Termini Cosa è supportato VPCpanoramica dell'infrastruttura Esempi di casi d'uso per una modalità di accesso Amazon VPC e Apache Airflow

Informazioni sul networking su Amazon MWAA

Amazon VPC è una rete virtuale collegata al tuo AWS account. Ti offre la sicurezza del cloud e la possibilità di scalare dinamicamente fornendo un controllo granulare sull'infrastruttura virtuale e sulla segmentazione del traffico di rete. Questa pagina descrive l'VPCinfrastruttura Amazon con routing pubblico o routing privato necessaria per supportare un ambiente Amazon Managed Workflows for Apache Airflow.

Indice

Termini

Routing pubblico: Una VPC rete Amazon con accesso a Internet.
Routing privato: Una VPC rete Amazon senza accesso a Internet.

Cosa è supportato

La tabella seguente descrive i tipi di MWAA supporto di VPCs Amazon Amazon.

VPCTipi di Amazon	Supportato
Un Amazon VPC di proprietà dell'account che sta tentando di creare l'ambiente.	Sì
Un Amazon condiviso VPC in cui più AWS account creano le proprie AWS risorse.	Sì

VPCpanoramica dell'infrastruttura

Quando crei un MWAA ambiente Amazon, Amazon MWAA crea da uno a due VPC endpoint per il tuo ambiente in base alla modalità di accesso Apache Airflow che hai scelto per il tuo ambiente. Questi endpoint vengono visualizzati come Elastic Network Interfaces (ENIs) con private IPs in Amazon. VPC Dopo la creazione di questi endpoint, tutto il traffico destinato a tali endpoint IPs viene instradato privatamente o pubblicamente ai servizi corrispondenti AWS utilizzati dal tuo ambiente.

La sezione seguente descrive l'VPCinfrastruttura Amazon necessaria per instradare il traffico pubblicamente su Internet o privatamente all'interno del tuo Amazon VPC.

Routing pubblico su Internet

Questa sezione descrive l'VPCinfrastruttura Amazon di un ambiente con routing pubblico. Avrai bisogno della seguente VPC infrastruttura:

Un gruppo VPC di sicurezza. Un gruppo VPC di sicurezza funge da firewall virtuale per controllare il traffico di rete in ingresso (in entrata) e in uscita (in uscita) su un'istanza.
- È possibile specificare fino a 5 gruppi di sicurezza.
- Il gruppo di sicurezza deve specificare a se stesso una regola di ingresso autoreferenziale.
- Il gruppo di sicurezza deve specificare una regola in uscita per tutto il traffico (). 0.0.0.0/0
- Il gruppo di sicurezza deve consentire tutto il traffico nella regola di autoreferenziazione. Ad esempio (Consigliato) Esempio di gruppo di sicurezza autoreferenziato per tutti gli accessi .
- Il gruppo di sicurezza può facoltativamente limitare ulteriormente il traffico specificando l'intervallo di porte per l'intervallo di porte 443 e un intervallo di HTTPS porte. TCP 5432 Ad esempio (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 5432 e (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 443.
Due sottoreti pubbliche. Una sottorete pubblica è una sottorete associata a una tabella di routing con una route a un Internet Gateway.
- Sono necessarie due sottoreti pubbliche. Ciò consente MWAA ad Amazon di creare una nuova immagine del contenitore per il tuo ambiente nell'altra zona di disponibilità, in caso di guasto di un container.
- Le sottoreti devono trovarsi in zone di disponibilità diverse. Ad esempio, us-east-1a, us-east-1b.
- Le sottoreti devono essere instradate verso un NAT gateway (o NAT istanza) con un indirizzo IP elastico (). EIP
- Le sottoreti devono disporre di una tabella di routing che indirizza il traffico collegato a Internet verso un gateway Internet.
Due sottoreti private. Una sottorete privata è una sottorete non associata a una tabella di routing che ha un percorso verso un gateway Internet.
- Sono necessarie due sottoreti private. Ciò consente MWAA ad Amazon di creare una nuova immagine del contenitore per il tuo ambiente nell'altra zona di disponibilità, in caso di guasto di un container.
- Le sottoreti devono trovarsi in zone di disponibilità diverse. Ad esempio, us-east-1a, us-east-1b.
- Le sottoreti devono disporre di una tabella di routing verso un NAT dispositivo (gateway o istanza).
- Le sottoreti non devono essere instradate verso un gateway Internet.
Una lista di controllo degli accessi alla rete () ACL. An NACL gestisce (mediante regole di autorizzazione o rifiuto) il traffico in entrata e in uscita a livello di sottorete.
- NACLDeve avere una regola in entrata che consenta tutto il traffico (). 0.0.0.0/0
- NACLDeve avere una regola in uscita che consenta tutto il traffico ()0.0.0.0/0.
- Ad esempio (Consigliato) Esempio ACLs.
Due NAT gateway (o NAT istanze). Un NAT dispositivo inoltra il traffico dalle istanze della sottorete privata a Internet o ad altri AWS servizi, quindi reindirizza la risposta alle istanze.
- Il NAT dispositivo deve essere collegato a una sottorete pubblica. (Un NAT dispositivo per sottorete pubblica).
- Il NAT dispositivo deve avere un Elastic IPv4 Address (EIP) collegato a ciascuna sottorete pubblica.
Un gateway Internet. Un gateway Internet collega un Amazon VPC a Internet e ad altri AWS servizi.
- Un gateway Internet deve essere collegato ad AmazonVPC.

