Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Nozioni di base sui Flussi di lavoro gestiti di Amazon per Apache Airflow
Amazon Managed Workflows for Apache Airflow utilizza Amazon VPC, file DAG e file di supporto nel bucket di storage Amazon S3 per creare un ambiente. Questo capitolo descrive i prerequisiti e AWS le risorse necessari per iniziare a usare Amazon MWAA.
**Topics**
+ [Prerequisiti](#prerequisites)
+ [Informazioni sulla guida](#prerequisites-infra)
+ [Prima di iniziare](#prerequisites-before)
+ [Regioni disponibili](#regions)
+ [Crea un bucket Amazon S3 per Amazon MWAA](mwaa-s3-bucket.md)
+ [Crea la rete VPC](vpc-create.md)
+ [Crea un ambiente Amazon MWAA](create-environment.md)
+ [Fasi successive](#mwaa-s3-bucket-next-up)
## Prerequisiti
Per creare un ambiente Amazon MWAA, assicurati di avere l'autorizzazione per le AWS risorse che devi creare.
+ **Account AWS**— E Account AWS con il permesso di utilizzare Amazon MWAA e AWS i servizi e le risorse utilizzati dal tuo ambiente.
## Informazioni sulla guida
Questa guida illustra l' AWS infrastruttura e le risorse che creerai.
+ **Amazon VPC: i** componenti di rete Amazon VPC richiesti da un ambiente Amazon MWAA. È possibile configurare un VPC esistente che soddisfi questi requisiti (avanzati) come indicato in[Informazioni sulla rete su Amazon MWAA](networking-about.md), oppure creare il VPC e i componenti di rete, come definito in. [Crea la rete VPC](vpc-create.md)
+ Bucket **Amazon S3: un bucket** Amazon S3 per archiviare i tuoi file e quelli associati, ad DAGs esempio e. `plugins.zip` `requirements.txt` Il bucket Amazon S3 deve essere configurato per **bloccare tutti gli accessi pubblici**, con il **Bucket Versioning** abilitato, come definito in. [Crea un bucket Amazon S3 per Amazon MWAA](mwaa-s3-bucket.md)
+ Ambiente **Amazon MWAA: un ambiente** Amazon MWAA configurato con la posizione del bucket Amazon S3, il percorso del codice DAG e qualsiasi plug-in personalizzato o dipendenza Python, nonché il tuo Amazon VPC e il relativo gruppo di sicurezza, come definito in. [Crea un ambiente Amazon MWAA](create-environment.md)
## Prima di iniziare
Per creare un ambiente Amazon MWAA, puoi eseguire ulteriori passaggi per creare e configurare altre AWS risorse prima di creare il tuo ambiente.
Per creare un ambiente, è necessario quanto segue:
+ **AWS KMS chiave**: una AWS KMS chiave per la crittografia dei dati nell'ambiente. Puoi scegliere l'opzione predefinita sulla console Amazon MWAA per creare una chiave di [AWS proprietà quando crei un ambiente o specificare una chiave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) esistente [gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) con autorizzazioni per altri AWS servizi utilizzati dal tuo ambiente configurato (avanzato). Per ulteriori informazioni, consulta. [Utilizzo di chiavi gestite dal cliente per la crittografia](custom-keys-certs.md)
+ **Ruolo di esecuzione**: un ruolo di esecuzione che consente ad Amazon MWAA di accedere alle AWS risorse nel tuo ambiente. Puoi scegliere l'opzione predefinita sulla console Amazon MWAA per creare un ruolo di esecuzione quando crei un ambiente. Per ulteriori informazioni, consulta. [Ruolo di esecuzione di Amazon MWAA](mwaa-create-role.md)
+ Gruppo di **sicurezza VPC: un gruppo** di sicurezza VPC che consente ad Amazon MWAA di accedere ad altre risorse AWS nella tua rete VPC. Puoi scegliere l'opzione predefinita sulla console Amazon MWAA per creare un gruppo di sicurezza quando crei un ambiente o fornire a un gruppo di sicurezza le regole in entrata e in uscita appropriate (avanzate). Per ulteriori informazioni, consulta. [Sicurezza nel tuo VPC su Amazon MWAA](vpc-security.md)
## Regioni disponibili
Amazon MWAA è disponibile nei seguenti paesi. Regioni AWS Per ulteriori informazioni su ciascuna regione, ad esempio quelle abilitate o disabilitate per impostazione predefinita, consulta. [Regioni AWS](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html)
