Tutorial: Configurazione dell'accesso alla rete privata utilizzando unAWS Client VPN - Amazon Managed Workflows for Apache Airflow
Rete privata privata privataCasi d'usoPrima di iniziareObiettivi(Facoltativo) Fase uno: identificazione del VPC, delle regole CIDR e delle protezioni VPCFase 2: Creazione dei certificati server e client e client e caricare i certificati server e clientFase tre: salvare ilAWS CloudFormation modello localmenteFase quattro: creare loAWS CloudFormation stack Client VPNFase cinque: associa le sottoreti alla tua Client VPNFase sei: aggiungi una regola di accesso di autorizzazione alla tua Client VPNFase 7: Scaricare il file di configurazione dell'endpoint Client VPN VPN Client VPN VPN Client VPN VPNFase otto: Connect alAWS Client VPNFasi successive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial: Configurazione dell'accesso alla rete privata utilizzando unAWS Client VPN

Questo tutorial illustra i passaggi per creare un tunnel VPN dal tuo computer al server Web Apache Airflow per il tuo ambiente Amazon Managed Workflow for Apache Airflow. Per connetterti a Internet tramite un tunnel VPN, devi prima creare unAWS Client VPN endpoint. Una volta configurato, un endpoint Client VPN funge da server VPN che consente una connessione sicura dal tuo computer alle risorse del tuo VPC. Ti connetterai quindi al Client VPN dal tuo computer utilizzando AWS Client VPNfor Desktop.

Rete privata privata privata

Questo tutorial presuppone che tu abbia scelto la modalità di accesso alla rete privata per il tuo server Web Apache Airflow.

Questa immagine mostra l'architettura di un ambiente Amazon MWAA con un server Web privato.

La modalità di accesso alla rete privata limita l'accesso all'interfaccia utente di Apache Airflow agli utenti all'interno del tuo Amazon VPC a cui è stato concesso l'accesso alla policy IAM per il tuo ambiente.

Quando crei un ambiente con accesso privato al server web, devi impacchettare tutte le tue dipendenze in un archivio Python wheel (.whl), quindi fare riferimento a quelle.whl nel tuorequirements.txt. Per istruzioni sulla creazione di pacchetti e sull'installazione delle dipendenze utilizzando wheel, vedere Gestire le dipendenze utilizzando la ruota Python.

L'immagine seguente mostra dove trovare l'opzione Rete privata sulla console Amazon MWAA.

Questa immagine mostra dove trovare l'opzione Rete privata sulla console Amazon MWAA.

Casi d'uso

Puoi usare questo tutorial prima o dopo aver creato un ambiente Amazon MWAA. Devi utilizzare gli stessi Amazon VPC, gli stessi gruppi di sicurezza VPC e le stesse sottoreti private del tuo ambiente. Se utilizzi questo tutorial dopo aver creato un ambiente Amazon MWAA, una volta completati i passaggi, puoi tornare alla console Amazon MWAA e modificare la modalità di accesso al server Web Apache Airflow in Rete privata.

Prima di iniziare

  1. Verifica le autorizzazioni degli utenti. Assicurati che il tuo account inAWS Identity and Access Management (IAM) disponga di autorizzazioni sufficienti per creare e gestire le risorse VPC.

  2. Usa il tuo Amazon MWAA VPC. Questo tutorial presuppone che tu stia associando Client VPN a un VPC esistente. Amazon VPC deve trovarsi nella stessaAWS regione di un ambiente Amazon MWAA e avere due sottoreti private. Se non hai creato un Amazon VPC, utilizza ilAWS CloudFormation modello inOpzione tre: creazione di una rete Amazon VPCsenzaaccesso a Internet.

Obiettivi

In questo tutorial, verranno eseguite le operazioni seguenti:

  1. Crea unAWS Client VPN endpoint utilizzando unAWS CloudFormation modello per un Amazon VPC esistente.

  2. Generare i certificati e le chiavi server e client e caricare il certificato e la chiave serverAWS Certificate Manager nella stessaAWS regione in cui si trova un ambiente Amazon MWAA.

