Crear los puntos de enlace VPC de servicio necesarios en un Amazon VPC con enrutamiento privado - Amazon Managed Workflows para Apache Airflow
PreciosRed privada y enrutamiento privadoPuntos de enlace (obligatorios) VPCAdjuntar los puntos finales necesarios VPC(Opcional) Habilite las direcciones IP privadas para el punto final de la VPC interfaz Amazon S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear los puntos de enlace VPC de servicio necesarios en un Amazon VPC con enrutamiento privado

Una VPC red de Amazon existente sin acceso a Internet necesita puntos de enlace de VPC servicio adicionales (AWS PrivateLink) para utilizar Apache Airflow en Amazon Managed Workflows para Apache Airflow. En esta página se describen VPC los puntos de enlace necesarios para los AWS servicios que utiliza AmazonMWAA, los VPC puntos de enlace necesarios para Apache Airflow y cómo crear y conectar los VPC puntos de enlace a un Amazon VPC existente con enrutamiento privado.

Precios

Red privada y enrutamiento privado

Esta imagen muestra la arquitectura de un MWAA entorno de Amazon con un servidor web privado.

El modo de acceso a la red privada limita el acceso a la interfaz de usuario de Apache Airflow a los usuarios de Amazon a los VPC que se les haya concedido acceso a la IAMpolítica de su entorno.

Al crear un entorno con acceso mediante red privada al servidor web, debe empaquetar todas sus dependencias en un archivo wheel de Python (.whl), y luego hacer referencia al .whl en su requirements.txt. Para obtener instrucciones sobre cómo empaquetar e instalar sus dependencias mediante el archivo wheel, consulte Administración de dependencias con archivos wheel de Python.

La siguiente imagen muestra dónde encontrar la opción Red privada en la MWAA consola de Amazon.

Esta imagen muestra dónde encontrar la opción Red privada en la MWAA consola de Amazon.

  • Enrutamiento privado. Un Amazon VPC sin acceso a Internet limita el tráfico de red dentro delVPC. En esta página se asume que su Amazon VPC no tiene acceso a Internet y requiere VPC puntos de enlace para cada AWS servicio utilizado por su entorno y VPC puntos de enlace para Apache Airflow en la misma región AWS y Amazon que VPC su entorno de Amazon. MWAA

Puntos de enlace (obligatorios) VPC

En la siguiente sección se muestran los VPC puntos de conexión necesarios para un Amazon VPC sin acceso a Internet. Enumera los VPC puntos de enlace de cada AWS servicio utilizado por AmazonMWAA, incluidos los VPC puntos de enlace necesarios para Apache Airflow. 

com.amazonaws.YOUR_REGION.s3
com.amazonaws.YOUR_REGION.monitoring
com.amazonaws.YOUR_REGION.logs
com.amazonaws.YOUR_REGION.sqs
com.amazonaws.YOUR_REGION.kms
nota

Si utilizas Transit Gateway o cualquier otra ruta que no vaya directamente a los AWS API puntos de conexión, te recomendamos que añadas AWS PrivateLink a tus subredes MWAA privadas de Amazon los siguientes servicios:

  • Amazon S3

  • Amazon SQS

  • CloudWatch Registros

  • CloudWatch métricas

  • AWS KMS (si corresponde)

Esto garantiza que su MWAA entorno de Amazon pueda comunicarse de forma segura y eficiente con estos servicios sin enrutar el tráfico a través de la Internet pública, lo que mejora la seguridad y el rendimiento.

Adjuntar los puntos finales necesarios VPC

En esta sección se describen los pasos para adjuntar los VPC puntos de enlace necesarios para un Amazon VPC con enrutamiento privado.

VPCpuntos de conexión necesarios para los servicios AWS

En la siguiente sección se muestran los pasos para adjuntar VPC los puntos de conexión de los AWS servicios utilizados por un entorno a un Amazon VPC existente.