| Codice | Nome |
| --- | --- |
| us-east-1 | Stati Uniti orientali (Virginia settentrionale) |
| us-east-2 | Stati Uniti orientali (Ohio) |
| us-west-1 | Stati Uniti occidentali (California settentrionale) |
| us-west-2 | Stati Uniti occidentali (Oregon) |
| af-south-1 | Africa (Città del Capo) |
| ap-east-1 | Asia Pacifico (Hong Kong) |
| ap-south-2 | Asia Pacific (Hyderabad) |
| ap-southeast-3 | Asia Pacifico (Giacarta) |
| ap-southeast-5 | Asia Pacifico (Malesia) |
| ap-southeast-4 | Asia Pacifico (Melbourne) |
| ap-south-1 | Asia Pacifico (Mumbai) |
| ap-northeast-3 | Asia Pacifico (Osaka-Locale) |
| ap-northeast-2 | Asia Pacifico (Seul) |
| ap-southeast-1 | Asia Pacifico (Singapore) |
| ap-southeast-2 | Asia Pacifico (Sydney) |
| ap-northeast-1 | Asia Pacifico (Tokyo) |
| ca-central-1 | Canada (Centrale) |
| ca-west-1 | Canada occidentale (Calgary) |
| eu-central-1 | Europa (Francoforte) |
| eu-west-1 | Europa (Irlanda) |
| eu-west-2 | Europa (Londra) |
| eu-south-1 | Europa (Milano) |
| eu-west-3 | Europa (Parigi) |
| eu-south-2 | Europa (Spagna) |
| eu-north-1 | Europa (Stoccolma) |
| eu-central-2 | Europa (Zurigo) |
| il-central-1 | Israele (Tel Aviv) |
| me-south-1 | Medio Oriente (Bahrein) |
| me-central-1 | Medio Oriente (Emirati Arabi Uniti) |
| sa-east-1 | Sud America (San Paolo) |
# Crea un bucket Amazon S3 per Amazon MWAA
Questa guida descrive i passaggi per creare un bucket Amazon S3 per archiviare i grafici aciclici diretti da Apache Airflow DAGs (), i plug-in personalizzati in un file e le dipendenze Python in un file. `plugins.zip` `requirements.txt`
**Contents**
+ [Prima di iniziare](#mwaa-s3-bucket-before)
+ [Crea il bucket](#mwaa-s3-bucket-create)
+ [Fasi successive](#mwaa-s3-bucket-next-up)
## Prima di iniziare
+ Il nome del bucket Amazon S3 non può essere modificato dopo averlo creato. Per ulteriori informazioni, consulta [le Regole per la denominazione dei bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html#bucketnamingrules) nella Guida per l'*utente di Amazon Simple Storage Service*.
+ **Un bucket Amazon S3 utilizzato per un ambiente Amazon MWAA deve essere configurato per **bloccare tutti gli accessi pubblici**, con il Bucket Versioning abilitato.**
+ Un bucket Amazon S3 utilizzato per un ambiente Amazon MWAA deve trovarsi nello stesso ambiente Amazon MWAA. Regione AWS Per accedere a un elenco di Regioni AWS per Amazon MWAA, consulta gli [endpoint e le quote Amazon MWAA](https://docs.aws.amazon.com/general/latest/gr/mwaa.html) nel. *Riferimenti generali di AWS*
## Crea il bucket
Questa sezione descrive i passaggi per creare il bucket Amazon S3 per il tuo ambiente.
**Per creare un bucket**
1. Accedi a Console di gestione AWS e apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Seleziona **Crea bucket**.
1. In **Bucket name (Nome bucket)**, immettere un nome conforme a DNS per il bucket.
Il nome del bucket deve:
+ Essere univoco in tutto Amazon S3.
+ Deve contenere da 3 a 63 caratteri
+ Non contiene caratteri maiuscoli.
+ Iniziare con una lettera minuscola o un numero.
**Importante**
Evitare di includere informazioni riservate, ad esempio numeri di account, nel nome del bucket. Il nome del bucket è disponibile nel punto in URLs cui si trovano gli oggetti nel bucket.
1. **Scegli una regione Regione AWS in.** Deve essere lo stesso del tuo Regione AWS ambiente Amazon MWAA.
1. Ti consigliamo di scegliere una regione vicina a te per ridurre al minimo la latenza e i costi e soddisfare i requisiti normativi.
1. Scegliere **Block all public access (Blocca tutti gli accessi pubblici)**.
1. Scegli **Enable** in **Bucket Versioning.**
1. **Facoltativo***: tag.* **Aggiungi coppie di tag chiave-valore per identificare il tuo bucket Amazon S3 nei tag.** Ad esempio, `Bucket` : `Staging`.
