Modes d'accès à Apache Airflow Vue d'ensemble des modes d'accès Configuration pour les modes d'accès privé et public Accès au VPC point de terminaison de votre serveur Web Apache Airflow (accès réseau privé)

Modes d'accès à Apache Airflow

La console Amazon Managed Workflows for Apache Airflow contient des options intégrées permettant de configurer le routage privé ou public vers le serveur Web Apache Airflow de votre environnement. Ce guide décrit les modes d'accès disponibles pour le serveur Web Apache Airflow sur votre environnement Amazon Managed Workflows for Apache Airflow, ainsi que les ressources supplémentaires que vous devrez configurer sur votre Amazon VPC si vous choisissez l'option réseau privé.

Table des matières

Modes d'accès à Apache Airflow

Vous pouvez choisir un routage privé ou public pour votre serveur Web Apache Airflow. Pour activer le routage privé, choisissez Réseau privé. Cela limite l'accès des utilisateurs à un serveur Web Apache Airflow au sein d'AmazonVPC. Pour activer le routage public, choisissez Réseau public. Cela permet aux utilisateurs d'accéder au serveur Web Apache Airflow via Internet.

Réseau public

Le schéma architectural suivant montre un MWAA environnement Amazon avec un serveur Web public.

Cette image montre l'architecture d'un MWAA environnement Amazon avec un serveur Web privé.

Le mode d'accès au réseau public permet aux utilisateurs autorisés à accéder à la IAMpolitique de votre environnement à l'interface utilisateur d'Apache Airflow via Internet.

L'image suivante montre où trouver l'option Réseau public sur la MWAA console Amazon.

Cette image montre où trouver l'option Réseau public sur la MWAA console Amazon.

Réseau privé

Le schéma architectural suivant montre un MWAA environnement Amazon avec un serveur Web privé.

Le mode d'accès au réseau privé limite l'accès à l'interface utilisateur d'Apache Airflow aux utilisateurs de votre Amazon VPC qui ont obtenu l'accès à la IAMpolitique de votre environnement.

Lorsque vous créez un environnement avec accès à un serveur Web privé, vous devez empaqueter toutes vos dépendances dans une archive Python Wheel (.whl), puis y faire référence .whl dans votrerequirements.txt. Pour obtenir des instructions sur l'empaquetage et l'installation de vos dépendances à l'aide de wheel, consultez la section Gestion des dépendances à l'aide de Python Wheel.

L'image suivante montre où trouver l'option Réseau privé sur la MWAA console Amazon.

Cette image montre où trouver l'option Réseau privé sur la MWAA console Amazon.

Vue d'ensemble des modes d'accès

Cette section décrit les VPC points de terminaison (AWS PrivateLink) créés sur votre Amazon VPC lorsque vous choisissez le mode d'accès au réseau public ou au réseau privé.

Mode d'accès au réseau public

Si vous avez choisi le mode d'accès au réseau public pour votre serveur Web Apache Airflow, le trafic réseau est routé publiquement sur Internet.

Amazon MWAA crée un point de terminaison d'VPCinterface pour votre base de données de SQL métadonnées Amazon Aurora Postgre. Le point de terminaison est créé dans les zones de disponibilité mappées à vos sous-réseaux privés et est indépendant des autres AWS comptes.
Amazon lie MWAA ensuite une adresse IP de vos sous-réseaux privés aux points de terminaison de l'interface. Ceci est conçu pour soutenir la meilleure pratique qui consiste à lier une adresse IP unique à chaque zone de disponibilité d'AmazonVPC.

Mode d'accès au réseau privé

Si vous avez choisi le mode d'accès réseau privé pour votre serveur Web Apache Airflow, le trafic réseau est acheminé de manière privée au sein de votre Amazon. VPC

Amazon MWAA crée un point de terminaison d'VPCinterface pour votre serveur Web Apache Airflow et un point de terminaison d'interface pour votre base de données de SQL métadonnées Amazon Aurora Postgre. Les points de terminaison sont créés dans les zones de disponibilité mappées à vos sous-réseaux privés et sont indépendants des autres comptes. AWS
Amazon lie MWAA ensuite une adresse IP de vos sous-réseaux privés aux points de terminaison de l'interface. Ceci est conçu pour soutenir la meilleure pratique qui consiste à lier une adresse IP unique à chaque zone de disponibilité d'AmazonVPC.

