View a markdown version of this page

Menghubungkan HealthOmics alur kerja ke VPC - AWS HealthOmics
Kapan menggunakan jaringan VPCMode jaringanMemulaiPersyaratan VPCKonfigurasi APIsMenjalankan alur kerja dengan jaringan VPCPraktik terbaikKuota jaringan VPC

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan HealthOmics alur kerja ke VPC

Dengan Amazon Virtual Private Cloud (Amazon VPC), Anda dapat meluncurkan AWS sumber daya di jaringan virtual pribadi yang telah Anda tentukan. Anda dapat memberikan HealthOmics alur kerja Anda akses ke sumber daya di VPC Anda dengan mengonfigurasi proses Anda untuk menggunakan mode jaringan VPC. Ketika jaringan VPC diaktifkan, proses Anda dapat mengakses sumber daya dalam VPC Anda dan terhubung ke sumber daya eksternal melalui internet publik jika VPC Anda memiliki akses internet yang dikonfigurasi.

catatan

Setiap HealthOmics alur kerja dijalankan dijalankan di dalam VPC yang dimiliki dan dikelola oleh layanan. HealthOmics Ini VPCs dipertahankan secara otomatis dan tidak terlihat oleh pelanggan. Mengonfigurasi proses Anda untuk mengakses sumber daya di VPC Amazon Anda tidak berpengaruh pada HealthOmics VPC yang dikelola.

Kapan menggunakan jaringan VPC

Gunakan jaringan VPC saat proses Anda perlu:

  • Akses kumpulan data yang tersedia untuk umum melalui internet (misalnya, kumpulan data NIH, repositori akademik)

  • Connect ke server lisensi pihak ketiga atau eksternal APIs

  • Membaca atau menulis data dari bucket Amazon S3 di Wilayah lain AWS

  • Mengakses sumber daya lokal di jaringan pribadi Anda

  • Connect ke sumber daya AWS dalam VPC Anda

catatan

Ketika Anda menghubungkan run ke VPC, itu hanya dapat mengakses sumber daya yang tersedia dalam VPC itu. Untuk memberikan akses run Anda ke internet, Anda juga harus mengonfigurasi VPC Anda untuk akses internet. Untuk informasi selengkapnya, lihat Akses internet untuk alur kerja yang terhubung dengan VPC.

Topik

Mode jaringan

HealthOmics Alur kerja mendukung dua mode jaringan. Secara default, alur kerja berjalan beroperasi dalam mode TERBATAS. Anda dapat mengaktifkan jaringan VPC secara per-run saat memulai alur kerja.

DIBATASI (default)

Runs hanya dapat mengakses sumber daya Amazon S3 dan Amazon ECR dalam Wilayah yang sama. AWS Runs tidak dapat mengakses AWS layanan lain, sumber daya di seluruh AWS Wilayah, atau internet publik.

VPC

Jalankan lalu lintas dirutekan melalui antarmuka jaringan elastis (ENIs) yang disediakan oleh subnet VPC HealthOmics Anda. Anda mengontrol perutean jaringan, grup keamanan, jaringan ACLs, dan akses internet melalui gateway NAT. Mode ini memungkinkan akses ke:

  • Sumber daya internet publik (memerlukan konfigurasi NAT Gateway)

  • AWS layanan di Wilayah lain

  • Sumber daya pribadi di VPC Anda

  • Mengakses sumber daya lokal di jaringan pribadi Anda

Anda menentukan mode jaringan saat memulai alur kerja yang dijalankan menggunakan networkingMode parameter di StartRun API.

Memulai

Bagian ini memandu Anda melalui pengaturan jaringan VPC untuk HealthOmics Alur Kerja untuk pertama kalinya.

Prasyarat

Sebelum mengonfigurasi jaringan VPC HealthOmics untuk Alur Kerja, pastikan Anda memiliki yang berikut:

  • VPC yang ada dengan subnet dan grup keamanan yang sesuai. VPC harus berada di Wilayah yang sama dengan alur kerja Anda.

  • Setidaknya satu subnet di Availability Zone tempat HealthOmics beroperasi di Wilayah Anda.

  • Izin IAM yang sesuai untuk membuat dan mengelola HealthOmics konfigurasi.