1. **Opzionale***: crittografia lato server.* Facoltativamente, puoi **abilitare** una delle seguenti opzioni di crittografia sul tuo bucket Amazon S3.
1. Scegli la **chiave Amazon S3 (SSE-S3)** nella crittografia lato server per abilitare la **crittografia lato server** per il bucket.
1. Scegli **AWS Key Management Service la chiave (SSE-KMS)** per utilizzare una AWS KMS chiave per la crittografia sul tuo bucket Amazon S3:
1. **AWS chiave gestita (aws/s3)**: se scegli questa opzione, puoi utilizzare una chiave di [AWS proprietà gestita da Amazon MWAA o specificare una chiave gestita](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) [dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia del tuo ambiente Amazon MWAA.
1. **Scegli tra AWS KMS le tue chiavi** o **inserisci AWS KMS la chiave ARN** - Se scegli di specificare una [chiave gestita dal cliente in questo passaggio, devi specificare un AWS KMS ID chiave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) o un ARN. [AWS KMS gli alias e le chiavi multiregionali non sono supportati da Amazon](custom-keys-certs.md) MWAA. La AWS KMS chiave specificata deve essere utilizzata anche per la crittografia nel tuo ambiente Amazon MWAA.
1. **Facoltativo**: impostazioni *avanzate*. Se desideri abilitare Amazon S3 Object Lock:
1. Scegli **Impostazioni avanzate**, **Abilita.**
**Importante**
L'attivazione di Object Lock consentirà il blocco permanente degli oggetti in questo bucket. Per ulteriori informazioni, consulta [Locking Objects Using Amazon S3 Object Lock nella Amazon Simple](https://docs.aws.amazon.com//AmazonS3/latest/dev/object-lock.html) *Storage Service* User Guide.
1. Scegli la conferma.
1. Seleziona **Crea bucket**.
## Fasi successive
+ Scopri come creare la rete Amazon VPC richiesta per un ambiente in. [Crea la rete VPC](vpc-create.md)
+ Scopri come gestire le autorizzazioni di accesso in [Come posso impostare le autorizzazioni per i bucket ACL](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/set-bucket-permissions.html)?
+ Scopri come eliminare un bucket di archiviazione in [Come si elimina un bucket S3?](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/delete-bucket.html) .
# Crea la rete VPC
Amazon Managed Workflows for Apache Airflow richiede un Amazon VPC e componenti di rete specifici per supportare un ambiente. Questa guida descrive le diverse opzioni per creare la rete Amazon VPC per un ambiente Amazon Managed Workflows for Apache Airflow.
**Nota**
Apache Airflow funziona al meglio in un ambiente di rete a bassa latenza. Se utilizzi un Amazon VPC esistente che indirizza il traffico verso un'altra regione o verso un ambiente locale, ti consigliamo di aggiungere endpoint AWS PrivateLink per Amazon SQS CloudWatch, Amazon S3 e. AWS KMS Per ulteriori informazioni sulla configurazione AWS PrivateLink per Amazon MWAA, consulta Creazione di una rete [Amazon VPC senza accesso](#vpc-create-template-private-only) a Internet.
**Contents**
+ [Prerequisiti](#vpc-create-prereqs)
+ [Prima di iniziare](#vpc-create-how-networking)
+ [Opzioni per creare la rete Amazon VPC](#vpc-create-options)
+ [Opzione 1: creazione della rete VPC sulla console Amazon MWAA](#vpc-create-mwaa-console)
+ [Opzione due: creazione di una rete Amazon VPC *con* accesso a Internet](#vpc-create-template-private-or-public)
+ [Opzione tre: creazione di una rete Amazon VPC *senza* accesso a Internet](#vpc-create-template-private-only)
+ [Fasi successive](#create-vpc-next-up)
## Prerequisiti
Il AWS Command Line Interface (AWS CLI) è uno strumento open source che puoi utilizzare per interagire con i AWS servizi utilizzando i comandi nella shell della riga di comando. Per completare la procedura descritta in questa pagina, è necessario quanto segue:
+ [AWS CLI — Installa la versione 2](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html).
+ [AWS CLI — Configurazione rapida con `aws configure`](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
## Prima di iniziare
+ La [rete VPC](#vpc-create) specificata per l'ambiente non può essere modificata dopo la creazione dell'ambiente.
