Menggunakan titik akhir VPC

Jika Anda bekerja di VPC tanpa akses internet, Anda dapat membuat titik akhir VPC untuk digunakan dengan AWS Panorama. Endpoint VPC memungkinkan klien yang berjalan di subnet pribadi terhubung ke layanan AWS tanpa koneksi internet.

Untuk detail tentang port dan titik akhir yang digunakan oleh AWS Panorama Appliance, lihat. Menghubungkan AWS Panorama Appliance ke jaringan Anda

Membuat titik akhir VPC

Untuk membuat koneksi pribadi antara VPC dan AWS Panorama, buat titik akhir VPC. Titik akhir VPC tidak diperlukan untuk menggunakan AWS Panorama. Anda hanya perlu membuat titik akhir VPC jika Anda bekerja di VPC tanpa akses internet. Saat AWS CLI atau SDK mencoba terhubung ke AWS Panorama, lalu lintas dirutekan melalui titik akhir VPC.

Buat titik akhir VPC untuk AWS Panorama menggunakan pengaturan berikut:

Titik akhir VPC menggunakan nama DNS layanan untuk mendapatkan lalu lintas dari klien AWS SDK tanpa konfigurasi tambahan apa pun. Untuk informasi selengkapnya tentang penggunaan titik akhir VPC, lihat Titik akhir VPC Antarmuka di Panduan Pengguna VPC Amazon.

Menghubungkan alat ke subnet pribadi

AWS Panorama Appliance dapat terhubung AWS melalui koneksi VPN pribadi dengan AWS Site-to-Site VPN atau. AWS Direct Connect Dengan layanan ini, Anda dapat membuat subnet pribadi yang meluas ke pusat data Anda. Alat terhubung ke subnet pribadi dan mengakses AWS layanan melalui titik akhir VPC.

Site-to-Site VPN AWS Direct Connect dan merupakan layanan untuk menghubungkan pusat data Anda ke Amazon VPC dengan aman. Dengan Site-to-Site VPN, Anda dapat menggunakan perangkat jaringan yang tersedia secara komersial untuk terhubung. AWS Direct Connectmenggunakan AWS perangkat untuk terhubung.

Setelah Anda menghubungkan jaringan lokal Anda ke subnet pribadi di VPC, buat titik akhir VPC untuk layanan berikut.

Alat tidak memerlukan konektivitas ke layanan AWS Panorama. Ini berkomunikasi dengan AWS Panorama melalui saluran pesan di. AWS IoT

Selain titik akhir VPC, Amazon S3 dan AWS IoT memerlukan penggunaan zona host pribadi Amazon Route 53. Zona host pribadi merutekan lalu lintas dari subdomain, termasuk subdomain untuk jalur akses Amazon S3 dan topik MQTT, ke titik akhir VPC yang benar. Untuk informasi tentang zona yang dihosting pribadi, lihat Bekerja dengan zona yang dihosting pribadi di Panduan Pengembang Amazon Route 53.

Untuk contoh konfigurasi VPC dengan titik akhir VPC dan zona host pribadi, lihat. Contoh AWS CloudFormation template

Contoh AWS CloudFormation template

GitHub Repositori untuk panduan ini menyediakan AWS CloudFormation templat yang dapat Anda gunakan untuk membuat sumber daya untuk digunakan dengan AWS Panorama. Template membuat VPC dengan dua subnet pribadi, subnet publik, dan titik akhir VPC. Anda dapat menggunakan subnet pribadi di VPC untuk meng-host sumber daya yang terisolasi dari internet. Sumber daya di subnet publik dapat berkomunikasi dengan sumber daya pribadi, tetapi sumber daya pribadi tidak dapat diakses dari internet.

AWSTemplateFormatVersion: 2010-09-09
Resources:
  vpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 172.31.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      Tags:
        - Key: Name
          Value: !Ref AWS::StackName
  privateSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref vpc
      AvailabilityZone:
        Fn::Select:
         - 0
         - Fn::GetAZs: ""
      CidrBlock: 172.31.3.0/24
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub  ${AWS::StackName}-subnet-a
  ...

vpc-endpoint.ymlTemplate menunjukkan cara membuat titik akhir VPC untuk AWS Panorama. Anda dapat menggunakan titik akhir ini untuk mengelola sumber daya AWS Panorama dengan SDK atauAWS. AWS CLI

  panoramaEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: true
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: "*"
          Action:
            - "panorama:*"
          Resource:
            - "*"

PolicyDocumentIni adalah kebijakan izin berbasis sumber daya yang mendefinisikan panggilan API yang dapat dilakukan dengan titik akhir. Anda dapat mengubah kebijakan untuk membatasi tindakan dan sumber daya yang dapat diakses melalui titik akhir. Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan titik akhir VPC dalam Panduan Pengguna Amazon VPC.

vpc-appliance.ymlTemplate menunjukkan cara membuat titik akhir VPC dan zona host pribadi untuk layanan yang digunakan oleh AWS Panorama Appliance.

  s3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.s3
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: false
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
...
  s3apHostedZone:
    Type: AWS::Route53::HostedZone
    Properties:
      Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com
      VPCs: 
        - VPCId: !Ref vpc
          VPCRegion: !Ref AWS::Region
  s3apRecords:
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref s3apHostedZone
      Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com"
      Type: CNAME
      TTL: 600
      # first DNS entry, split on :, second value
      ResourceRecords: 
      - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

Templat sampel menunjukkan pembuatan sumber daya Amazon VPC dan Route 53 dengan sampel VPC. Anda dapat menyesuaikan ini untuk kasus penggunaan Anda dengan menghapus sumber daya VPC dan mengganti referensi ke subnet, grup keamanan, dan ID VPC dengan ID sumber daya Anda.