Ketentuan Apa yang didukung Ikhtisar infrastruktur VPC Contoh kasus penggunaan untuk mode akses Amazon VPC dan Apache Airflow

Tentang jaringan di Amazon MWAA

VPC Amazon adalah jaringan virtual yang ditautkan ke akun Anda AWS . Ini memberi Anda keamanan cloud dan kemampuan untuk menskalakan secara dinamis dengan memberikan kontrol halus atas infrastruktur virtual dan segmentasi lalu lintas jaringan Anda. Halaman ini menjelaskan infrastruktur VPC Amazon dengan perutean publik atau perutean pribadi yang diperlukan untuk mendukung lingkungan Alur Kerja Terkelola Amazon untuk Apache Airflow.

Daftar Isi

Ketentuan

Perutean publik: Jaringan VPC Amazon yang memiliki akses ke Internet.
Perutean pribadi: Jaringan VPC Amazon tanpa akses ke Internet.

Apa yang didukung

Tabel berikut menjelaskan jenis dukungan Amazon VPCs Amazon MWAA.

Jenis Amazon VPC	Didukung
VPC Amazon yang dimiliki oleh akun yang mencoba menciptakan lingkungan.	Ya
VPC Amazon bersama tempat beberapa AWS akun membuat sumber dayanya AWS .	Ya

Ikhtisar infrastruktur VPC

Saat Anda membuat lingkungan Amazon MWAA, Amazon MWAA membuat antara satu hingga dua titik akhir VPC untuk lingkungan Anda berdasarkan mode akses Apache Airflow yang Anda pilih untuk lingkungan Anda. Titik akhir ini muncul sebagai Antarmuka Jaringan Elastis (ENIs) dengan pribadi IPs di VPC Amazon Anda. Setelah titik akhir ini dibuat, lalu lintas apa pun yang ditujukan untuk ini IPs dialihkan secara pribadi atau publik ke AWS layanan terkait yang digunakan oleh lingkungan Anda.

Bagian berikut menjelaskan infrastruktur VPC Amazon yang diperlukan untuk merutekan lalu lintas secara publik melalui Internet, atau secara pribadi dalam VPC Amazon Anda.

Routing publik melalui Internet

Bagian ini menjelaskan infrastruktur VPC Amazon dari lingkungan dengan perutean publik. Anda memerlukan infrastruktur VPC berikut:

Satu grup keamanan VPC. Grup keamanan VPC bertindak sebagai firewall virtual untuk mengontrol lalu lintas jaringan masuk (masuk) dan keluar (keluar) pada sebuah instance.
- Hingga 5 grup keamanan dapat ditentukan.
- Kelompok keamanan harus menentukan aturan masuk referensi sendiri untuk dirinya sendiri.
- Grup keamanan harus menentukan aturan keluar untuk semua lalu lintas (0.0.0.0/0).
- Kelompok keamanan harus mengizinkan semua lalu lintas dalam aturan referensi diri. Misalnya, (Disarankan) Contoh semua grup keamanan referensi mandiri akses .
- Grup keamanan secara opsional dapat membatasi lalu lintas lebih lanjut dengan menentukan rentang port untuk rentang port HTTPS 443 dan rentang port TCP. 5432 Misalnya, (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 5432 dan (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 443.
Dua subnet publik. Subnet publik adalah subnet yang terkait dengan tabel rute yang memiliki rute ke gateway Internet.
- Diperlukan dua subnet publik. Hal ini memungkinkan Amazon MWAA untuk membuat image container baru untuk lingkungan Anda di zona ketersediaan lainnya, jika satu container gagal.
- Subnet harus berada di Availability Zone yang berbeda. Misalnya,us-east-1a,us-east-1b.
- Subnet harus merutekan ke gateway NAT (atau instance NAT) dengan Alamat IP Elastis (EIP).
- Subnet harus memiliki tabel rute yang mengarahkan lalu lintas internet ke gateway Internet.
Dua subnet pribadi. Subnet pribadi adalah subnet yang tidak terkait dengan tabel rute yang memiliki rute ke gateway Internet.
- Diperlukan dua subnet pribadi. Hal ini memungkinkan Amazon MWAA untuk membuat image container baru untuk lingkungan Anda di zona ketersediaan lainnya, jika satu container gagal.
- Subnet harus berada di Availability Zone yang berbeda. Misalnya,us-east-1a,us-east-1b.
- Subnet harus memiliki tabel rute ke perangkat NAT (gateway atau instance).
- Subnet tidak boleh merutekan ke gateway Internet.
Daftar kontrol akses jaringan (ACL). NACL mengelola (dengan mengizinkan atau menolak aturan) lalu lintas masuk dan keluar di tingkat subnet.
- NACL harus memiliki aturan masuk yang memungkinkan semua lalu lintas (). 0.0.0.0/0
- NACL harus memiliki aturan keluar yang memungkinkan semua lalu lintas (). 0.0.0.0/0
- Misalnya, (Direkomendasikan) Contoh ACLs.
Dua gateway NAT (atau contoh NAT). Perangkat NAT meneruskan lalu lintas dari instance di subnet pribadi ke Internet atau AWS layanan lain, dan kemudian mengarahkan respons kembali ke instance.
- Perangkat NAT harus dilampirkan ke subnet publik. (Satu perangkat NAT per subnet publik.)
- Perangkat NAT harus memiliki IPv4 Alamat Elastis (EIP) yang terpasang pada setiap subnet publik.
Gateway Internet. Gateway Internet menghubungkan VPC Amazon ke Internet dan layanan lainnya AWS .
- Gateway Internet harus dilampirkan ke VPC Amazon.

