Erstellung eines VPC-Endpunkts Eine Appliance mit einem privaten Subnetz verbinden Beispielvorlagen AWS CloudFormation

Verwenden eines VPC-Endpunkts

Wenn Sie in einer VPC ohne Internetzugang arbeiten, können Sie einen VPC-Endpunkt für die Verwendung mit AWS Panorama erstellen. Ein VPC-Endpunkt ermöglicht es Clients, die in einem privaten Subnetz laufen, sich ohne Internetverbindung mit einem AWS-Service zu verbinden.

Einzelheiten zu den Ports und Endpunkten, die von der AWS Panorama Appliance verwendet werden, finden Sie unterDie AWS Panorama Appliance mit Ihrem Netzwerk verbinden.

Sections

Erstellung eines VPC-Endpunkts
Eine Appliance mit einem privaten Subnetz verbinden
Beispielvorlagen AWS CloudFormation

Erstellung eines VPC-Endpunkts

Um eine private Verbindung zwischen Ihrer VPC und AWS Panorama herzustellen, erstellen Sie einen VPC-Endpunkt. Für die Verwendung von AWS Panorama ist kein VPC-Endpunkt erforderlich. Sie müssen nur dann einen VPC-Endpunkt erstellen, wenn Sie in einer VPC ohne Internetzugang arbeiten. Wenn die AWS-CLI oder das SDK versucht, eine Verbindung zu AWS Panorama herzustellen, wird der Datenverkehr über den VPC-Endpunkt geleitet.

Erstellen Sie einen VPC-Endpunkt für AWS Panorama mit den folgenden Einstellungen:

Name des Dienstes — com.amazonaws.us-west-2.panorama
Typ — Schnittstelle

Ein VPC-Endpunkt verwendet den DNS-Namen des Services, um ohne zusätzliche Konfiguration Traffic von AWS-SDK-Clients abzurufen. Weitere Informationen zur Verwendung von VPC-Endpunkten finden Sie unter Interface VPC Endpoints im Amazon VPC-Benutzerhandbuch.

Eine Appliance mit einem privaten Subnetz verbinden

Die AWS Panorama Appliance kann AWS über eine private VPN-Verbindung mit AWS Site-to-Site VPN oder eine Verbindung herstellenAWS Direct Connect. Mit diesen Services können Sie ein privates Subnetz erstellen, das sich bis zu Ihrem Rechenzentrum erstreckt. Die Appliance stellt eine Verbindung zum privaten Subnetz her und greift über VPC-Endpunkte auf AWS Dienste zu.

Site-to-Site VPN und AWS Direct Connect sind Dienste für die sichere Verbindung Ihres Rechenzentrums mit Amazon VPC. Mit Site-to-Site VPN können Sie handelsübliche Netzwerkgeräte verwenden, um eine Verbindung herzustellen. AWS Direct Connectverwendet ein AWS Gerät, um eine Verbindung herzustellen.

Site-to-Site VPN — Was ist das? AWS Site-to-Site VPN
AWS Direct Connect— Was ist? AWS Direct Connect

Nachdem Sie Ihr lokales Netzwerk mit einem privaten Subnetz in einer VPC verbunden haben, erstellen Sie VPC-Endpunkte für die folgenden Dienste.

Amazon Simple Storage Service — AWS PrivateLinkfür Amazon S3
AWS IoT Core— Verwendung AWS IoT Core mit VPC-Endpunkten mit Schnittstelle (Datenebene und Credential Provider)
Amazon Elastic Container Registry — VPC-Endpunkte mit Amazon Elastic Container Registry-Schnittstelle
Amazon CloudWatch — Verwendung von VPC-Endpunkten CloudWatch mit Schnittstelle
Amazon CloudWatch Logs — Verwendung von CloudWatch Protokollen mit VPC-Endpunkten der Schnittstelle

Die Appliance benötigt keine Verbindung zum AWS Panorama Panorama-Service. Es kommuniziert mit AWS Panorama über einen Nachrichtenkanal inAWS IoT.

