Uso de puntos de conexión de VPC - AWS Panorama

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de puntos de conexión de VPC

Si trabaja en una VPC sin acceso a Internet, puede crear un punto de conexión de VPC para usarlo con AWS Panorama. Un punto de conexión de VPC permite a los clientes que se ejecutan en una subred privada conectarse a un servicio de AWS sin conexión a Internet.

Para obtener información detallada sobre los puertos y puntos de conexión que utiliza el dispositivo AWS Panorama, consulte Conexión del dispositivo de AWS Panorama a su red.

Creación de un punto de conexión de VPC

Para establecer una conexión privada entre su VPC y AWS Panorama, cree un punto de conexión de VPC. No se requiere un punto de conexión de VPC para usar AWS Panorama. Solo necesita crear un punto de conexión de VPC si trabaja en una VPC sin acceso a Internet. Cuando la CLI o el SDK de AWS intentan conectarse a AWS Panorama, el tráfico se enruta a través del punto de conexión de VPC.

Cree un punto de conexión de VPC para AWS Panorama con la siguiente configuración:

  • Nombre de servicio: com.amazonaws.us-west-2.panorama

  • Tipo: interfaz

Un punto de conexión de VPC usa el nombre DNS del servicio para obtener tráfico de los clientes del SDK de AWS sin necesidad de realizar ninguna configuración adicional. Para obtener más información sobre el uso de los puntos de conexión de VPC, consulte Puntos de enlace de la VPC de tipo interfaz en la Guía del usuario de Amazon VPC.

Conexión de un dispositivo a una subred privada

El dispositivo AWS Panorama se puede conectar a AWS a través de una conexión VPN privada con AWS Site-to-Site VPN o AWS Direct Connect. Con estos servicios, puede crear una subred privada que se extienda hasta su centro de datos. El dispositivo se conecta a la subred privada y accede a los servicios de AWS a través de los puntos de conexión de VPC.

Site-to-Site VPN y AWS Direct Connect son servicios para conectar su centro de datos a Amazon VPC de forma segura. Con Site-to-Site VPN, puede utilizar dispositivos de red disponibles en el mercado para conectarse. AWS Direct Connect utiliza un dispositivo AWS para conectarse.

Después de conectar la red local a una subred privada en una VPC, cree puntos de conexión de VPC para los siguientes servicios.

El dispositivo no necesita conectividad con el servicio AWS Panorama. Se comunica con AWS Panorama a través de un canal de mensajería en AWS IoT.

Además de los puntos de conexión de VPC, Amazon S3 y AWS IoT requieren el uso de zonas alojadas privadas de Amazon Route 53. La zona alojada privada dirige el tráfico de los subdominios, incluidos los subdominios de los puntos de acceso de Amazon S3 y los temas de MQTT, al punto de conexión de VPC correcto. Para obtener información sobre las zonas alojadas privadas, consulte Trabajar con zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53.

Para ver un ejemplo de configuración de VPC con puntos de conexión de VPC y zonas alojadas privadas, consulte Plantillas AWS CloudFormation de ejemplo.

Plantillas AWS CloudFormation de ejemplo

El repositorio de GitHub de esta guía proporciona plantillas de AWS CloudFormation que puede utilizar para crear recursos para utilizarlos con AWS Panorama. Las plantillas crean una VPC con dos subredes privadas, una subred pública y un punto de conexión de VPC. Puede usar las subredes privadas de la VPC para alojar recursos aislados de Internet. Los recursos de la subred pública pueden comunicarse con los recursos privados, pero no se puede acceder a los recursos privados desde Internet.

ejemplo vpc-endpoint.yml: subredes privadas
AWSTemplateFormatVersion: 2010-09-09 Resources: vpc: Type: AWS::EC2::VPC Properties: CidrBlock: 172.31.0.0/16 EnableDnsHostnames: true EnableDnsSupport: true Tags: - Key: Name Value: !Ref AWS::StackName privateSubnetA: Type: AWS::EC2::Subnet Properties: VpcId: !Ref vpc AvailabilityZone: Fn::Select: - 0 - Fn::GetAZs: "" CidrBlock: 172.31.3.0/24 MapPublicIpOnLaunch: false Tags: - Key: Name Value: !Sub ${AWS::StackName}-subnet-a ...

En la plantilla de vpc-endpoint.yml, se muestra cómo crear un punto de conexión de VPC para AWS Panorama. Puede usar este punto de conexión para administrar los recursos de AWS Panorama con el SDK de AWS o AWS CLI.

ejemplo vpc-endpoint.yml: punto de conexión de VPC
panoramaEndpoint: Type: AWS::EC2::VPCEndpoint Properties: ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama VpcId: !Ref vpc VpcEndpointType: Interface SecurityGroupIds: - !GetAtt vpc.DefaultSecurityGroup PrivateDnsEnabled: true SubnetIds: - !Ref privateSubnetA - !Ref privateSubnetB PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: "*" Action: - "panorama:*" Resource: - "*"

PolicyDocument es una política de permisos basada en recursos que define las llamadas a la API que se pueden realizar con el punto de conexión. Puede modificar la política para restringir las acciones y los recursos a los que se puede acceder a través del punto de conexión. Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la guía del usuario de Amazon VPC.

La plantilla de vpc-appliance.yml muestra cómo crear puntos de conexión de VPC y zonas alojadas privadas para los servicios que utiliza el dispositivo AWS Panorama.

ejemplo vpc-appliance.yml: punto de conexión de los puntos de acceso de Amazon S3 con zona alojada privada
s3Endpoint: Type: AWS::EC2::VPCEndpoint Properties: ServiceName: !Sub com.amazonaws.${AWS::Region}.s3 VpcId: !Ref vpc VpcEndpointType: Interface SecurityGroupIds: - !GetAtt vpc.DefaultSecurityGroup PrivateDnsEnabled: false SubnetIds: - !Ref privateSubnetA - !Ref privateSubnetB ... s3apHostedZone: Type: AWS::Route53::HostedZone Properties: Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com VPCs: - VPCId: !Ref vpc VPCRegion: !Ref AWS::Region s3apRecords: Type: AWS::Route53::RecordSet Properties: HostedZoneId: !Ref s3apHostedZone Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com" Type: CNAME TTL: 600 # first DNS entry, split on :, second value ResourceRecords: - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

En las plantillas de ejemplo, se muestra la creación de los recursos de Amazon VPC y Route 53 con una VPC de muestra. Puede adaptarlos a su caso de uso eliminando los recursos de VPC y sustituyendo las referencias a los ID de subred, grupo de seguridad y VPC por los ID de sus recursos.