+ Puoi utilizzare il routing privato o pubblico per il tuo server web Amazon VPC e Apache Airflow. Per accedere a un elenco di opzioni, consulta. [Esempi di casi d'uso per una modalità di accesso Amazon VPC e Apache Airflow](networking-about.md#networking-about-network-usecase)
## Opzioni per creare la rete Amazon VPC
La sezione seguente descrive le opzioni disponibili per creare la rete Amazon VPC per un ambiente.
**Nota**
Amazon MWAA non supporta l'uso della zona di `use1-az3` disponibilità (AZ) nella regione Stati Uniti orientali (Virginia settentrionale). Quando crei il VPC per Amazon MWAA nella regione Stati Uniti orientali (Virginia settentrionale), devi assegnarlo esplicitamente al modello (CFN). `AvailabilityZone` CloudFormation Il nome della zona di disponibilità assegnata non deve essere mappato su. `use1-az3` È possibile recuperare la mappatura dettagliata dei nomi AZ sulla AZ corrispondente IDs eseguendo il comando seguente:
```
aws ec2 describe-availability-zones --region us-east-1
```
### Opzione 1: creazione della rete VPC sulla console Amazon MWAA
La sezione seguente spiega come creare una rete Amazon VPC sulla console Amazon MWAA. Questa opzione utilizza. [Routing pubblico su Internet](networking-about.md#networking-about-overview-public) Può essere utilizzato per un server web Apache Airflow con le modalità di accesso alla rete **privata **o** alla** rete pubblica.
L'immagine seguente mostra dove puoi trovare il pulsante **Crea VPC MWAA** sulla console Amazon MWAA.
![\[Questa immagine mostra dove puoi trovare il VPC Create MWAA sulla console Amazon MWAA.\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/images/mwaa-console-create-vpc.png)
### Opzione due: creazione di una rete Amazon VPC *con* accesso a Internet
Il CloudFormation modello seguente crea una rete Amazon VPC con accesso a Internet come impostazione predefinita. Regione AWS Questa opzione utilizza[Routing pubblico su Internet](networking-about.md#networking-about-overview-public). Questo modello può essere utilizzato per un server web Apache Airflow con le modalità di accesso alla rete **privata **o** alla** rete pubblica.
1. Copia il contenuto del seguente modello e salvalo localmente come. `cfn-vpc-public-private.yaml` Puoi anche [scaricare il modello](./samples/cfn-vpc-public-private.zip).
```
Description: This template deploys a VPC, with a pair of public and private subnets spread
across two Availability Zones. It deploys an internet gateway, with a default
route on the public subnets. It deploys a pair of NAT gateways (one in each AZ),
and default routes for them in the private subnets.
Parameters:
EnvironmentName:
Description: An environment name that is prefixed to resource names
Type: String
Default: mwaa-
VpcCIDR:
Description: Please enter the IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PublicSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PublicSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
PrivateSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.20.0/24
PrivateSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.21.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
InternetGatewayId: !Ref InternetGateway
VpcId: !Ref VPC
PublicSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet1CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ1)
PublicSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet2CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ2)
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ1)
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ2)
NatGateway1EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway2EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway1:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway1EIP.AllocationId
SubnetId: !Ref PublicSubnet1
NatGateway2:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway2EIP.AllocationId
SubnetId: !Ref PublicSubnet2
PublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Routes
DefaultPublicRoute:
Type: AWS::EC2::Route
DependsOn: InternetGatewayAttachment
Properties:
RouteTableId: !Ref PublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref InternetGateway
PublicSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet1
PublicSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet2
PrivateRouteTable1:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ1)
DefaultPrivateRoute1:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable1
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway1
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable1
SubnetId: !Ref PrivateSubnet1
PrivateRouteTable2:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ2)
DefaultPrivateRoute2:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable2
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway2
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable2
SubnetId: !Ref PrivateSubnet2
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: "mwaa-security-group"
GroupDescription: "Security group with a self-referencing inbound rule."
VpcId: !Ref VPC
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
PublicSubnets:
Description: A list of the public subnets
Value: !Join [ ",", [ !Ref PublicSubnet1, !Ref PublicSubnet2 ]]
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PublicSubnet1:
Description: A reference to the public subnet in the 1st Availability Zone
Value: !Ref PublicSubnet1
PublicSubnet2:
Description: A reference to the public subnet in the 2nd Availability Zone
Value: !Ref PublicSubnet2
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
SecurityGroupIngress:
Description: Security group with self-referencing inbound rule
Value: !Ref SecurityGroupIngress
```
1. Nel prompt dei comandi, accedi alla directory in cui `cfn-vpc-public-private.yaml` è memorizzato. Ad esempio:
```
cd mwaaproject
```
1. Utilizzate il [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html)comando per creare lo stack utilizzando il. AWS CLI
```
aws cloudformation create-stack --stack-name mwaa-environment --template-body file://cfn-vpc-public-private.yaml
```
**Nota**
Sono necessari circa 30 minuti per creare l'infrastruttura Amazon VPC.