  • Memahami konsep jaringan VPC (subnet, grup keamanan, tabel rute).

  • Kapasitas ENI yang cukup di AWS akun Anda. HealthOmics menskalakan dan mengelola ENI di VPC Anda menggunakan peran terkait layanan. Jumlah ENI yang dibutuhkan tergantung pada beban kerja Anda. Pantau penggunaan ENI Anda di konsol Amazon EC2 untuk memastikan Anda memiliki kapasitas yang memadai.

penting

Konfigurasi VPC Anda harus menyertakan setidaknya satu subnet di Availability Zone yang HealthOmics beroperasi di Wilayah Anda untuk mendukung penempatan tugas alur kerja. Saat menggunakan mode jaringan VPC, Anda bertanggung jawab untuk menentukan apakah aman dan sesuai untuk mentransfer atau menggunakan data di seluruh Wilayah. AWS

Langkah 1: Buat atau konfigurasikan VPC Anda

Buat VPC dengan subnet pribadi, grup keamanan, dan gateway NAT (jika akses internet diperlukan). Untuk step-by-step instruksi terperinci, lihatAkses internet untuk alur kerja yang terhubung dengan VPC.

Langkah 2: Konfigurasikan grup keamanan

Buat grup keamanan yang memungkinkan lalu lintas keluar ke tujuan yang perlu Anda akses. Konfigurasikan grup keamanan untuk mengizinkan hanya lalu lintas keluar minimum yang diperlukan mengikuti prinsip hak istimewa paling sedikit.

Misalnya konfigurasi dan panduan terperinci, lihat bagian grup keamanan diAkses internet untuk alur kerja yang terhubung dengan VPC.

Langkah 3: Verifikasi tabel rute

Pastikan subnet pribadi Anda memiliki rute ke NAT Gateway untuk akses internet. Misalnya konfigurasi tabel rute, lihat bagian tabel rute diAkses internet untuk alur kerja yang terhubung dengan VPC.

catatan

Menghubungkan run ke subnet publik tidak memberikan akses internet atau alamat IP publik. Selalu gunakan subnet pribadi dengan rute NAT Gateway untuk menjalankan yang membutuhkan konektivitas internet.

Langkah 4: Buat sumber daya konfigurasi

Buat sumber daya HealthOmics Konfigurasi yang menentukan pengaturan jaringan VPC Anda:

aws omics create-configuration \
  --name my-vpc-config \
  --description "VPC configuration for genomics workflows" \
  --run-configurations '{
    "vpcConfig": {
      "securityGroupIds": ["sg-0123456789abcdef0"],
      "subnetIds": [
        "subnet-0a1b2c3d4e5f6g7h8",
        "subnet-1a2b3c4d5e6f7g8h9"
      ]
    }
  }' \
  --region us-west-2

Konfigurasi akan bertransisi dari CREATING ke ACTIVE status setelah sumber daya jaringan disediakan. Ini membutuhkan waktu hingga 15 menit.

Langkah 5: Mulai menjalankan alur kerja dengan jaringan VPC

Setelah konfigurasi AndaACTIVE, mulai menjalankan alur kerja dengan jaringan VPC diaktifkan:

aws omics start-run \
  --workflow-id 1234567 \
  --role-arn arn:aws:iam::123456789012:role/OmicsWorkflowRole \
  --output-uri s3://my-bucket/outputs/ \
  --networking-mode VPC \
  --configuration-name my-vpc-config \
  --region us-west-2

Langkah 6: Verifikasi konektivitas

Pantau alur kerja Anda untuk memverifikasi bahwa alur kerja dapat mengakses sumber daya eksternal yang diperlukan. Periksa log alur kerja di CloudWatch Log untuk pesan keberhasilan atau kegagalan koneksi. Untuk panduan terperinci tentang pengujian konektivitas, lihatMenguji konektivitas VPC.

