Creación de un punto de conexión de VPC Conexión de un dispositivo a una subred privada Plantillas AWS CloudFormation de ejemplo

Uso de puntos de conexión de VPC

Si trabaja en una VPC sin acceso a Internet, puede crear un punto de conexión de VPC para usarlo con AWS Panorama. Un punto de conexión de VPC permite a los clientes que se ejecutan en una subred privada conectarse a un servicio de AWS sin conexión a Internet.

Para obtener información detallada sobre los puertos y puntos de conexión que utiliza el dispositivo AWS Panorama, consulte Conexión del dispositivo de AWS Panorama a su red.

Secciones

Creación de un punto de conexión de VPC
Conexión de un dispositivo a una subred privada
Plantillas AWS CloudFormation de ejemplo

Creación de un punto de conexión de VPC

Para establecer una conexión privada entre su VPC y AWS Panorama, cree un punto de conexión de VPC. No se requiere un punto de conexión de VPC para usar AWS Panorama. Solo necesita crear un punto de conexión de VPC si trabaja en una VPC sin acceso a Internet. Cuando la CLI o el SDK de AWS intentan conectarse a AWS Panorama, el tráfico se enruta a través del punto de conexión de VPC.

Cree un punto de conexión de VPC para AWS Panorama con la siguiente configuración:

Nombre de servicio: com.amazonaws.us-west-2.panorama
Tipo: interfaz

Un punto de conexión de VPC usa el nombre DNS del servicio para obtener tráfico de los clientes del SDK de AWS sin necesidad de realizar ninguna configuración adicional. Para obtener más información sobre el uso de los puntos de conexión de VPC, consulte Puntos de enlace de la VPC de tipo interfaz en la Guía del usuario de Amazon VPC.

Conexión de un dispositivo a una subred privada

El dispositivo AWS Panorama se puede conectar a AWS a través de una conexión VPN privada con AWS Site-to-Site VPN o AWS Direct Connect. Con estos servicios, puede crear una subred privada que se extienda hasta su centro de datos. El dispositivo se conecta a la subred privada y accede a los servicios de AWS a través de los puntos de conexión de VPC.

Site-to-Site VPN y AWS Direct Connect son servicios para conectar su centro de datos a Amazon VPC de forma segura. Con Site-to-Site VPN, puede utilizar dispositivos de red disponibles en el mercado para conectarse. AWS Direct Connect utiliza un dispositivo AWS para conectarse.

Site-to-Site VPN: ¿Qué esAWS Site-to-Site VPN?
AWS Direct Connect – ¿Qué es AWS Direct Connect?

Después de conectar la red local a una subred privada en una VPC, cree puntos de conexión de VPC para los siguientes servicios.

Amazon Simple Storage Service: AWS PrivateLink para Amazon S3
AWS IoT Core: uso de AWS IoT Core con puntos de conexión de VPC de interfaz (plano de datos y proveedor de credenciales)
Amazon Elastic Container Registry: puntos de conexión de VPC de la interfaz de Amazon Elastic Container Registry
Amazon CloudWatch: Uso de CloudWatch con puntos de conexión de VPC de la interfaz
Registros de Amazon CloudWatch: Uso de Registros de CloudWatch con puntos de conexión de VPC de la interfaz

El dispositivo no necesita conectividad con el servicio AWS Panorama. Se comunica con AWS Panorama a través de un canal de mensajería en AWS IoT.

Además de los puntos de conexión de VPC, Amazon S3 y AWS IoT requieren el uso de zonas alojadas privadas de Amazon Route 53. La zona alojada privada dirige el tráfico de los subdominios, incluidos los subdominios de los puntos de acceso de Amazon S3 y los temas de MQTT, al punto de conexión de VPC correcto. Para obtener información sobre las zonas alojadas privadas, consulte Trabajar con zonas alojadas privadas en la Guía para desarrolladores de Amazon Route 53.

Para ver un ejemplo de configuración de VPC con puntos de conexión de VPC y zonas alojadas privadas, consulte Plantillas AWS CloudFormation de ejemplo.

Plantillas AWS CloudFormation de ejemplo

El repositorio de GitHub de esta guía proporciona plantillas de AWS CloudFormation que puede utilizar para crear recursos para utilizarlos con AWS Panorama. Las plantillas crean una VPC con dos subredes privadas, una subred pública y un punto de conexión de VPC. Puede usar las subredes privadas de la VPC para alojar recursos aislados de Internet. Los recursos de la subred pública pueden comunicarse con los recursos privados, pero no se puede acceder a los recursos privados desde Internet.

ejemplo vpc-endpoint.yml: subredes privadas


AWSTemplateFormatVersion: 2010-09-09
Resources:
  vpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 172.31.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      Tags:
        - Key: Name
          Value: !Ref AWS::StackName
  privateSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref vpc
      AvailabilityZone:
        Fn::Select:
         - 0
         - Fn::GetAZs: ""
      CidrBlock: 172.31.3.0/24
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub  ${AWS::StackName}-subnet-a
  ...

En la plantilla de vpc-endpoint.yml, se muestra cómo crear un punto de conexión de VPC para AWS Panorama. Puede usar este punto de conexión para administrar los recursos de AWS Panorama con el SDK de AWS o AWS CLI.

ejemplo vpc-endpoint.yml: punto de conexión de VPC


  panoramaEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: true
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: "*"
          Action:
            - "panorama:*"
          Resource:
            - "*"

PolicyDocument es una política de permisos basada en recursos que define las llamadas a la API que se pueden realizar con el punto de conexión. Puede modificar la política para restringir las acciones y los recursos a los que se puede acceder a través del punto de conexión. Para obtener más información, consulte Control del acceso a los servicios con puntos de conexión de VPC en la guía del usuario de Amazon VPC.

La plantilla de vpc-appliance.yml muestra cómo crear puntos de conexión de VPC y zonas alojadas privadas para los servicios que utiliza el dispositivo AWS Panorama.

ejemplo vpc-appliance.yml: punto de conexión de los puntos de acceso de Amazon S3 con zona alojada privada


  s3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.s3
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: false
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
...
  s3apHostedZone:
    Type: AWS::Route53::HostedZone
    Properties:
      Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com
      VPCs: 
        - VPCId: !Ref vpc
          VPCRegion: !Ref AWS::Region
  s3apRecords:
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref s3apHostedZone
      Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com"
      Type: CNAME
      TTL: 600
      # first DNS entry, split on :, second value
      ResourceRecords: 
      - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

En las plantillas de ejemplo, se muestra la creación de los recursos de Amazon VPC y Route 53 con una VPC de muestra. Puede adaptarlos a su caso de uso eliminando los recursos de VPC y sustituyendo las referencias a los ID de subred, grupo de seguridad y VPC por los ID de sus recursos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de aplicaciones

Muestras