### Opzione tre: creazione di una rete Amazon VPC *senza* accesso a Internet
Il CloudFormation modello seguente crea una rete Amazon VPC *senza accesso a Internet* come impostazione predefinita. Regione AWS
Questa opzione utilizza[Routing privato senza accesso a Internet](networking-about.md#networking-about-overview-private). Questo modello può essere utilizzato per un server web Apache Airflow con la sola modalità di accesso **alla rete privata**. Crea gli [endpoint VPC richiesti per i AWS servizi utilizzati da](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-attach-services) un ambiente.
1. Copia il contenuto del seguente modello e salvalo localmente con nome. `cfn-vpc-private.yaml` Puoi anche [scaricare il modello](./samples/cfn-vpc-private-no-ops.zip).
```
AWSTemplateFormatVersion: "2010-09-09"
Parameters:
VpcCIDR:
Description: The IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PrivateSubnet1CIDR:
Description: The IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PrivateSubnet2CIDR:
Description: The IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref AWS::StackName
RouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub "${AWS::StackName}-route-table"
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ1)"
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ2)"
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet1
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet2
S3VpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.s3"
VpcEndpointType: Gateway
VpcId: !Ref VPC
RouteTableIds:
- !Ref RouteTable
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
VpcId: !Ref VPC
GroupDescription: Security Group for Amazon MWAA Environments to access VPC endpoints
GroupName: !Sub "${AWS::StackName}-mwaa-vpc-endpoints"
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
SqsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.sqs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchLogsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.logs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchMonitoringVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.monitoring"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
KmsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.kms"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
MwaaSecurityGroupId:
Description: Associates the Security Group to the environment to allow access to the VPC endpoints
Value: !Ref SecurityGroup
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
```
1. Nel prompt dei comandi, accedi alla directory in cui `cfn-vpc-private.yml` è memorizzato. Ad esempio:
```
cd mwaaproject
```
1. Utilizzate il [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html)comando per creare lo stack utilizzando il. AWS CLI
```
aws cloudformation create-stack --stack-name mwaa-private-environment --template-body file://cfn-vpc-private.yml
```
**Nota**
Sono necessari circa 30 minuti per creare l'infrastruttura Amazon VPC.
1. Dovrai creare un meccanismo per accedere a questi endpoint VPC dal tuo computer. Per ulteriori informazioni, fare riferimento a. [Gestione dell'accesso agli endpoint Amazon VPC specifici del servizio su Amazon MWAA](vpc-vpe-access.md)
**Nota**
Puoi limitare ulteriormente l'accesso in uscita nel CIDR del tuo gruppo di sicurezza Amazon MWAA. Ad esempio, puoi limitarti a se stesso aggiungendo una regola in uscita autoreferenziale, l'elenco di [prefissi per Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html) S3 e il CIDR del tuo Amazon VPC.
## Fasi successive
+ Scopri come creare un ambiente Amazon MWAA in. [Crea un ambiente Amazon MWAA](create-environment.md)
+ Scopri come creare un tunnel VPN dal tuo computer al tuo Amazon VPC con routing privato in ingresso. [Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN](tutorials-private-network-vpn-client.md)
# Crea un ambiente Amazon MWAA
Amazon Managed Workflows for Apache Airflow configura Apache Airflow su un ambiente nella versione prescelta utilizzando lo stesso Apache Airflow open source e la stessa interfaccia utente disponibili da Apache. Questa guida descrive i passaggi per creare un ambiente Amazon MWAA.
**Contents**
+ [Prima di iniziare](#create-environment-before)
+ [Versioni Apache Airflow](#create-environment-regions-aa-versions)
+ [Creazione di un ambiente](#create-environment-start)
+ [Fase uno: specificare i dettagli](#create-environment-start-details)
+ [Fase due: configurare le impostazioni avanzate](#create-environment-start-advanced)
+ [Fase tre: revisione e creazione](#create-environment-start-review)
## Prima di iniziare
+ La [rete VPC](vpc-create.md) specificata per l'ambiente non può essere modificata dopo la creazione dell'ambiente.