Para conectar VPC puntos finales a sus subredes privadas

  1. Abre la página Endpoints en la VPC consola de Amazon.

  2. Usa el selector de AWS regiones para seleccionar tu región.

  3. Cree el punto de conexión de Amazon S3:

    1. Seleccione Crear punto de conexión.

    2. En el campo de texto Filtrar por atributos o buscar por palabra clave, escriba: .s3 y, a continuación, pulse Intro en el teclado.

    3. Se recomienda elegir el punto de conexión del servicio que aparece en la lista para el tipo de puerta de enlace.

      Por ejemplo, com.amazonaws.us-west-2.s3 amazon Gateway .

    4. Elige Amazon VPC en tu entorno VPC.

    5. Asegúrese de que sus dos subredes privadas en diferentes zonas de disponibilidad estén seleccionadas y de que esa red privada DNS esté habilitada seleccionando Habilitar DNS nombre.

    6. Elija los grupos de VPC seguridad de Amazon de su entorno.

    7. Seleccione Acceso completo en Política.

    8. Seleccione Crear punto de conexión.

  4. Cree el punto final para CloudWatch los registros:

    1. Seleccione Crear punto de conexión.

    2. En el campo de texto Filtrar por atributos o buscar por palabra clave, escriba: .logs y, a continuación, pulse Intro en el teclado.

    3. Seleccione el punto de conexión del servicio.

    4. Elige Amazon VPC en tu entorno VPC.

    5. Asegúrese de que sus dos subredes privadas en distintas zonas de disponibilidad estén seleccionadas y de que Enable DNS name esté activado.

    6. Elija los grupos de VPC seguridad de Amazon de su entorno.

    7. Seleccione Acceso completo en Política.

    8. Seleccione Crear punto de conexión.

  5. Cree el punto final para la CloudWatch supervisión:

    1. Seleccione Crear punto de conexión.

    2. En el campo de texto Filtrar por atributos o buscar por palabra clave, escriba: .monitoring y, a continuación, pulse Intro en el teclado.

    3. Seleccione el punto de conexión del servicio.

    4. Elige Amazon VPC en tu entorno VPC.

    5. Asegúrese de que sus dos subredes privadas en distintas zonas de disponibilidad estén seleccionadas y de que Enable DNS name esté activado.

    6. Elija los grupos de VPC seguridad de Amazon de su entorno.

    7. Seleccione Acceso completo en Política.

    8. Seleccione Crear punto de conexión.

  6. Crea el punto de conexión para AmazonSQS:

    1. Seleccione Crear punto de conexión.

    2. En el campo de texto Filtrar por atributos o buscar por palabra clave, escriba: .sqs y, a continuación, pulse Intro en el teclado.

    3. Seleccione el punto de conexión del servicio.

    4. Elige Amazon VPC en tu entorno VPC.

    5. Asegúrese de que sus dos subredes privadas en distintas zonas de disponibilidad estén seleccionadas y de que Enable DNS name esté activado.

    6. Elija los grupos de VPC seguridad de Amazon de su entorno.

    7. Seleccione Acceso completo en Política.

    8. Seleccione Crear punto de conexión.

  7. Cree el punto final para AWS KMS:

    1. Seleccione Crear punto de conexión.

    2. En el campo de texto Filtrar por atributos o buscar por palabra clave, escriba: .kms y, a continuación, pulse Intro en el teclado.

    3. Seleccione el punto de conexión del servicio.

    4. Elige Amazon VPC en tu entorno VPC.

    5. Asegúrese de que sus dos subredes privadas en distintas zonas de disponibilidad estén seleccionadas y de que Enable DNS name esté activado.

    6. Elija los grupos de VPC seguridad de Amazon de su entorno.

    7. Seleccione Acceso completo en Política.

    8. Seleccione Crear punto de conexión.

VPCSe requieren puntos de conexión para Apache Airflow

En la siguiente sección se muestran los pasos para conectar los VPC puntos de conexión de Apache Airflow a un Amazon existente. VPC

Para adjuntar VPC puntos de conexión a sus subredes privadas

  1. Abre la página Endpoints en la VPC consola de Amazon.

  2. Usa el selector de AWS regiones para seleccionar tu región.

  3. Cree el punto final para el flujo de aire API de Apache:

    1. Seleccione Crear punto de conexión.

    2. En el campo de texto Filtrar por atributos o buscar por palabra clave, escriba: .airflow.api y, a continuación, pulse Intro en el teclado.

