Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Si vous travaillez dans un VPC sans accès à Internet, vous pouvez créer un point de terminaison VPC à utiliser avec AWS Panorama. Un point de terminaison VPC permet aux clients s'exécutant dans un sous-réseau privé de se connecter à un service AWS sans connexion Internet.
Pour plus de détails sur les ports et les points de terminaison utilisés par l'appliance AWS Panorama, consultezConnexion de l'appliance AWS Panorama à votre réseau.
Sections
Création d’un point de terminaison d’un VPC
Pour établir une connexion privée entre votre VPC et AWS Panorama, créez un point de terminaison VPC. Il n'est pas nécessaire de disposer d'un point de terminaison VPC pour utiliser AWS Panorama. Vous ne devez créer un point de terminaison VPC que si vous travaillez dans un VPC sans accès à Internet. Lorsque la CLI ou le SDK AWS tente de se connecter à AWS Panorama, le trafic est acheminé via le point de terminaison VPC.
Créez un point de terminaison VPC
-
Nom du service —
com.amazonaws.
us-west-2
.panorama -
Type — Interface
Un point de terminaison VPC utilise le nom DNS du service pour obtenir le trafic des clients du SDK AWS sans aucune configuration supplémentaire. Pour plus d'informations sur l'utilisation des points de terminaison VPC, consultez la section Points de terminaison VPC d'interface dans le guide de l'utilisateur Amazon VPC.
Connexion d'une appliance à un sous-réseau privé
L'appliance AWS Panorama peut se connecter AWS via une connexion VPN privée avec AWS Site-to-Site VPN ou AWS Direct Connect. Grâce à ces services, vous pouvez créer un sous-réseau privé qui s'étend à votre centre de données. L'appliance se connecte au sous-réseau privé et accède aux AWS services via les points de terminaison VPC.
Site-to-Site Les VPN AWS Direct Connect sont des services permettant de connecter votre centre de données à Amazon VPC en toute sécurité. Avec le Site-to-Site VPN, vous pouvez utiliser des appareils réseau disponibles dans le commerce pour vous connecter. AWS Direct Connect utilise un AWS appareil pour se connecter.
-
Site-to-Site VPN — Qu'est-ce que c'est AWS Site-to-Site VPN ?
-
AWS Direct Connect— Qu'est-ce que c'est AWS Direct Connect ?
Après avoir connecté votre réseau local à un sous-réseau privé d'un VPC, créez des points de terminaison VPC pour les services suivants.
-
Amazon Simple Storage Service — AWS PrivateLink pour Amazon S3
-
AWS IoT Core— Utilisation AWS IoT Core avec les points de terminaison VPC de l'interface (plan de données et fournisseur d'informations d'identification)
-
Amazon Elastic Container Registry — Points de terminaison VPC de l'interface Amazon Elastic Container Registry
-
Amazon CloudWatch — Utilisation CloudWatch avec des points de terminaison VPC d'interface
-
Amazon CloudWatch Logs — Utilisation des CloudWatch journaux avec des points de terminaison VPC d'interface
L'appliance n'a pas besoin d'être connectée au service AWS Panorama. Il communique avec AWS Panorama via un canal de messagerie en AWS IoT.
Outre les points de terminaison VPC, Amazon S3 AWS IoT nécessite l'utilisation de zones hébergées privées Amazon Route 53. La zone hébergée privée achemine le trafic depuis les sous-domaines, y compris les sous-domaines des points d'accès Amazon S3 et des sujets MQTT, vers le point de terminaison VPC approprié. Pour plus d'informations sur les zones hébergées privées, consultez la section Travailler avec des zones hébergées privées dans le guide du développeur Amazon Route 53.
Pour un exemple de configuration VPC avec des points de terminaison VPC et des zones hébergées privées, consultez. Exemples de AWS CloudFormation modèles
Exemples de AWS CloudFormation modèles
Le GitHub référentiel de ce guide fournit des AWS CloudFormation modèles que vous pouvez utiliser pour créer des ressources à utiliser avec AWS Panorama. Les modèles créent un VPC avec deux sous-réseaux privés, un sous-réseau public et un point de terminaison VPC. Vous pouvez utiliser les sous-réseaux privés du VPC pour héberger des ressources isolées d'Internet. Les ressources du sous-réseau public peuvent communiquer avec les ressources privées, mais les ressources privées ne sont pas accessibles depuis Internet.
Exemple vpc-endpoint.yml — Sous-réseaux privés
AWSTemplateFormatVersion: 2010-09-09
Resources:
vpc:
Type: AWS::EC2::VPC
Properties:
CidrBlock: 172.31.0.0/16
EnableDnsHostnames: true
EnableDnsSupport: true
Tags:
- Key: Name
Value: !Ref AWS::StackName
privateSubnetA:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref vpc
AvailabilityZone:
Fn::Select:
- 0
- Fn::GetAZs: ""
CidrBlock: 172.31.3.0/24
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${AWS::StackName}-subnet-a
...
Le vpc-endpoint.yml
modèle montre comment créer un point de terminaison VPC pour AWS Panorama. Vous pouvez utiliser ce point de terminaison pour gérer les ressources AWS Panorama avec le AWS SDK ou AWS CLI.
Exemple vpc-endpoint.yml — Point de terminaison VPC
panoramaEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama
VpcId: !Ref vpc
VpcEndpointType: Interface
SecurityGroupIds:
- !GetAtt vpc.DefaultSecurityGroup
PrivateDnsEnabled: true
SubnetIds:
- !Ref privateSubnetA
- !Ref privateSubnetB
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal: "*"
Action:
- "panorama:*"
Resource:
- "*"
PolicyDocument
Il s'agit d'une politique d'autorisation basée sur les ressources qui définit les appels d'API qui peuvent être effectués avec le point de terminaison. Vous pouvez modifier la politique afin de restreindre les actions et les ressources accessibles via le point de terminaison. Pour plus d’informations, consultez Contrôle de l’accès aux services avec points de terminaison d’un VPC dans le Guide de l’utilisateur Amazon VPC.
Le vpc-appliance.yml
modèle montre comment créer des points de terminaison VPC et des zones hébergées privées pour les services utilisés par l'appliance AWS Panorama.
Exemple vpc-appliance.yml — Point de terminaison du point d'accès Amazon S3 avec zone hébergée privée
s3Endpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub com.amazonaws.${AWS::Region}.s3
VpcId: !Ref vpc
VpcEndpointType: Interface
SecurityGroupIds:
- !GetAtt vpc.DefaultSecurityGroup
PrivateDnsEnabled: false
SubnetIds:
- !Ref privateSubnetA
- !Ref privateSubnetB
...
s3apHostedZone:
Type: AWS::Route53::HostedZone
Properties:
Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com
VPCs:
- VPCId: !Ref vpc
VPCRegion: !Ref AWS::Region
s3apRecords:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref s3apHostedZone
Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com"
Type: CNAME
TTL: 600
# first DNS entry, split on :, second value
ResourceRecords:
- !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]
Les exemples de modèles illustrent la création de ressources Amazon VPC et Route 53 avec un exemple de VPC. Vous pouvez les adapter à votre cas d'utilisation en supprimant les ressources VPC et en remplaçant les références au sous-réseau, au groupe de sécurité et au VPC IDs par celles de vos ressources. IDs