC-Endpoint identifizieren.
VPC-Endpunkte auf der Amazon VPC-Konsole anzeigen
Der folgende Abschnitt zeigt die Schritte zum Anzeigen der VPC-Endpunkte, die von Amazon MWAA erstellt wurden, und aller VPC-Endpunkte, die Sie möglicherweise erstellt haben, wenn Sie privates Routing für Ihre Amazon VPC verwenden.
So zeigen Sie die VPC-Endpunkte an
-
Öffnen Sie die Seite Endpoints
in der Amazon VPC-Konsole. -
Verwenden Sie die AWS Regionsauswahl, um Ihre Region auszuwählen.
-
Sie sollten die von Amazon MWAA erstellten VPC-Schnittstellenendpunkte sowie alle VPC-Endpunkte sehen, die Sie möglicherweise erstellt haben, wenn Sie privates Routing in Ihrer Amazon VPC verwenden.
Weitere Informationen zu den VPC-Service-Endpunkten, die für eine Amazon VPC mit privatem Routing erforderlich sind, finden Sie unter. Erstellung der erforderlichen VPC Service-Endpunkte in einem Amazon VPC mit privatem Routing
Identifizieren der privaten IP-Adressen Ihres Apache Airflow-Webservers und seines VPC-Endpunkts
In den folgenden Schritten wird beschrieben, wie Sie den Hostnamen Ihres Apache Airflow-Webservers und dessen VPC-Schnittstellenendpunkt sowie deren private IP-Adressen abrufen.
-
Verwenden Sie den folgenden Befehl AWS Command Line Interface (AWS CLI), um den Hostnamen für Ihren Apache Airflow-Webserver abzurufen.
aws mwaa get-environment --nameYOUR_ENVIRONMENT_NAME--query 'Environment.WebserverUrl'Sie sollten etwas Ähnliches wie die folgende Antwort sehen:
"99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com" -
Führen Sie einen Dig-Befehl für den Hostnamen aus, der in der Antwort des vorherigen Befehls zurückgegeben wurde. Beispielsweise:
dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce---c10---us-west-2---airflow.amazonaws.com.rproxy.goskope.comSie sollten etwas Ähnliches wie die folgende Antwort sehen:
vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com. -
Verwenden Sie den folgenden AWS Command Line Interface (AWS CLI) Befehl, um den DNS-Namen des VPC-Endpunkts abzurufen, der in der Antwort auf den vorherigen Befehl zurückgegeben wurde. Beispielsweise:
aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr---vpce-svc-00bb7c2ca2213bc37---us-west-2---vpce.amazonaws.com.rproxy.goskope.com.Sie sollten etwas Ähnliches wie die folgende Antwort sehen:
"DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com", -
Führen Sie entweder den Befehl nslookup oder dig für Ihren Apache Airflow-Hostnamen und den DNS-Namen des VPC-Endpunkts aus, um die IP-Adressen abzurufen. Beispielsweise:
dig +shortYOUR_AIRFLOW_HOST_NAMEYOUR_AIRFLOW_VPC_ENDPOINT_DNSSie sollten etwas Ähnliches wie die folgende Antwort sehen:
192.0.5.1 192.0.6.1
Zugreifen auf den VPC-Endpunkt für Ihren Apache Airflow Webserver (privater Netzwerkzugriff)
Wenn Sie den privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver ausgewählt haben, müssen Sie einen Mechanismus für den Zugriff auf den VPC-Schnittstellenendpunkt für Ihren Apache Airflow-Webserver erstellen. Sie müssen für diese Ressourcen dieselbe Amazon VPC, VPC-Sicherheitsgruppe und dieselben privaten Subnetze wie Ihre Amazon MWAA-Umgebung verwenden.
Verwenden Sie ein AWS Client VPN
AWS Client VPN ist ein verwalteter clientbasierter VPN-Dienst, mit dem Sie sicher auf Ihre AWS Ressourcen und Ressourcen in Ihrem lokalen Netzwerk zugreifen können. Es bietet mithilfe des OpenVPN-Clients eine sichere TLS-Verbindung von jedem Standort aus.
Wir empfehlen, dem Amazon MWAA-Tutorial zu folgen, um ein Client VPN zu konfigurieren:. Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einemAWS Client VPN
Verwenden eines Linux-Bastion-Hosts
Ein Bastion-Host ist ein Server, dessen Zweck darin besteht, den Zugriff auf ein privates Netzwerk von einem externen Netzwerk aus zu ermöglichen, z. B. über das Internet von Ihrem Computer aus. Linux-Instances befinden sich in einem öffentlichen Subnetz und sind mit einer Sicherheitsgruppe eingerichtet, die den SSH-Zugriff von der Sicherheitsgruppe aus ermöglicht, die mit der zugrunde liegenden Amazon EC2 EC2-Instance verbunden ist, auf der der Bastion-Host ausgeführt wird.
Wir empfehlen, dem Amazon MWAA-Tutorial zu folgen, um einen Linux Bastion Host zu konfigurieren:. Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einem Linux Bastion Host
Verwenden eines Load Balancer (fortgeschritten)
Der folgende Abschnitt zeigt die Konfigurationen, die Sie auf einen Application Load Balancer anwenden müssen.
-
Zielgruppen. Sie müssen Zielgruppen verwenden, die auf die privaten IP-Adressen Ihres Apache Airflow-Webservers und dessen VPC-Schnittstellenendpunkt verweisen. Wir empfehlen, beide privaten IP-Adressen als Ihre registrierten Ziele anzugeben, da die Verwendung von nur einer Adresse die Verfügbarkeit verringern kann. Weitere Informationen zur Identifizierung der privaten IP-Adressen finden Sie unterIdentifizieren der privaten IP-Adressen Ihres Apache Airflow-Webservers und seines VPC-Endpunkts.
-
Statuscodes. Wir empfehlen
200,302Statuscodes in Ihren Zielgruppeneinstellungen zu verwenden. Andernfalls werden die Ziele möglicherweise als fehlerhaft gekennzeichnet, wenn der VPC-Endpunkt für den Apache Airflow-Webserver mit einem Fehler reagiert.302 Redirect -
HTTPS-Listener. Sie müssen den Zielport für den Apache Airflow-Webserver angeben. Beispielsweise:
Protokoll Port HTTPS
443
-
Neue ACM-Domäne. Wenn Sie ein SSL/TLS-Zertifikat zuordnen möchten AWS Certificate Manager, müssen Sie eine neue Domain für den HTTPS-Listener für Ihren Load Balancer erstellen.
-
Region des ACM-Zertifikats. Wenn Sie ein SSL/TLS-Zertifikat zuordnen möchten AWS Certificate Manager, müssen Sie es in dieselbe AWS Region hochladen wie Ihre Umgebung. Beispielsweise:
-
Beispiel Region, in die das Zertifikat hochgeladen werden soll
aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem--region us-west-2
-