Persyaratan VPC

VPC Anda harus memenuhi persyaratan berikut:

Persyaratan subnet

  • Minimum: Setidaknya satu subnet di Availability Zone tempat beroperasi HealthOmics

  • Maksimum: 16 subnet per konfigurasi

  • Pembatasan: Maksimum satu subnet per Availability Zone

  • Rekomendasi: Gunakan subnet pribadi dengan rute NAT Gateway untuk menjalankan yang membutuhkan akses internet. Meskipun Anda dapat menentukan satu subnet, sebaiknya gunakan beberapa subnet di berbagai Availability Zone untuk ketersediaan yang lebih baik.

Persyaratan grup keamanan

  • Minimal: 1 grup keamanan

  • Maksimum: 5 grup keamanan per konfigurasi

  • Persyaratan: Semua grup keamanan harus memiliki VPC yang sama dengan subnet

Grup keamanan mengontrol lalu lintas masuk dan keluar untuk perjalanan Anda.

catatan

Semua subnet dan grup keamanan harus termasuk dalam VPC yang sama.

Persyaratan antarmuka jaringan

HealthOmics menyediakan antarmuka jaringan elastis (ENIs) di VPC Anda untuk menghubungkan berjalan ke jaringan Anda. Pastikan AWS akun Anda memiliki kapasitas ENI yang memadai (batas default: 5.000 ENIs per Wilayah).

ENIs dibuat oleh HealthOmics ditandai dengan tag berikut:

"TagSet": [
  {
    "Key": "Service",
    "Value": "HealthOmics"
  },
  {
    "Key": "eniType",
    "Value": "CUSTOMER"
  }
]
penting

Jangan memodifikasi atau menghapus ENIs yang dibuat oleh HealthOmics. Memodifikasi antarmuka jaringan ini dapat menyebabkan penundaan layanan atau gangguan pada alur kerja Anda berjalan.

Konfigurasi APIs

HealthOmics menyediakan APIs untuk membuat, mengelola, dan menghapus konfigurasi VPC. Anda dapat menggunakan kembali konfigurasi di beberapa alur kerja.

CreateConfiguration

Membuat sumber daya konfigurasi baru dengan pengaturan jaringan VPC. Sebagai step-by-step contoh, lihatLangkah 4: Buat sumber daya konfigurasi.

Permintaan sintaks:

aws omics create-configuration \
  --name configuration-name \
  --description description \
  --run-configurations '{"vpcConfig":{"securityGroupIds":["security-group-id"],"subnetIds":["subnet-id"]}}' \
  --tags Key=key,Value=value \
  --region region

Parameter:

  • nama (wajib) - Nama unik untuk konfigurasi (maksimum 50 karakter).

  • deskripsi (opsional) — Deskripsi konfigurasi.

  • run-configurations (opsional) - Pengaturan konfigurasi VPC:

    • vpcConfig.securityGroupIds— Daftar 1—5 kelompok keamanan. IDs

    • vpcConfig.subnetIds— Daftar 1-16 subnet. IDs

  • tag (opsional) - Tag sumber daya.

Tanggapan:

{
  "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
  "uuid": "configuration-uuid",
  "name": "configuration-name",
  "runConfigurations": {
    "vpcConfig": {
      "securityGroupIds": ["security-group-id"],
      "subnetIds": ["subnet-id"],
      "vpcId": "vpc-id"
    }
  },
  "status": "CREATING",
  "creationTime": "timestamp",
  "tags": {}
}

Nilai status konfigurasi:

  • MENCIPTAKAN - Konfigurasi sedang dibuat dan sumber daya jaringan sedang disediakan (hingga 15 menit).

  • AKTIF - Konfigurasi siap digunakan.

  • MENGHAPUS - Konfigurasi sedang dihapus.

  • DIHAPUS - Konfigurasi telah dihapus.

GetConfiguration

Mengambil detail konfigurasi tertentu.

Permintaan sintaks:

aws omics get-configuration \
  --name configuration-name \
  --region region

Tanggapan:

{
  "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
  "uuid": "configuration-uuid",
  "name": "configuration-name",
  "runConfigurations": {
    "vpcConfig": {
      "securityGroupIds": ["security-group-id"],
      "subnetIds": ["subnet-id"],
      "vpcId": "vpc-id"
    }
  },
  "status": "ACTIVE",
  "creationTime": "timestamp",
  "tags": {}
}

ListConfigurations

Daftar semua konfigurasi di akun Anda.

