Ketentuan Apa yang didukung VPCikhtisar infrastruktur Contoh kasus penggunaan untuk mode akses Amazon VPC dan Apache Airflow

Tentang jaringan di Amazon MWAA

Amazon VPC adalah jaringan virtual yang ditautkan ke AWS akun Anda. Ini memberi Anda keamanan cloud dan kemampuan untuk menskalakan secara dinamis dengan memberikan kontrol halus atas infrastruktur virtual dan segmentasi lalu lintas jaringan Anda. Halaman ini menjelaskan VPC infrastruktur Amazon dengan perutean publik atau perutean pribadi yang diperlukan untuk mendukung lingkungan Alur Kerja Terkelola Amazon untuk Apache Airflow.

Daftar Isi

Ketentuan

Perutean publik: VPCJaringan Amazon yang memiliki akses ke Internet.
Perutean pribadi: VPCJaringan Amazon tanpa akses ke Internet.

Apa yang didukung

Tabel berikut menjelaskan jenis MWAA dukungan VPCs Amazon Amazon.

VPCJenis Amazon	Didukung
Amazon yang VPC dimiliki oleh akun yang mencoba menciptakan lingkungan.	Ya
Amazon bersama VPC tempat beberapa AWS akun membuat AWS sumber dayanya.	Ya

VPCikhtisar infrastruktur

Saat Anda membuat MWAA lingkungan Amazon, Amazon MWAA membuat antara satu hingga dua VPC titik akhir untuk lingkungan Anda berdasarkan mode akses Apache Airflow yang Anda pilih untuk lingkungan Anda. Titik akhir ini muncul sebagai Antarmuka Jaringan Elastis (ENIs) dengan pribadi IPs di Amazon Anda. VPC Setelah titik akhir ini dibuat, lalu lintas apa pun yang ditujukan untuk ini IPs dialihkan secara pribadi atau publik ke AWS layanan terkait yang digunakan oleh lingkungan Anda.

Bagian berikut menjelaskan VPC infrastruktur Amazon yang diperlukan untuk mengarahkan lalu lintas secara publik melalui Internet, atau secara pribadi di Amazon Anda. VPC

Routing publik melalui Internet

Bagian ini menjelaskan VPC infrastruktur Amazon dari lingkungan dengan perutean publik. Anda memerlukan VPC infrastruktur berikut:

Satu kelompok VPC keamanan. Grup VPC keamanan bertindak sebagai firewall virtual untuk mengontrol lalu lintas jaringan masuk (masuk) dan keluar (keluar) pada sebuah instance.
- Hingga 5 grup keamanan dapat ditentukan.
- Kelompok keamanan harus menentukan aturan masuk referensi sendiri untuk dirinya sendiri.
- Grup keamanan harus menentukan aturan keluar untuk semua lalu lintas (0.0.0.0/0).
- Kelompok keamanan harus mengizinkan semua lalu lintas dalam aturan referensi diri. Misalnya, (Disarankan) Contoh semua grup keamanan referensi mandiri akses .
- Grup keamanan secara opsional dapat membatasi lalu lintas lebih lanjut dengan menentukan rentang port untuk jangkauan HTTPS port 443 dan jangkauan port. TCP 5432 Misalnya, (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 5432 dan (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 443.
Dua subnet publik. Subnet publik adalah subnet yang terkait dengan tabel rute yang memiliki rute ke gateway Internet.
- Diperlukan dua subnet publik. Hal ini memungkinkan Amazon MWAA untuk membuat image container baru untuk lingkungan Anda di zona ketersediaan lainnya, jika satu container gagal.
- Subnet harus berada di Availability Zone yang berbeda. Misalnya,us-east-1a,us-east-1b.
- Subnet harus merutekan ke NAT gateway (atau NAT instance) dengan Alamat IP Elastis (EIP).
- Subnet harus memiliki tabel rute yang mengarahkan lalu lintas internet ke gateway Internet.
Dua subnet pribadi. Subnet pribadi adalah subnet yang tidak terkait dengan tabel rute yang memiliki rute ke gateway Internet.
- Diperlukan dua subnet pribadi. Hal ini memungkinkan Amazon MWAA untuk membuat image container baru untuk lingkungan Anda di zona ketersediaan lainnya, jika satu container gagal.
- Subnet harus berada di Availability Zone yang berbeda. Misalnya,us-east-1a,us-east-1b.
- Subnet harus memiliki tabel rute ke NAT perangkat (gateway atau instance).
- Subnet tidak boleh merutekan ke gateway Internet.
Daftar kontrol akses jaringan (ACL). NACLMengelola (dengan mengizinkan atau menolak aturan) lalu lintas masuk dan keluar di tingkat subnet.
- NACLHarus memiliki aturan masuk yang memungkinkan semua lalu lintas (0.0.0.0/0).
- NACLHarus memiliki aturan keluar yang memungkinkan semua lalu lintas (0.0.0.0/0).
- Misalnya, (Direkomendasikan) Contoh ACLs.
Dua NAT gateway (atau NAT contoh). NATPerangkat meneruskan lalu lintas dari instance di subnet pribadi ke Internet atau AWS layanan lain, dan kemudian mengarahkan respons kembali ke instance.
- NATPerangkat harus dilampirkan ke subnet publik. (Satu NAT perangkat per subnet publik.)
- NATPerangkat harus memiliki IPv4 Alamat Elastis (EIP) yang terpasang pada setiap subnet publik.
Gateway Internet. Gateway Internet menghubungkan Amazon VPC ke Internet dan AWS layanan lainnya.
- Gateway Internet harus dilampirkan ke AmazonVPC.