    3. Seleccione el punto de conexión del servicio.

    4. Elige Amazon VPC en tu entorno VPC.

    5. Asegúrese de que sus dos subredes privadas en distintas zonas de disponibilidad estén seleccionadas y de que Enable DNS name esté activado.

    6. Elija los grupos de VPC seguridad de Amazon de su entorno.

    7. Seleccione Acceso completo en Política.

    8. Seleccione Crear punto de conexión.

  4. Cree el primer punto de conexión para el entorno Apache Airflow:

    1. Seleccione Crear punto de conexión.

    2. En el campo de texto Filtrar por atributos o buscar por palabra clave, escriba: .airflow.env y, a continuación, pulse Intro en el teclado.

    3. Seleccione el punto de conexión del servicio.

    4. Elige Amazon VPC en tu entorno VPC.

    5. Asegúrese de que sus dos subredes privadas en distintas zonas de disponibilidad estén seleccionadas y de que Enable DNS name esté activado.

    6. Elija los grupos de VPC seguridad de Amazon de su entorno.

    7. Seleccione Acceso completo en Política.

    8. Seleccione Crear punto de conexión.

  5. Cree el segundo punto de conexión para las operaciones de Apache Airflow:

    1. Seleccione Crear punto de conexión.

    2. En el campo de texto Filtrar por atributos o buscar por palabra clave, escriba: .airflow.ops y, a continuación, pulse Intro en el teclado.

    3. Seleccione el punto de conexión del servicio.

    4. Elige Amazon VPC en tu entorno VPC.

    5. Asegúrese de que sus dos subredes privadas en distintas zonas de disponibilidad estén seleccionadas y de que Enable DNS name esté activado.

    6. Elija los grupos de VPC seguridad de Amazon de su entorno.

    7. Seleccione Acceso completo en Política.

    8. Seleccione Crear punto de conexión.

(Opcional) Habilite las direcciones IP privadas para el punto final de la VPC interfaz Amazon S3

Los puntos de enlace de la interfaz Amazon S3 no admiten dispositivos privadosDNS. Las solicitudes de punto de conexión de S3 aún se resuelven en una dirección IP pública. Para resolver la dirección S3 a una dirección IP privada, debe agregar una zona alojada privada en Route 53 para el punto de conexión regional de S3.

Uso de Route 53

En esta sección, se describen los pasos para habilitar las direcciones IP privadas para un punto de conexión de la interfaz S3 mediante Route 53.

  1. Cree una zona alojada privada para el punto final de la VPC interfaz de Amazon S3 (por ejemplo, s3.eu-west-1.amazonaws.com) y asóciela a su AmazonVPC.

  2. Cree ALIAS un registro A para el punto de enlace de la VPC interfaz de Amazon S3 (por ejemplo, s3.eu-west-1.amazonaws.com) que se resuelva con el DNS nombre del punto de enlace de la VPC interfaz.

  3. Cree ALIAS un registro comodín A para el punto de enlace de la interfaz de Amazon S3 (por ejemplo, *. s3.eu-west-1.amazonaws.com) que se resuelva con el DNS nombre del punto de enlace de la VPC interfaz.

VPCscon personalizado DNS

Si Amazon VPC usa un DNS enrutamiento personalizado, debes realizar los cambios en tu DNS resolución (no en Route 53, que normalmente es una EC2 instancia que ejecuta un DNS servidor) mediante la creación de un CNAME registro. Por ejemplo:

Name: s3.us-west-2.amazonaws.com
Type: CNAME
Value:  *.vpce-0f67d23e37648915c-e2q2e2j3.s3.us-west-2.vpce.amazonaws.com