Pour en savoir plus, consultez Exemples de cas d'utilisation pour un mode d'accès Amazon VPC et Apache Airflow.

Configuration pour les modes d'accès privé et public

La section suivante décrit l'installation et les configurations supplémentaires dont vous aurez besoin en fonction du mode d'accès Apache Airflow que vous avez choisi pour votre environnement.

Configuration pour le réseau public

Si vous choisissez l'option Réseau public pour votre serveur Web Apache Airflow, vous pouvez commencer à utiliser l'interface utilisateur d'Apache Airflow après avoir créé votre environnement.

Vous devrez suivre les étapes suivantes pour configurer l'accès de vos utilisateurs et l'autorisation pour votre environnement d'utiliser d'autres AWS services.

Ajoutez des autorisations. Amazon MWAA a besoin d'une autorisation pour utiliser d'autres AWS services. Lorsque vous créez un environnement, Amazon MWAA crée un rôle lié à un service qui lui permet d'utiliser certaines IAM actions pour Amazon Elastic Container Registry ECR (Amazon), CloudWatch Logs et Amazon. EC2

Vous pouvez ajouter l'autorisation d'utiliser des actions supplémentaires pour ces services, ou d'utiliser d'autres AWS services en ajoutant des autorisations à votre rôle d'exécution. Pour en savoir plus, consultez Rôle MWAA d'exécution Amazon.
Créez des politiques utilisateur. Vous devrez peut-être créer plusieurs IAM politiques pour vos utilisateurs afin de configurer l'accès à votre environnement et à l'interface utilisateur d'Apache Airflow. Pour en savoir plus, consultez Accès à un MWAA environnement Amazon.

Configuration pour le réseau privé

Si vous choisissez l'option Réseau privé pour votre serveur Web Apache Airflow, vous devez configurer l'accès pour vos utilisateurs, autoriser votre environnement à utiliser d'autres AWS services et créer un mécanisme pour accéder aux ressources de votre Amazon VPC depuis votre ordinateur.

Ajoutez des autorisations. Amazon MWAA a besoin d'une autorisation pour utiliser d'autres AWS services. Lorsque vous créez un environnement, Amazon MWAA crée un rôle lié à un service qui lui permet d'utiliser certaines IAM actions pour Amazon Elastic Container Registry ECR (Amazon), CloudWatch Logs et Amazon. EC2

Vous pouvez ajouter l'autorisation d'utiliser des actions supplémentaires pour ces services, ou d'utiliser d'autres AWS services en ajoutant des autorisations à votre rôle d'exécution. Pour en savoir plus, consultez Rôle MWAA d'exécution Amazon.
Créez des politiques utilisateur. Vous devrez peut-être créer plusieurs IAM politiques pour vos utilisateurs afin de configurer l'accès à votre environnement et à l'interface utilisateur d'Apache Airflow. Pour en savoir plus, consultez Accès à un MWAA environnement Amazon.
Activez l'accès au réseau. Vous devez créer un mécanisme dans votre Amazon VPC pour vous connecter au point de VPC terminaison (AWS PrivateLink) de votre serveur Web Apache Airflow. Par exemple, en créant un VPN tunnel à partir de votre ordinateur à l'aide d'un AWS Client VPN.

Accès au VPC point de terminaison de votre serveur Web Apache Airflow (accès réseau privé)

Si vous avez choisi l'option Réseau privé, vous devez créer un mécanisme dans votre Amazon pour accéder VPC au point de VPC terminaison (AWS PrivateLink) de votre serveur Web Apache Airflow. Nous vous recommandons d'utiliser le même AmazonVPC, le même groupe de VPC sécurité et les mêmes sous-réseaux privés que votre MWAA environnement Amazon pour ces ressources.

Pour en savoir plus, consultez la section Gestion de l'accès pour les VPC terminaux.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Prévention du cas de figure de l’adjoint désorienté entre services

Accès à Apache Airflow