  3. Scarica e modifica un file di configurazione dell'endpoint Client VPN per Client VPN e utilizza il file per creare un profilo VPN per connetterti utilizzando Client VPN for Desktop.

(Facoltativo) Fase uno: identificazione del VPC, delle regole CIDR e delle protezioni VPC

La sezione seguente descrive come trovare gli ID per il tuo Amazon VPC, il gruppo di sicurezza VPC e un modo per identificare le regole CIDR necessarie per creare il tuo Client VPN nei passaggi successivi.

Identifica le tue regole CIDR

La sezione seguente mostra come identificare le regole CIDR, necessarie per creare il tuo Client VPN.

Per identificare il CIDR per il tuo Client VPN

  1. Apri la pagina I tuoi Amazon VPC nella console Amazon VPC nella console Amazon VPC.

  2. Utilizza il selettore di regione nella barra di navigazione per scegliere la stessaAWS regione di un ambiente Amazon MWAA.

  3. Scegli Amazon VPC.

  4. Supponendo che i CIDR per le tue sottoreti private siano:

    • Sottorete privata 1:10.192.10.0/24

    • Sottorete privata 2:10.192.11.0/24

    Se il CIDR per Amazon VPC è 10.192.0.0/16, il CIDR IPv4 del client che dovresti specificare per la tua Client VPN sarà 10.192.0.0/22.

  5. Salva questo valore CIDR e il valore del tuo ID VPC per i passaggi successivi.

Identifica il tuo VPC e i tuoi gruppi di sicurezza

La sezione seguente mostra come trovare l'ID del tuo Amazon VPC e dei gruppi di sicurezza necessari per creare la tua Client VPN.

Nota

Potresti utilizzare più di un gruppo di sicurezza. Dovrai specificare tutti i gruppi di sicurezza del tuo VPC nei passaggi successivi.

Per identificare il/i gruppo/i di sicurezza

  1. Aprire la pagina Security Gruppi di sicurezza nella console Amazon VPC.

  2. Utilizzare il selettore delle regioni nella barra di navigazione per scegliere laAWS regione.

  3. Cerca Amazon VPC nell'ID VPC e identifica i gruppi di sicurezza associati al VPC.

  4. Salva l'ID dei tuoi gruppi di sicurezza e del cloud privato VPC per i passaggi successivi.

Fase 2: Creazione dei certificati server e client e client e caricare i certificati server e client

Un endpoint Client VPN supporta solo chiavi RSA a 1024 bit e 2048 bit. La seguente sezione mostra come utilizzare OpenVPN easy-rsa per generare i certificati e le chiavi server e client e caricare i certificati in ACM utilizzando ilAWS Command Line Interface (AWS CLI).

Per creare i certificati client

  1. Segui questi rapidi passaggi per creare e caricare i certificati su ACM tramite Autenticazione e autorizzazione del client: Autenticazione reciproca.AWS CLI

  2. In questi passaggi, devi specificare la stessaAWS regione di un ambiente Amazon MWAA nelAWS CLI comando quando carichi i certificati server e client. Di seguito sono riportati alcuni esempi di come specificare la regione in questi comandi:

    1. Esempio regione per il certificato server server per server server
      aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt --region us-west-2
    2. Esempio regione per il certificato client per il certificato client
      aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt --region us-west-2

    3. Dopo questi passaggi, salva il valore restituito nellaAWS CLI risposta per gli ARN del certificato del server e del certificato client. Specificherai questi ARN nel tuoAWS CloudFormation modello per creare il Client VPN.

  3. In questi passaggi, un certificato client e una chiave privata vengono salvati sul computer. Di seguito è riportato un esempio di dove trovare queste credenziali:

    1. Esempio in macOS OS OS OS OS

      Su macOS i contenuti vengono salvati in/Users/youruser/custom_folder. Se elenchi tutti i contenuti (ls -a) di questa directory, dovresti vedere qualcosa di simile al seguente:

      .
..
ca.crt
client1.domain.tld.crt
client1.domain.tld.key
server.crt
server.key

    2. Dopo questi passaggi, salva il contenuto o annota la posizione del certificato client e la chiave privataclient1.domain.tld.key.client1.domain.tld.crt Aggiungerai questi valori al file di configurazione per il tuo Client VPN.