Zusätzlich zu VPC-Endpunkten AWS IoT erfordern Amazon S3 und Amazon die Verwendung von privaten gehosteten Zonen von Amazon Route 53. Die private gehostete Zone leitet den Datenverkehr von Subdomänen, einschließlich Subdomänen für Amazon S3 S3-Zugriffspunkte und MQTT-Themen, an den richtigen VPC-Endpunkt weiter. Informationen zu privat gehosteten Zonen finden Sie unter Arbeiten mit privat gehosteten Zonen im Amazon Route 53-Entwicklerhandbuch.

Eine VPC-Beispielkonfiguration mit VPC-Endpunkten und privaten gehosteten Zonen finden Sie unter. Beispielvorlagen AWS CloudFormation

Beispielvorlagen AWS CloudFormation

Das GitHub Repository für dieses Handbuch enthält AWS CloudFormation Vorlagen, mit denen Sie Ressourcen für die Verwendung mit AWS Panorama erstellen können. Die Vorlagen erstellen eine VPC mit zwei privaten Subnetzen, einem öffentlichen Subnetz und einem VPC-Endpunkt. Sie können die privaten Subnetze in der VPC verwenden, um Ressourcen zu hosten, die vom Internet isoliert sind. Ressourcen im öffentlichen Subnetz können mit den privaten Ressourcen kommunizieren, aber auf die privaten Ressourcen kann nicht über das Internet zugegriffen werden.

Beispiel vpc-endpoint.yml — Private Subnetze


AWSTemplateFormatVersion: 2010-09-09
Resources:
  vpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 172.31.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      Tags:
        - Key: Name
          Value: !Ref AWS::StackName
  privateSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref vpc
      AvailabilityZone:
        Fn::Select:
         - 0
         - Fn::GetAZs: ""
      CidrBlock: 172.31.3.0/24
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub  ${AWS::StackName}-subnet-a
  ...

Die vpc-endpoint.yml Vorlage zeigt, wie ein VPC-Endpunkt für AWS Panorama erstellt wird. Sie können diesen Endpunkt verwenden, um AWS-Panorama-Ressourcen mit dem AWS SDK oder zu verwaltenAWS CLI.

Beispiel vpc-endpoint.yml — VPC-Endpunkt


  panoramaEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: true
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: "*"
          Action:
            - "panorama:*"
          Resource:
            - "*"

Das PolicyDocument ist eine ressourcenbasierte Berechtigungsrichtlinie, die die API-Aufrufe definiert, die mit dem Endpunkt getätigt werden können. Sie können die Richtlinie ändern, um die Aktionen und Ressourcen einzuschränken, auf die über den Endpunkt zugegriffen werden kann. Weitere Informationen finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im Amazon-VPC-Benutzerhandbuch.

Die vpc-appliance.yml Vorlage zeigt, wie VPC-Endpunkte und private Hosting-Zonen für Services erstellt werden, die von der AWS Panorama Appliance verwendet werden.

Beispiel vpc-appliance.yml — Amazon S3 S3-Zugriffspunkt-Endpunkt mit privat gehosteter Zone


  s3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.s3
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: false
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
...
  s3apHostedZone:
    Type: AWS::Route53::HostedZone
    Properties:
      Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com
      VPCs: 
        - VPCId: !Ref vpc
          VPCRegion: !Ref AWS::Region
  s3apRecords:
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref s3apHostedZone
      Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com"
      Type: CNAME
      TTL: 600
      # first DNS entry, split on :, second value
      ResourceRecords: 
      - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

Die Beispielvorlagen demonstrieren die Erstellung von Amazon VPC- und Route 53-Ressourcen mit einer Beispiel-VPC. Sie können diese an Ihren Anwendungsfall anpassen, indem Sie die VPC-Ressourcen entfernen und die Verweise auf Subnetz-, Sicherheitsgruppen- und VPC-IDs durch die IDs Ihrer Ressourcen ersetzen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwalten von Anwendungen

Beispiele