Routing privato senza accesso a Internet

Questa sezione descrive l'VPCinfrastruttura Amazon di un ambiente con routing privato. Avrai bisogno della seguente VPC infrastruttura:

Un gruppo VPC di sicurezza. Un gruppo VPC di sicurezza funge da firewall virtuale per controllare il traffico di rete in ingresso (in entrata) e in uscita (in uscita) su un'istanza.
- È possibile specificare fino a 5 gruppi di sicurezza.
- Il gruppo di sicurezza deve specificare a se stesso una regola di ingresso autoreferenziale.
- Il gruppo di sicurezza deve specificare una regola in uscita per tutto il traffico (). 0.0.0.0/0
- Il gruppo di sicurezza deve consentire tutto il traffico nella regola di autoreferenziazione. Ad esempio (Consigliato) Esempio di gruppo di sicurezza autoreferenziato per tutti gli accessi .
- Il gruppo di sicurezza può facoltativamente limitare ulteriormente il traffico specificando l'intervallo di porte per l'intervallo di porte 443 e un intervallo di HTTPS porte. TCP 5432 Ad esempio (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 5432 e (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 443.
Due sottoreti private. Una sottorete privata è una sottorete non associata a una tabella di routing che ha un percorso verso un gateway Internet.
- Sono necessarie due sottoreti private. Ciò consente MWAA ad Amazon di creare una nuova immagine del contenitore per il tuo ambiente nell'altra zona di disponibilità, in caso di guasto di un container.
- Le sottoreti devono trovarsi in zone di disponibilità diverse. Ad esempio, us-east-1a, us-east-1b.
- Le sottoreti devono disporre di una tabella di routing verso gli endpoint. VPC
- Le sottoreti non devono avere una tabella di routing verso un NAT dispositivo (gateway o istanza), né un gateway Internet.
Una lista di controllo degli accessi alla rete () ACL. An NACL gestisce (mediante regole di autorizzazione o rifiuto) il traffico in entrata e in uscita a livello di sottorete.
- NACLDeve avere una regola in entrata che consenta tutto il traffico (). 0.0.0.0/0
- NACLDeve avere una regola in uscita che neghi tutto il traffico (). 0.0.0.0/0
- Ad esempio (Consigliato) Esempio ACLs.
Una tabella di percorsi locali. Una tabella di routing locale è una route predefinita per la comunicazione all'interno diVPC.
- La tabella delle rotte locali deve essere associata alle sottoreti private.
- La tabella di routing locale deve consentire alle istanze dell'utente di VPC comunicare con la propria rete. Ad esempio, se si utilizza un dispositivo per accedere AWS Client VPN all'endpoint di VPC interfaccia del server Web Apache Airflow, la tabella di routing deve essere indirizzata all'endpoint. VPC
VPCendpoint per ogni AWS servizio utilizzato dal tuo ambiente ed VPC endpoint Apache Airflow nella stessa regione AWS e Amazon del VPC tuo ambiente Amazon. MWAA
- Un VPC endpoint per ogni AWS servizio utilizzato dall'ambiente e VPC dagli endpoint per Apache Airflow. Ad esempio Endpoint (obbligatori) VPC.
- Gli VPC endpoint devono avere l'opzione privata abilitata. DNS
- Gli VPC endpoint devono essere associati alle due sottoreti private dell'ambiente.
- Gli VPC endpoint devono essere associati al gruppo di sicurezza dell'ambiente.
- La policy degli VPC endpoint per ogni endpoint deve essere configurata per consentire l'accesso ai AWS servizi utilizzati dall'ambiente. Ad esempio (Consigliato) Esempio di policy per gli VPC endpoint per consentire a tutti gli accessi.
- È necessario configurare una policy sugli VPC endpoint per Amazon S3 per consentire l'accesso ai bucket. Ad esempio (Consigliato) Esempio di policy degli endpoint del gateway Amazon S3 per consentire l'accesso ai bucket.