Fase tre: salvare ilAWS CloudFormation modello localmente

La sezione seguente contiene ilAWS CloudFormation modello per creare il Client VPN. Devi specificare gli stessi Amazon VPC, gli stessi gruppi di sicurezza VPC e le stesse sottoreti private del tuo ambiente Amazon MWAA.

  • Copiare il contenuto del seguente modello e salvare localmente comemwaa_vpn_client.yaml. Puoi anche scaricare il modello.

    Sostituisci i seguenti valori:

    • YOUR_CLIENT_ROOT_CERTIFICATE_ARN— L'ARN del tuo certificato client1.domain.tld inClientRootCertificateChainArn.

    • YOUR_SERVER_CERTIFICATE_ARN— L'ARN per il certificato del server inServerCertificateArn.

    • La regola CIDR IPv4 del client inClientCidrBlock. Viene fornita una regola CIDR di10.192.0.0/22.

    • Il tuo ID Amazon VPC è inseritoVpcId. Viene fornito un VPC divpc-010101010101.

    • I tuoi ID del gruppo di sicurezza VPC inSecurityGroupIds. Viene fornito un grupposg-0101010101 di sicurezza di.

    AWSTemplateFormatVersion: 2010-09-09
Description: This template deploys a VPN Client Endpoint.
Resources:
  ClientVpnEndpoint:
    Type: 'AWS::EC2::ClientVpnEndpoint'
    Properties:
      AuthenticationOptions:
        - Type: "certificate-authentication"
          MutualAuthentication:
            ClientRootCertificateChainArn: "YOUR_CLIENT_ROOT_CERTIFICATE_ARN"
      ClientCidrBlock: 10.192.0.0/22
      ClientConnectOptions:
        Enabled: false
      ConnectionLogOptions:
        Enabled: false
      Description: "MWAA Client VPN"
      DnsServers: []
      SecurityGroupIds:
        - sg-0101010101
      SelfServicePortal: ''
      ServerCertificateArn: "YOUR_SERVER_CERTIFICATE_ARN"
      SplitTunnel: true
      TagSpecifications:
        - ResourceType: "client-vpn-endpoint"
          Tags:
          - Key: Name
            Value: MWAA-Client-VPN
      TransportProtocol: udp
      VpcId: vpc-010101010101
      VpnPort: 443
Nota

Se utilizzi più di un gruppo di sicurezza per il tuo ambiente, puoi specificare più gruppi di sicurezza nel seguente formato:

SecurityGroupIds:
      - sg-0112233445566778b
      - sg-0223344556677889f

Fase quattro: creare loAWS CloudFormation stack Client VPN

Per creare il AWS Client VPN

  1. Aprire la console AWS CloudFormation.

  2. Scegli il modello è pronto, carica un file modello.

  3. Scegli Scegli file e seleziona il tuomwaa_vpn_client.yaml file.

  5. Scegli Avanti, Avanti.

  6. Seleziona il riconoscimento, quindi scegli Crea pila.

Fase cinque: associa le sottoreti alla tua Client VPN

Per associare sottoreti private aAWS Client VPN

  1. Apri la console Amazon VPC.

  2. Scegli la pagina Client VPN Endpoints.

  3. Seleziona il tuo Client VPN, quindi scegli la scheda Associazioni, Associa.

  4. Scegli quanto segue nell'elenco a discesa:

    • Il tuo Amazon VPC in VPC.

    • Una delle tue sottoreti private in Scegli una sottorete da associare.

  5. Selezionare Associate (Associa).

Nota

Per associare il VPC e la sottorete alla Client VPN client sono necessari alcuni minuti.