Permintaan sintaks:

aws omics list-configurations \
  --region region

Tanggapan:

{
  "items": [
    {
      "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
      "name": "configuration-name",
      "description": "description",
      "status": "ACTIVE",
      "creationTime": "timestamp"
    }
  ]
}

DeleteConfiguration

Menghapus konfigurasi. Anda tidak dapat menghapus konfigurasi yang saat ini digunakan oleh alur kerja aktif berjalan.

Permintaan sintaks:

aws omics delete-configuration \
  --name configuration-name \
  --region region
catatan

Status konfigurasi berubah menjadi DELETING saat sumber daya jaringan sedang dibersihkan, dan kemudian ke DELETED setelah proses selesai.

Menjalankan alur kerja dengan jaringan VPC

Memulai lari dengan jaringan VPC

Untuk menggunakan jaringan VPC dalam menjalankan alur kerja, tentukan networking-mode parameter dan: configuration-name

aws omics start-run \
  --workflow-id 1234567 \
  --role-arn arn:aws:iam::123456789012:role/OmicsWorkflowRole \
  --output-uri s3://my-bucket/outputs/ \
  --networking-mode VPC \
  --configuration-name my-vpc-config \
  --region us-west-2

Parameter:

  • mode jaringan - Atur untuk VPC mengaktifkan jaringan VPC. Nilai default-nya RESTRICTED.

  • configuration-name (required) — Nama konfigurasi yang akan digunakan.

Melihat konfigurasi jaringan run

Gunakan GetRun untuk melihat konfigurasi jaringan untuk menjalankan:

aws omics get-run \
  --id run-id \
  --region region

Responsnya mencakup mode jaringan, detail konfigurasi, dan konfigurasi VPC. Contoh berikut menunjukkan bidang terkait VPC dari respons:

{
  "arn": "arn:aws:omics:region:account-id:run/run-id",
  "id": "run-id",
  "status": "status",
  "workflowId": "workflow-id",
  "networkingMode": "VPC",
  "configuration": {
    "name": "configuration-name",
    "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
    "uuid": "configuration-uuid"
  },
  "vpcConfig": {
    "subnets": ["subnet-id-1", "subnet-id-2"],
    "securityGroupIds": ["security-group-id"],
    "vpcId": "vpc-id"
  }
}

Konfigurasi kekekalan

Alur kerja menggunakan snapshot konfigurasi seperti yang ada saat proses dimulai. Anda dapat dengan aman memodifikasi atau menghapus konfigurasi selama eksekusi run tanpa mempengaruhi proses aktif.

Panggil pertimbangan caching

Saat menggunakan jaringan VPC dengan caching panggilan, pastikan mesin alur kerja Anda dikonfigurasi dengan tepat. Untuk panduan terperinci tentang caching panggilan per mesin, lihatFitur caching khusus mesin.

penting

Saat menghubungkan ke sumber daya non-deterministik atau dinamis (misalnya, database pihak ketiga di internet publik), pertimbangkan untuk menggunakan fitur penyisihan tugas cache di alur kerja Anda untuk menghindari caching kumpulan data dinamis yang dapat memengaruhi keluaran run.

Praktik terbaik

Keamanan

  1. Gunakan grup keamanan dengan hak istimewa paling sedikit. Izinkan hanya lalu lintas keluar minimum yang diperlukan. Gunakan blok CIDR tujuan tertentu alih-alih 0.0.0.0/0 jika memungkinkan. Dokumentasikan tujuan dari setiap aturan kelompok keamanan.

  2. Konfigurasi terpisah berdasarkan lingkungan. Buat konfigurasi terpisah untuk pengembangan, pementasan, dan produksi. Gunakan subnet VPCs atau berbeda untuk setiap lingkungan. Terapkan tag yang sesuai untuk konfigurasi untuk organisasi.

  3. Menerapkan pemantauan jaringan. Aktifkan Log Aliran VPC untuk analisis keamanan. Siapkan CloudWatch alarm untuk pola lalu lintas yang tidak biasa. Tinjau CloudTrail log secara teratur untuk perubahan konfigurasi.