Esempi di casi d'uso per una modalità di accesso Amazon VPC e Apache Airflow

Questa sezione descrive i diversi casi d'uso per l'accesso alla rete in Amazon VPC e la modalità di accesso al server Web Apache Airflow da scegliere sulla console Amazon. MWAA

L'accesso a Internet è consentito: nuova VPC rete Amazon

Se l'accesso a Internet nella tua azienda VPC è consentito dalla tua organizzazione e desideri che gli utenti accedano al tuo server Web Apache Airflow tramite Internet:

Crea una VPC rete Amazon con accesso a Internet.
Crea un ambiente con la modalità di accesso alla rete pubblica per il tuo server Web Apache Airflow.
Cosa consigliamo: ti consigliamo di utilizzare il modello di AWS CloudFormation avvio rapido che crea contemporaneamente l'VPCinfrastruttura Amazon, un bucket Amazon S3 e un ambiente MWAA Amazon. Per ulteriori informazioni, consulta Tutorial di avvio rapido per Amazon Managed Workflows for Apache Airflow.

Se l'accesso a Internet nella tua azienda VPC è consentito dalla tua organizzazione e desideri limitare l'accesso al server Web Apache Airflow agli utenti all'interno del tuo: VPC

Crea una VPC rete Amazon con accesso a Internet.
Crea un meccanismo per accedere all'endpoint di VPC interfaccia per il tuo server Web Apache Airflow dal tuo computer.
Crea un ambiente con la modalità di accesso alla rete privata per il tuo server Web Apache Airflow.
Cosa consigliamo:
1. Ti consigliamo di utilizzare la MWAA console Amazon in Opzione uno: creazione della VPC rete sulla MWAA console Amazon o il AWS CloudFormation modello inOpzione due: creazione di una VPC rete Amazon con accesso a Internet.
2. Ti consigliamo di configurare l'accesso utilizzando un AWS Client VPN al tuo server Web Apache Airflow in. Tutorial: Configurazione dell'accesso alla rete privata utilizzando unAWS Client VPN

L'accesso a Internet non è consentito: nuova VPC rete Amazon

Se l'accesso a Internet nella tua organizzazione non VPC è consentito:

Crea una VPC rete Amazon senza accesso a Internet.
Crea un meccanismo per accedere all'endpoint di VPC interfaccia per il tuo server Web Apache Airflow dal tuo computer.
Crea VPC endpoint per ogni AWS servizio utilizzato dal tuo ambiente.
Crea un ambiente con la modalità di accesso alla rete privata per il tuo server Web Apache Airflow.
Cosa consigliamo:
1. Ti consigliamo di utilizzare il AWS CloudFormation modello per creare un Amazon VPC senza accesso a Internet e gli VPC endpoint per ogni AWS servizio utilizzato da Amazon MWAA inOpzione tre: creazione di una VPC rete Amazon senza accesso a Internet.
2. Ti consigliamo di configurare l'accesso utilizzando un AWS Client VPN al tuo server Web Apache Airflow in. Tutorial: Configurazione dell'accesso alla rete privata utilizzando unAWS Client VPN

L'accesso a Internet non è consentito - VPC rete Amazon esistente

Se l'accesso a Internet nella tua azienda non VPC è consentito dalla tua organizzazione e disponi già della VPC rete Amazon richiesta senza accesso a Internet:

Crea VPC endpoint per ogni AWS servizio utilizzato dal tuo ambiente.
Crea VPC endpoint per Apache Airflow.
Crea un meccanismo per accedere all'endpoint di VPC interfaccia per il tuo server Web Apache Airflow dal tuo computer.
Crea un ambiente con la modalità di accesso alla rete privata per il tuo server Web Apache Airflow.
Cosa consigliamo:
1. Ti consigliamo di creare e collegare gli VPC endpoint necessari per ogni AWS servizio utilizzato da Amazon MWAA e gli VPC endpoint necessari per Apache Airflow in. Creazione degli endpoint VPC di servizio richiesti in un Amazon VPC con routing privato
2. Ti consigliamo di configurare l'accesso utilizzando un al tuo server Web AWS Client VPN Apache Airflow in. Tutorial: Configurazione dell'accesso alla rete privata utilizzando unAWS Client VPN

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Rete

La sicurezza nel tuo VPC