Perutean pribadi tanpa akses Internet

Bagian ini menjelaskan VPC infrastruktur Amazon dari lingkungan dengan perutean pribadi. Anda memerlukan VPC infrastruktur berikut:

Satu kelompok VPC keamanan. Grup VPC keamanan bertindak sebagai firewall virtual untuk mengontrol lalu lintas jaringan masuk (masuk) dan keluar (keluar) pada sebuah instance.
- Hingga 5 grup keamanan dapat ditentukan.
- Kelompok keamanan harus menentukan aturan masuk referensi sendiri untuk dirinya sendiri.
- Grup keamanan harus menentukan aturan keluar untuk semua lalu lintas (0.0.0.0/0).
- Kelompok keamanan harus mengizinkan semua lalu lintas dalam aturan referensi diri. Misalnya, (Disarankan) Contoh semua grup keamanan referensi mandiri akses .
- Grup keamanan secara opsional dapat membatasi lalu lintas lebih lanjut dengan menentukan rentang port untuk jangkauan HTTPS port 443 dan jangkauan port. TCP 5432 Misalnya, (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 5432 dan (Opsional) Contoh grup keamanan yang membatasi akses masuk ke port 443.
Dua subnet pribadi. Subnet pribadi adalah subnet yang tidak terkait dengan tabel rute yang memiliki rute ke gateway Internet.
- Diperlukan dua subnet pribadi. Hal ini memungkinkan Amazon MWAA untuk membuat image container baru untuk lingkungan Anda di zona ketersediaan lainnya, jika satu container gagal.
- Subnet harus berada di Availability Zone yang berbeda. Misalnya,us-east-1a,us-east-1b.
- Subnet harus memiliki tabel rute ke titik VPC akhir Anda.
- Subnet tidak boleh memiliki tabel rute ke NAT perangkat (gateway atau instance), atau gateway Internet.
Daftar kontrol akses jaringan (ACL). NACLMengelola (dengan mengizinkan atau menolak aturan) lalu lintas masuk dan keluar di tingkat subnet.
- NACLHarus memiliki aturan masuk yang memungkinkan semua lalu lintas (0.0.0.0/0).
- NACLHarus memiliki aturan keluar yang menyangkal semua lalu lintas ()0.0.0.0/0.
- Misalnya, (Direkomendasikan) Contoh ACLs.
Tabel rute lokal. Tabel rute lokal adalah rute default untuk komunikasi di dalamVPC.
- Tabel rute lokal harus dikaitkan dengan subnet pribadi Anda.
- Tabel rute lokal harus mengaktifkan instance di Anda VPC untuk berkomunikasi dengan jaringan Anda sendiri. Misalnya, jika Anda menggunakan AWS Client VPN untuk mengakses titik akhir VPC antarmuka untuk server Web Apache Airflow Anda, tabel rute harus merutekan ke titik akhir. VPC
VPCtitik akhir untuk setiap AWS layanan yang digunakan oleh lingkungan Anda, dan VPC titik akhir Apache Airflow di Wilayah AWS dan Amazon yang sama dengan lingkungan Amazon VPC Anda. MWAA
- VPCTitik akhir untuk setiap AWS layanan yang digunakan oleh lingkungan dan VPC titik akhir untuk Apache Airflow. Misalnya, (Diperlukan) titik VPC akhir.
- VPCTitik akhir harus DNS diaktifkan secara pribadi.
- VPCTitik akhir harus dikaitkan dengan dua subnet pribadi lingkungan Anda.
- VPCTitik akhir harus dikaitkan dengan grup keamanan lingkungan Anda.
- Kebijakan VPC endpoint untuk setiap titik akhir harus dikonfigurasi untuk memungkinkan akses ke AWS layanan yang digunakan oleh lingkungan. Misalnya, (Disarankan) Contoh kebijakan VPC titik akhir untuk mengizinkan semua akses.
- Kebijakan VPC endpoint untuk Amazon S3 harus dikonfigurasi untuk memungkinkan akses bucket. Misalnya, (Disarankan) Contoh kebijakan titik akhir gateway Amazon S3 untuk mengizinkan akses bucket.