  4. Gunakan titik akhir VPC untuk layanan. AWS Konfigurasikan titik akhir VPC untuk Amazon S3, Amazon ECR, dan layanan lainnya. AWS Ini mengurangi biaya NAT Gateway, meningkatkan kinerja, dan memberikan keamanan tambahan dengan menjaga lalu lintas dalam AWS jaringan.

Performa

  1. Rencanakan penskalaan jaringan. Throughput jaringan dimulai pada 10 Gbps dan skala hingga 100 Gbps dari waktu ke waktu. Untuk kebutuhan throughput tinggi segera, rencanakan ke depan dan minta pra-pemanasan. Pantau metrik jaringan untuk memahami persyaratan alur kerja Anda.

  2. Terapkan Gateway NAT per Zona Ketersediaan. Gunakan satu NAT Gateway per AZ untuk beban kerja produksi. Ini meningkatkan ketahanan dan throughput, serta mengurangi biaya transfer data lintas-AZ.

  3. Gunakan kembali konfigurasi. Buat konfigurasi yang dapat dibagikan di beberapa alur kerja. Ini mengurangi overhead manajemen konfigurasi dan memastikan pengaturan jaringan yang konsisten.

  4. Uji konfigurasi sebelum penggunaan produksi. Validasi konektivitas jaringan dengan alur kerja pengujian. Verifikasi aturan grup keamanan memungkinkan lalu lintas yang diperlukan. Uji skenario failover dengan konfigurasi Multi-AZ.

Optimalisasi biaya

  1. Gunakan titik akhir VPC alih-alih NAT Gateway. Untuk akses AWS layanan, gunakan titik akhir VPC (tanpa biaya pemrosesan data). Titik akhir Amazon S3 Gateway tidak memiliki biaya tambahan. Endpoint antarmuka memiliki biaya per jam tetapi bisa lebih hemat biaya daripada NAT Gateway.

  2. Pantau biaya transfer data. Transfer data tidak dikenakan biaya. Transfer data ke internet menimbulkan kecepatan transfer AWS data standar. Transfer data lintas wilayah memiliki tingkat yang lebih tinggi. Gunakan AWS Cost Explorer untuk melacak biaya terkait VPC.

  3. Penerapan NAT Gateway ukuran kanan. Untuk pengembangan, gunakan satu NAT Gateway untuk semua AZs. Untuk produksi, gunakan satu NAT Gateway per AZ untuk ketahanan. Pantau pemanfaatan NAT Gateway untuk menghindari penyediaan berlebih.

  4. Hapus konfigurasi yang tidak digunakan. Secara teratur meninjau dan menghapus konfigurasi yang tidak lagi digunakan. Gunakan tag untuk mengidentifikasi kepemilikan dan tujuan konfigurasi.

Operasional

  1. Gunakan nama konfigurasi deskriptif. Sertakan lingkungan, tujuan, dan tim dalam nama (misalnya,prod-genomics-vpc,dev-clinical-trials-vpc).

  2. Tandai semua konfigurasi. Gunakan strategi penandaan yang konsisten di semua sumber daya. Sertakan tag untuk Lingkungan, Pemilik CostCenter, dan Tujuan.

  3. Persyaratan jaringan dokumen. Dokumentasikan layanan eksternal mana yang diakses setiap konfigurasi. Pertahankan peta aturan kelompok keamanan dan tujuannya. Bagikan diagram arsitektur jaringan dengan tim Anda.

Kuota jaringan VPC

Tabel berikut mencantumkan kuota untuk konfigurasi jaringan VPC:

Sumber daya Batas default Dapat Disesuaikan
Konfigurasi maksimum per akun 10 Ya
Grup keamanan maksimum per konfigurasi 5 Tidak
Subnet maksimum per konfigurasi 16 Tidak
Subnet maksimum per Zona Ketersediaan 1 Tidak
CreateConfiguration TPS API 1 Ya
Antarmuka jaringan elastis per Wilayah (VPC pelanggan) 5.000 Ya

Untuk meminta peningkatan kuota, buka konsol Service Quotas, pilih layanan, AWS HealthOmicscari, AWS pilih kuota yang ingin Anda tambah, dan pilih Permintaan kenaikan kuota. Permintaan kenaikan kuota biasanya diproses dalam 1-2 hari kerja.