+ È necessario un bucket Amazon S3 configurato per **bloccare tutti gli accessi pubblici**, con **Bucket** Versioning abilitato.
+ È necessario un Account AWS with [permissions per usare Amazon MWAA e un](manage-access.md) permesso in AWS Identity and Access Management (IAM) per creare ruoli IAM. Se scegli la modalità di accesso alla **rete privata** per il server web Apache Airflow, che limita l'accesso ad Apache Airflow all'interno del tuo Amazon VPC, avrai bisogno dell'autorizzazione in IAM per creare endpoint Amazon VPC.
**Nota**
Amazon MWAA determina dinamicamente la rete durante la creazione. Se utilizzi IPv6 sottoreti, Amazon MWAA crea una connettività di collegamento IPv6 privata al database e al server web. Amazon MWAA non supporta la transizione tra tipi di rete e non può aggiornare gli ambienti esistenti a. IPv6
## Versioni Apache Airflow
Le seguenti versioni di Apache Airflow sono supportate su Amazon Managed Workflows for Apache Airflow.
**Nota**
A partire dal 30 dicembre 2025, Amazon MWAA terminerà il supporto per le versioni di Apache Airflow v2.4.3, v2.5.1 e v2.6.3. Per ulteriori informazioni, vedi [Supporto per la versione di Apache Airflow e domande frequenti](airflow-versions.md#airflow-versions-support).
A partire da Apache Airflow v2.2.2, Amazon MWAA supporta l'installazione di requisiti Python, pacchetti provider e plug-in personalizzati direttamente sul server web Apache Airflow.
A partire da Apache Airflow v2.7.2, il file dei requisiti deve includere una dichiarazione. `--constraint` Se non fornisci un vincolo, Amazon MWAA te ne specificherà uno per garantire che i pacchetti elencati nei tuoi requisiti siano compatibili con la versione di Apache Airflow che stai utilizzando.
Per ulteriori informazioni sull'impostazione dei vincoli nel file dei requisiti, consulta Installazione delle dipendenze in [Python](working-dags-dependencies.md#working-dags-dependencies-syntax-create).
| Versione Apache Airflow | Data di rilascio di Apache Airflow | Data di disponibilità di Amazon MWAA | Vincoli di Apache Airflow | Versione di Python |
| --- | --- | --- | --- | --- |
| [v2.11.0](https://airflow.apache.org/docs/apache-airflow/2.11.0) | [20 maggio 2025](https://airflow.apache.org/docs/apache-airflow/2.11.0/release_notes.html#airflow-2-11-0-2022-05-20) | 7 gennaio 2026 | [file di vincoli v2.11.0](https://raw.githubusercontent.com/apache/airflow/constraints-2.11.0/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [versione 3.0.6](https://airflow.apache.org/docs/apache-airflow/3.0.6) | [29 agosto 2025](https://airflow.apache.org/docs/apache-airflow/3.0.6/release_notes.html#airflow-3-0-6-2025-08-29) | 1° ottobre 2025 | [file di vincoli v3.0.6](https://raw.githubusercontent.com/apache/airflow/constraints-3.0.6/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v2.10.3](https://airflow.apache.org/docs/apache-airflow/2.10.3) | [4 novembre 2024](https://airflow.apache.org/docs/apache-airflow/2.10.3/release_notes.html#airflow-2-10-3-2024-11-04) | 18 dicembre 2024 | [file dei vincoli v2.10.3](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.3/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.10.1](https://airflow.apache.org/docs/apache-airflow/2.10.1) | [5 settembre 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-10-1-2024-09-05) | 26 settembre 2024 | [file dei vincoli v2.10.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.9.2](https://airflow.apache.org/docs/apache-airflow/2.9.2) | [10 giugno 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-9-2-2024-06-10) | 9 luglio 2024 | [file dei vincoli v2.9.2](https://raw.githubusercontent.com/apache/airflow/constraints-2.9.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.8.1](https://airflow.apache.org/docs/apache-airflow/2.8.1) | [19 gennaio 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-8-1-2024-01-19) | 23 febbraio 2024 | [file di vincoli v2.8.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.8.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.7.2](https://airflow.apache.org/docs/apache-airflow/2.7.2) | [12 ottobre 2023](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-7-2-2023-10-12) | 6 novembre 2023 | [file dei vincoli v2.7.2](https://raw.githubusercontent.com/apache/airflow/constraints-2.7.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
[Per ulteriori informazioni sulla migrazione delle distribuzioni di Apache Airflow autogestite o sulla migrazione di un ambiente Amazon MWAA esistente, incluse le istruzioni per il backup del database di metadati, consulta la Amazon MWAA Migration Guide.](https://docs.aws.amazon.com/mwaa/latest/migrationguide/index.html)
## Creazione di un ambiente
La sezione seguente descrive i passaggi per creare un ambiente Amazon MWAA.