Perutean pribadi tanpa akses Internet

Bagian ini menjelaskan infrastruktur VPC Amazon dari lingkungan dengan perutean pribadi. Anda memerlukan infrastruktur VPC berikut:

Satu grup keamanan VPC. Grup keamanan VPC bertindak sebagai firewall virtual untuk mengontrol lalu lintas jaringan masuk (masuk) dan keluar (keluar) pada sebuah instance.
- Hingga 5 grup keamanan dapat ditentukan.
- Kelompok keamanan harus menentukan aturan masuk referensi sendiri untuk dirinya sendiri.
- Grup keamanan harus menentukan aturan keluar untuk semua lalu lintas (0.0.0.0/0).
- Kelompok keamanan harus mengizinkan semua lalu lintas dalam aturan referensi diri. Misalnya, (Disarankan) Contoh semua grup keamanan referensi mandiri akses .
- Grup keamanan secara opsional dapat membatasi lalu lintas lebih lanjut dengan menentukan rentang port untuk rentang port HTTPS 443 dan rentang port TCP. 5432 Misalnya, (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 5432 dan (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 443.
Dua subnet pribadi. Subnet pribadi adalah subnet yang tidak terkait dengan tabel rute yang memiliki rute ke gateway Internet.
- Diperlukan dua subnet pribadi. Hal ini memungkinkan Amazon MWAA untuk membuat image container baru untuk lingkungan Anda di zona ketersediaan lainnya, jika satu container gagal.
- Subnet harus berada di Availability Zone yang berbeda. Misalnya,us-east-1a,us-east-1b.
- Subnet harus memiliki tabel rute ke titik akhir VPC Anda.
- Subnet tidak boleh memiliki tabel rute ke perangkat NAT (gateway atau instance), atau gateway Internet.
Daftar kontrol akses jaringan (ACL). NACL mengelola (dengan mengizinkan atau menolak aturan) lalu lintas masuk dan keluar di tingkat subnet.
- NACL harus memiliki aturan masuk yang memungkinkan semua lalu lintas (). 0.0.0.0/0
- NACL harus memiliki aturan keluar yang menyangkal semua lalu lintas (). 0.0.0.0/0
- Misalnya, (Direkomendasikan) Contoh ACLs.
Tabel rute lokal. Tabel rute lokal adalah rute default untuk komunikasi dalam VPC.
- Tabel rute lokal harus dikaitkan dengan subnet pribadi Anda.
- Tabel rute lokal harus mengaktifkan instance di VPC Anda untuk berkomunikasi dengan jaringan Anda sendiri. Misalnya, jika Anda menggunakan AWS Client VPN untuk mengakses titik akhir antarmuka VPC untuk server Web Apache Airflow Anda, tabel rute harus merutekan ke titik akhir VPC.
Titik akhir VPC untuk setiap AWS layanan yang digunakan oleh lingkungan Anda, dan titik akhir VPC Apache Airflow di AWS Wilayah dan VPC Amazon yang sama dengan lingkungan Amazon MWAA Anda.
- Titik akhir VPC untuk setiap AWS layanan yang digunakan oleh lingkungan dan titik akhir VPC untuk Apache Airflow. Misalnya, (Diperlukan) Titik akhir VPC.
- Titik akhir VPC harus mengaktifkan DNS pribadi.
- Endpoint VPC harus dikaitkan dengan dua subnet pribadi lingkungan Anda.
- Titik akhir VPC harus dikaitkan dengan grup keamanan lingkungan Anda.
- Kebijakan titik akhir VPC untuk setiap titik akhir harus dikonfigurasi untuk memungkinkan akses ke AWS layanan yang digunakan oleh lingkungan. Misalnya, (Disarankan) Contoh kebijakan titik akhir VPC untuk mengizinkan semua akses.
- Kebijakan titik akhir VPC untuk Amazon S3 harus dikonfigurasi untuk memungkinkan akses bucket. Misalnya, (Disarankan) Contoh kebijakan titik akhir gateway Amazon S3 untuk mengizinkan akses bucket.

