Destinazioni Virtual private cloud (VPC) - AWS IoT Core
Requisiti e considerazioniPrezziCreazione di destinazioni delle regole dell'argomento Virtual private cloud (VPC)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Destinazioni Virtual private cloud (VPC)

L'operazione della regola di Apache Kafka instrada i dati a un cluster Apache Kafka in un Amazon Virtual Private Cloud (Amazon VPC). La configurazione VPC utilizzata dall'operazione della regola Apache Kafka viene attivata automaticamente quando si specifica la destinazione VPC per l'operazione della regola.

Una destinazione VPC contiene un elenco di sottoreti all'interno del VPC. Il motore delle regole crea un'interfaccia di rete elastica in ciascuna sottorete specificata nell'elenco. Per maggiori informazioni sulle interfacce di rete, consulta le Interfacce di rete elastiche nella Guida per l'utente di Amazon EC2.

Requisiti e considerazioni

  • Se utilizzi un cluster Apache Kafka autogestito a cui si accede utilizzando un endpoint pubblico su Internet:

    • Crea un gateway NAT per le istanze nelle sottoreti. Il gateway NAT dispone di un indirizzo IP pubblico che può connettersi a Internet e consente al motore delle regole di inoltrare i messaggi al cluster Kafka pubblico.

    • Alloca un indirizzo IP elastico con le interfacce di rete elastica (ENI) create dalla destinazione VPC. I gruppi di sicurezza utilizzati devono essere configurati per bloccare il traffico in entrata.

      Nota

      Se la destinazione del VPC viene disabilitata e quindi riabilitata, è necessario associare nuovamente gli IP elastici alle nuove ENI.

  • Se la destinazione della regola dell'argomento VPC non riceve alcun traffico per 30 giorni consecutivi, verrà disattivata.

  • Se le risorse utilizzate dalla destinazione del VPC cambiano, la destinazione sarà disattivata e non potrà essere utilizzata.

  • Alcune modifiche che possono disabilitare una destinazione VPC includono: eliminazione di VPC, sottoreti, gruppi di sicurezza o del ruolo utilizzato, la modifica del ruolo in modo che non disponga più delle autorizzazioni necessarie, la disattivazione della destinazione.

Prezzi

Ai fini della determinazione dei prezzi, un'operazione della regola VPC viene misurata in aggiunta all'azione che invia un messaggio a una risorsa quando la risorsa si trova nel VPC. Per informazioni sui prezzi, consulta Prezzi di AWS IoT Core.

Creazione di destinazioni delle regole dell'argomento Virtual private cloud (VPC)

Puoi creare una destinazione di cloud privato virtuale (VPC) utilizzando l'CreateTopicRuleDestinationAPI o la AWS IoT Core console.

Quando crei una destinazione VPC, devi specificare le informazioni seguenti.

vpcId

L'ID univoco della destinazione VPC.

subnetIds

Un elenco di sottoreti in cui il motore delle regole crea interfacce di rete elastiche. Il motore delle regole alloca una singola interfaccia di rete per ogni sottorete nell'elenco.

SecurityGroups (facoltativa)

Un elenco di gruppi di sicurezza da applicare alle interfacce di rete.

roleArn

L'Amazon Resource Name (ARN) di un ruolo che ha l'autorizzazione a creare interfacce di rete per tuo conto.

A questo ARN dovrebbe essere associata una policy simile a quella del seguente esempio.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/VPCDestinationENI": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface",
                    "aws:RequestTag/VPCDestinationENI": "true"
                }
            }
        }
    ]
}

Creazione di una destinazione VPC utilizzando AWS CLI

L'esempio seguente mostra come creare una destinazione VPC mediante AWS CLI.


aws --region regions iot create-topic-rule-destination --destination-configuration 'vpcConfiguration={subnetIds=["subnet-123456789101230456"],securityGroups=[],vpcId="vpc-123456789101230456",roleArn="arn:aws:iam::123456789012:role/role-name"}'

Quando esegui questo comando, lo stato di destinazione VPC sarà IN_PROGRESS. Dopo alcuni istanti, il suo stato cambierà in ERROR (se il comando non ha esito positivo) o ENABLED. Quando lo stato di destinazione è ENABLED, la destinazione è pronta per l'uso.

Puoi utilizzare il comando seguente per ottenere lo stato della destinazione del VPC.


aws --region region iot get-topic-rule-destination --arn "VPCDestinationARN"

Creazione di una destinazione VPC utilizzando la console AWS IoT Core

I passaggi seguenti descrivono come creare una destinazione VPC utilizzando la AWS IoT Core console.

  1. Vai alla AWS IoT Core console. Nel riquadro a sinistra, nella scheda Act (Atto), scegli Destinations (Destinazioni).

  2. Inserisci i valori per i seguenti campi.

    • ID VPC

    • ID sottorete

    • Gruppo di sicurezza

  3. Seleziona un ruolo con le autorizzazioni necessarie per creare interfacce di rete. La policy di esempio precedente contiene queste autorizzazioni.

Quando lo stato di destinazione VPC è ENABLED, questa è pronta per l'uso.