Contoh kasus penggunaan untuk mode akses Amazon VPC dan Apache Airflow

Bagian ini menjelaskan berbagai kasus penggunaan untuk akses jaringan di Amazon Anda VPC dan mode akses server Web Apache Airflow yang harus Anda pilih di konsol Amazon. MWAA

Akses internet diizinkan - VPC jaringan Amazon baru

Jika akses Internet di Anda VPC diizinkan oleh organisasi Anda, dan Anda ingin pengguna mengakses server Web Apache Airflow Anda melalui Internet:

Buat VPC jaringan Amazon dengan akses Internet.
Buat lingkungan dengan mode akses jaringan Publik untuk server Web Apache Airflow Anda.
Yang kami rekomendasikan: Sebaiknya gunakan templat AWS CloudFormation mulai cepat yang membuat VPC infrastruktur Amazon, bucket Amazon S3, dan lingkungan MWAA Amazon secara bersamaan. Untuk mempelajari selengkapnya, lihat Tutorial mulai cepat untuk Alur Kerja Terkelola Amazon untuk Apache Airflow.

Jika akses Internet di Anda VPC diizinkan oleh organisasi Anda, dan Anda ingin membatasi akses server Web Apache Airflow ke pengguna dalam: VPC

Buat VPC jaringan Amazon dengan akses Internet.
Buat mekanisme untuk mengakses titik akhir VPC antarmuka untuk server Web Apache Airflow Anda dari komputer Anda.
Buat lingkungan dengan mode akses jaringan pribadi untuk server Web Apache Airflow Anda.
Apa yang kami rekomendasikan:
1. Sebaiknya gunakan MWAA konsol Amazon diOpsi satu: Membuat VPC jaringan di MWAA konsol Amazon, atau AWS CloudFormation templat diOpsi dua: Membuat VPC jaringan Amazon dengan akses Internet.
2. Kami merekomendasikan AWS Client VPN untuk mengonfigurasi akses menggunakan server Web Apache Airflow Anda di. Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakanAWS Client VPN

Akses internet tidak diizinkan - VPC jaringan Amazon baru

Jika akses Internet di Anda VPC tidak diizinkan oleh organisasi Anda:

Buat VPC jaringan Amazon tanpa akses Internet.
Buat mekanisme untuk mengakses titik akhir VPC antarmuka untuk server Web Apache Airflow Anda dari komputer Anda.
Buat VPC titik akhir untuk setiap AWS layanan yang digunakan oleh lingkungan Anda.
Buat lingkungan dengan mode akses jaringan pribadi untuk server Web Apache Airflow Anda.
Apa yang kami rekomendasikan:
1. Sebaiknya gunakan AWS CloudFormation template untuk membuat Amazon VPC tanpa akses Internet dan VPC titik akhir untuk setiap AWS layanan yang digunakan oleh Amazon MWAA diOpsi tiga: Membuat VPC jaringan Amazon tanpa akses Internet.
2. Kami merekomendasikan AWS Client VPN untuk mengonfigurasi akses menggunakan server Web Apache Airflow Anda di. Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakanAWS Client VPN

Akses internet tidak diizinkan - VPC jaringan Amazon yang ada

Jika akses Internet di Anda tidak VPC diizinkan oleh organisasi Anda, dan Anda sudah memiliki VPC jaringan Amazon yang diperlukan tanpa akses Internet:

Buat VPC titik akhir untuk setiap AWS layanan yang digunakan oleh lingkungan Anda.
Buat VPC titik akhir untuk Apache Airflow.
Buat mekanisme untuk mengakses titik akhir VPC antarmuka untuk server Web Apache Airflow Anda dari komputer Anda.
Buat lingkungan dengan mode akses jaringan pribadi untuk server Web Apache Airflow Anda.
Apa yang kami rekomendasikan:
1. Kami merekomendasikan untuk membuat dan melampirkan VPC titik akhir yang diperlukan untuk setiap AWS layanan yang digunakan oleh AmazonMWAA, dan VPC titik akhir yang diperlukan untuk Apache Airflow. Membuat titik akhir VPC layanan yang diperlukan di Amazon VPC dengan perutean pribadi
2. Kami merekomendasikan AWS Client VPN untuk mengonfigurasi akses menggunakan server Web Apache Airflow Anda di. Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakanAWS Client VPN

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Jaringan

Keamanan di Anda VPC