### Fase uno: specificare i dettagli
**Per specificare i dettagli per l'ambiente**
1. Apri la console [Amazon MWAA](https://console.aws.amazon.com/mwaa/home/).
1. Seleziona il tuo. Regione AWS
1. Seleziona **Create environment (Crea ambiente)**.
1. Nella pagina **Specificare i dettagli**, in **Dettagli sull'ambiente**:
1. Inserisci un nome univoco per il tuo ambiente in **Nome**.
1. Scegli la versione Apache Airflow in **Versione Airflow**.
**Nota**
Se non viene specificato alcun valore, per impostazione predefinita viene utilizzata la versione più recente di Apache Airflow. L'ultima versione disponibile è Apache Airflow v3.0.6.
1. **Nel codice DAG in Amazon** S3, specifica quanto segue:
1. **Bucket S3**. Scegli **Browse S3** e seleziona il tuo bucket Amazon S3 oppure inserisci l'URI Amazon S3.
1. **DAGs folder**. Scegli **Browse S3** e seleziona la `dags` cartella nel tuo bucket Amazon S3 oppure inserisci l'URI Amazon S3.
1. **File dei plugin***: opzionale.* Scegli **Browse S3** e seleziona il `plugins.zip` file nel tuo bucket Amazon S3 oppure inserisci l'URI Amazon S3.
1. **File dei requisiti***: opzionale.* Scegli **Browse S3** e seleziona il `requirements.txt` file nel tuo bucket Amazon S3 oppure inserisci l'URI Amazon S3.
1. **File di script di avvio: *facoltativo***, scegli **Sfoglia S3** e seleziona il file di script sul tuo bucket Amazon S3 oppure inserisci l'URI di Amazon S3.
1. Scegli **Next (Successivo)**.
### Fase due: configurare le impostazioni avanzate
**Configurazione delle impostazioni avanzate**
1. Nella pagina **Configura impostazioni avanzate**, in **Rete**:
1. Scegli il tuo [Amazon VPC](vpc-create.md).
Questo passaggio popola due sottoreti private nel tuo Amazon VPC.
1. In **Accesso al server web**, seleziona la modalità di accesso [Apache Airflow](configuring-networking.md) preferita:
1. **Rete privata.** Ciò limita l'accesso all'interfaccia utente di Apache Airflow agli utenti *all'interno del tuo Amazon VPC* a cui è stato concesso l'accesso alla policy IAM per [il](access-policies.md) tuo ambiente. È necessaria l'autorizzazione per creare endpoint Amazon VPC per questa fase.
**Nota**
Scegli l'opzione **Rete privata** se si accede all'interfaccia utente di Apache Airflow solo all'interno di una rete aziendale e non è necessario l'accesso a repository pubblici per l'installazione dei requisiti del server web. Se scegli questa opzione di modalità di accesso, devi creare un meccanismo per accedere al tuo server web Apache Airflow nel tuo Amazon VPC. Per ulteriori informazioni, vedi [Accesso all'endpoint VPC per il server web Apache Airflow (accesso alla rete privata)](vpc-vpe-access.md#vpc-vpe-access-endpoints).
1. **Rete pubblica.** Ciò consente l'accesso all'interfaccia utente di Apache Airflow tramite Internet agli utenti a cui è concesso l'accesso alla [policy IAM per il tuo ambiente](access-policies.md).
1. In **Gruppi di sicurezza**, scegli il gruppo di sicurezza utilizzato per proteggere il tuo [Amazon VPC](vpc-create.md):
1. **Per impostazione predefinita, Amazon MWAA crea un gruppo di sicurezza nel tuo Amazon VPC con regole specifiche in entrata e in uscita in Crea nuovo gruppo di sicurezza.**
1. **Facoltativo**. Deseleziona la casella di controllo in **Crea nuovo gruppo di sicurezza per selezionare fino a 5 gruppi** di sicurezza.
**Nota**
Un gruppo di sicurezza Amazon VPC esistente deve essere configurato con regole specifiche in entrata e in uscita per consentire il traffico di rete. Per ulteriori informazioni, consulta. [Sicurezza nel tuo VPC su Amazon MWAA](vpc-security.md)
1. In **Classe Ambiente**, scegliete una [classe di ambiente](environment-class.md).
Ti consigliamo di scegliere la dimensione più piccola necessaria per supportare il tuo carico di lavoro. Puoi cambiare la classe di ambiente in qualsiasi momento.