Contoh kasus penggunaan untuk mode akses Amazon VPC dan Apache Airflow

Bagian ini menjelaskan berbagai kasus penggunaan untuk akses jaringan di VPC Amazon Anda dan mode akses server Web Apache Airflow Web yang harus Anda pilih di konsol Amazon MWAA.

Akses internet diizinkan - jaringan VPC Amazon baru

Jika akses Internet di VPC Anda diizinkan oleh organisasi Anda, dan Anda ingin pengguna mengakses server Web Apache Airflow Anda melalui Internet:

Buat jaringan VPC Amazon dengan akses Internet.
Buat lingkungan dengan mode akses jaringan Publik untuk server Web Apache Airflow Anda.
Yang kami rekomendasikan: Sebaiknya gunakan templat AWS CloudFormation mulai cepat yang membuat infrastruktur VPC Amazon, bucket Amazon S3, dan lingkungan Amazon MWAA secara bersamaan. Untuk mempelajari selengkapnya, lihat Tutorial mulai cepat untuk Alur Kerja Terkelola Amazon untuk Apache Airflow.

Jika akses Internet di VPC Anda diizinkan oleh organisasi Anda, dan Anda ingin membatasi akses server Web Apache Airflow ke pengguna dalam VPC Anda:

Buat jaringan VPC Amazon dengan akses Internet.
Buat mekanisme untuk mengakses titik akhir antarmuka VPC untuk server Web Apache Airflow Anda dari komputer Anda.
Buat lingkungan dengan mode akses jaringan pribadi untuk server Web Apache Airflow Anda.
Apa yang kami rekomendasikan:
1. Sebaiknya gunakan konsol Amazon MWAA diOpsi satu: Membuat jaringan VPC di konsol Amazon MWAA, atau AWS CloudFormation templat di. Opsi dua: Membuat jaringan VPC Amazon dengan akses Internet
2. Kami merekomendasikan AWS Client VPN untuk mengonfigurasi akses menggunakan server Web Apache Airflow Anda di. Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakan AWS Client VPN

Akses internet tidak diizinkan - jaringan VPC Amazon baru

Jika akses Internet di VPC Anda tidak diizinkan oleh organisasi Anda:

Buat jaringan VPC Amazon tanpa akses Internet.
Buat mekanisme untuk mengakses titik akhir antarmuka VPC untuk server Web Apache Airflow Anda dari komputer Anda.
Buat titik akhir VPC untuk setiap AWS layanan yang digunakan oleh lingkungan Anda.
Buat lingkungan dengan mode akses jaringan pribadi untuk server Web Apache Airflow Anda.
Apa yang kami rekomendasikan:
1. Sebaiknya gunakan AWS CloudFormation template untuk membuat VPC Amazon tanpa akses Internet dan titik akhir VPC untuk setiap layanan yang AWS digunakan oleh Amazon MWAA di. Opsi tiga: Membuat jaringan VPC Amazon tanpa akses Internet
2. Kami merekomendasikan AWS Client VPN untuk mengonfigurasi akses menggunakan server Web Apache Airflow Anda di. Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakan AWS Client VPN

Akses internet tidak diizinkan - jaringan VPC Amazon yang ada

Jika akses Internet di VPC Anda tidak diizinkan oleh organisasi Anda, dan Anda sudah memiliki jaringan VPC Amazon yang diperlukan tanpa akses Internet:

Buat titik akhir VPC untuk setiap AWS layanan yang digunakan oleh lingkungan Anda.
Buat titik akhir VPC untuk Apache Airflow.
Buat mekanisme untuk mengakses titik akhir antarmuka VPC untuk server Web Apache Airflow Anda dari komputer Anda.
Buat lingkungan dengan mode akses jaringan pribadi untuk server Web Apache Airflow Anda.
Apa yang kami rekomendasikan:
1. Kami merekomendasikan untuk membuat dan melampirkan titik akhir VPC yang diperlukan untuk AWS setiap layanan yang digunakan oleh Amazon MWAA, dan titik akhir VPC yang diperlukan untuk Apache Airflow. Membuat titik akhir layanan VPC yang diperlukan di VPC Amazon dengan perutean pribadi
2. Kami merekomendasikan AWS Client VPN untuk mengonfigurasi akses menggunakan server Web Apache Airflow Anda di. Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakan AWS Client VPN

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Jaringan

Keamanan di VPC Anda