Fase sei: aggiungi una regola di accesso di autorizzazione alla tua Client VPN

Devi aggiungere una regola di accesso di autorizzazione utilizzando la regola CIDR per il tuo VPC alla tua Client VPN. Se desideri autorizzare utenti o gruppi specifici dal tuo Active Directory Group o Identity Provider (IdP) basato su SAML, consulta le regole di autorizzazione nella guida Client VPN.

Per aggiungere il CIDR alAWS Client VPN

  1. Apri la console Amazon VPC.

  2. Scegli la pagina Client VPN Endpoints.

  3. Seleziona il tuo Client VPN, quindi scegli la scheda Autorizzazione, Autorizza l'ingresso.

  4. Specificare le impostazioni seguenti:

    • La regola CIDR di Amazon VPC nella rete di destinazione da abilitare. Ad esempio:

      10.192.0.0/16

    • Scegli Consenti l'accesso a tutti gli utenti in Concedi accesso a.

    • Inserire un nome descrittivo in Descrizione.

  5. Scegli Aggiungi regola di autorizzazione.

Nota

A seconda dei componenti di rete del tuo Amazon VPC, potresti aver bisogno anche di questa regola di autorizzazione per l'ingresso alla tua lista di controllo degli accessi alla rete (NACL).

Fase 7: Scaricare il file di configurazione dell'endpoint Client VPN VPN Client VPN VPN Client VPN VPN

Per scaricare il file di configurazione

  1. Segui questi rapidi passaggi per scaricare il file di configurazione Client VPN all'indirizzo Scarica il file di configurazione dell'endpoint Client VPN.

  2. In questi passaggi, ti viene chiesto di aggiungere una stringa al nome DNS dell'endpoint Client VPN. Ecco un esempio:

    1. Esempio nome DNS dell'endpoint

      Se il nome DNS dell'endpoint Client VPN ha il seguente aspetto:

      remote cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443

      Puoi aggiungere una stringa per identificare il tuo endpoint Client VPN in questo modo:

      remote mwaavpn.cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443

  3. In questi passaggi ti viene chiesto di aggiungere il contenuto del certificato client tra un nuovo set di<cert></cert> tag e il contenuto della chiave privata tra un nuovo set di<key></key> tag. Ecco un esempio:

    1. Apri un prompt dei comandi e modifica le directory nella posizione del certificato client e della chiave privata.

    2. Esempio Client macOS 1.domain.tld.crt

      Per mostrare il contenuto delclient1.domain.tld.crt file su macOS, puoi usarecat client1.domain.tld.crt.

      Copia il valore dal terminale e incollalo indownloaded-client-config.ovpn questo modo:

      ZZZ1111dddaBBB
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.crt
-----END CERTIFICATE-----                
</cert>
    3. Esempio client1.domain.tld.key per macOS

      Per mostrare il contenuto diclient1.domain.tld.key, puoi usarecat client1.domain.tld.key.

      Copia il valore dal terminale e incollalo indownloaded-client-config.ovpn questo modo:

      ZZZ1111dddaBBB
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.crt
-----END CERTIFICATE-----                
</cert>
<key>
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.key
-----END CERTIFICATE-----                
</key>

Fase otto: Connect alAWS Client VPN

Il client perAWS Client VPN il client è fornito gratuitamente. Puoi connettere direttamente il tuo computerAWS Client VPN per un'esperienza VPN end-to-end.

Per connettersi alla Client VPN Client VPN Client VPN

  1. Scarica e installa la versioneAWS Client VPN per desktop.

  2. Aprire AWS Client VPN.

  3. Scegli File, Profili gestiti nel menu del client VPN.

  4. Scegli Aggiungi profilo, quindi scegli ildownloaded-client-config.ovpn.

  5. Immettete un nome descrittivo in Nome visualizzato.

  6. Scegli Aggiungi profilo, Fine.

  7. Scegli Connect (Connetti).

Dopo esserti connesso alla Client VPN, dovrai disconnetterti dalle altre VPN per visualizzare le risorse del tuo Amazon VPC.

Nota

Potrebbe essere necessario chiudere il client e ricominciare prima di poter connettersi.

Fasi successive