1. Per **Numero massimo di lavoratori**, specifica il numero massimo di lavoratori Apache Airflow da eseguire nell'ambiente.
Per ulteriori informazioni, vedi [Esempio di utilizzo ad alte prestazioni](mwaa-autoscaling.md#mwaa-autoscaling-high-volume).
1. Specificate il numero **massimo di server Web e il numero** **minimo di server Web** per configurare il modo in cui Amazon MWAA ridimensiona i server Web Apache Airflow nel tuo ambiente.
Per ulteriori informazioni sulla scalabilità automatica dei server Web, consulta. [Configurazione della scalabilità automatica del server web Amazon MWAA](mwaa-web-server-autoscaling.md)
1. In **Crittografia**, scegli un'opzione di crittografia dei dati:
1. Per impostazione predefinita, Amazon MWAA utilizza una chiave AWS di proprietà per crittografare i dati.
1. **Facoltativo**. Scegli **Personalizza le impostazioni di crittografia (avanzate)** per scegliere una chiave diversa. AWS KMS Se si sceglie di specificare una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) in questo passaggio, è necessario specificare un ID AWS KMS chiave o un ARN. [AWS KMS gli alias e le chiavi multiregionali non sono supportati da Amazon](custom-keys-certs.md) MWAA. Se hai specificato una chiave Amazon S3 per la crittografia lato server sul tuo bucket Amazon S3, devi specificare la stessa chiave per il tuo ambiente Amazon MWAA.
**Nota**
È necessario disporre delle autorizzazioni per la chiave per selezionarla sulla console Amazon MWAA. È inoltre necessario concedere le autorizzazioni ad Amazon MWAA per utilizzare la chiave allegando la politica descritta in. [Allega una politica chiave](custom-keys-certs.md#custom-keys-certs-grant-policies-attach)
1. **Consigliato**. In **Monitoraggio**, scegli una o più categorie di log per la **configurazione di registrazione Airflow per inviare i log** di Apache Airflow a Logs: CloudWatch
1. Registri delle **attività** di Airflow. **Scegli il tipo di log delle attività di Apache Airflow da inviare CloudWatch a Logs in Log level.**
1. **Registri del server web Airflow.** **Scegli il tipo di log del server web Apache Airflow da inviare CloudWatch al livello Logs in Log.**
1. **Registri dello scheduler Airflow.** **Scegli il tipo di log dello scheduler Apache Airflow da inviare CloudWatch a Logs in Log level.**
1. **Registri degli operatori di Airflow.** **Scegli il tipo di log di lavoro Apache Airflow da inviare CloudWatch a Logs in Log level.**
1. **Registri di elaborazione Airflow DAG**. **Scegli il tipo di log di elaborazione Apache Airflow DAG da inviare CloudWatch al livello Logs in Log.**
1. **Facoltativo**. **Per le opzioni di configurazione **Airflow, scegli Aggiungi opzione di configurazione** personalizzata.**
Puoi scegliere dall'elenco a discesa suggerito delle opzioni di configurazione di [Apache Airflow per la tua versione di Apache Airflow o specificare opzioni di configurazione](configuring-env-variables.md) personalizzate. Ad esempio, `core.default_task_retries` : `3`.
1. **Facoltativo**. In **Tag**, scegli **Aggiungi nuovo tag per associare i tag** al tuo ambiente. Ad esempio,`Environment`:`Staging`.
1. In **Autorizzazioni**, scegli un ruolo di esecuzione:
1. Per impostazione predefinita, Amazon MWAA crea un [ruolo di esecuzione](mwaa-create-role.md) in **Crea un nuovo** ruolo. È necessario disporre dell'autorizzazione per creare ruoli IAM per utilizzare questa opzione.
1. **Facoltativo**. Scegli **Inserisci ruolo ARN** per inserire l'Amazon Resource Name (ARN) di un ruolo di esecuzione esistente.
1. Scegli **Next (Successivo)**.
### Fase tre: revisione e creazione
**Per esaminare un riepilogo dell'ambiente**
+ Esamina il riepilogo dell'ambiente, scegli **Crea ambiente**.
**Nota**
Occorrono dai venti ai trenta minuti per creare un ambiente.
## Fasi successive
+ Scopri come creare un bucket Amazon S3 in. [Crea un bucket Amazon S3 per Amazon MWAA](mwaa-s3-bucket.md)