Creazione degli endpoint VPC di servizio richiesti in un Amazon VPC con routing privato - Amazon Managed Workflows for Apache Airflow
PrezziRete privata e routing privatoEndpoint (obbligatori) VPCCollegamento degli endpoint richiesti VPC(Facoltativo) Abilita gli indirizzi IP privati per l'endpoint dell'interfaccia Amazon S3 VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione degli endpoint VPC di servizio richiesti in un Amazon VPC con routing privato

Una VPC rete Amazon esistente senza accesso a Internet richiede endpoint di VPC servizio aggiuntivi (AWS PrivateLink) per utilizzare Apache Airflow su Amazon Managed Workflows for Apache Airflow. Questa pagina descrive gli VPC endpoint richiesti per i AWS servizi utilizzati da AmazonMWAA, gli VPC endpoint richiesti per Apache Airflow e come creare e collegare gli VPC endpoint a un Amazon esistente con routing privato. VPC

Prezzi

Rete privata e routing privato

Questa immagine mostra l'architettura di un MWAA ambiente Amazon con un server Web privato.

La modalità di accesso alla rete privata limita l'accesso all'interfaccia utente di VPC Apache Airflow agli utenti del tuo Amazon a cui è stato concesso l'accesso alla IAMpolicy per il tuo ambiente.

Quando crei un ambiente con accesso privato al server web, devi impacchettare tutte le tue dipendenze in un archivio Python wheel .whl (), quindi fare riferimento a .whl nel tuo. requirements.txt Per istruzioni su come impacchettare e installare le dipendenze usando wheel, vedi Gestire le dipendenze usando Python wheel.

L'immagine seguente mostra dove trovare l'opzione Rete privata sulla MWAA console Amazon.

Questa immagine mostra dove trovare l'opzione Rete privata sulla MWAA console Amazon.

  • Routing privato. Un Amazon VPC senza accesso a Internet limita il traffico di rete all'interno diVPC. Questa pagina presuppone che Amazon VPC non disponga di accesso a Internet e richieda VPC endpoint per ogni AWS servizio utilizzato dal tuo ambiente e VPC endpoint per Apache Airflow nella stessa regione AWS e Amazon del tuo ambiente Amazon. VPC MWAA

Endpoint (obbligatori) VPC

La sezione seguente mostra gli VPC endpoint richiesti necessari per un Amazon VPC senza accesso a Internet. Elenca gli VPC endpoint per ogni AWS servizio utilizzato da AmazonMWAA, inclusi gli VPC endpoint necessari per Apache Airflow. 

com.amazonaws.YOUR_REGION.s3
com.amazonaws.YOUR_REGION.monitoring
com.amazonaws.YOUR_REGION.logs
com.amazonaws.YOUR_REGION.sqs
com.amazonaws.YOUR_REGION.kms
Nota

Quando utilizzi Transit Gateway o qualsiasi altro routing che non arriva direttamente agli AWS API endpoint, ti consigliamo di aggiungere AWS PrivateLink alle tue sottoreti MWAA private Amazon per i seguenti servizi:

  • Amazon S3

  • Amazon SQS

  • CloudWatch Registri

  • CloudWatch metriche

  • AWS KMS (se applicabile)

Ciò garantisce che il tuo MWAA ambiente Amazon possa comunicare in modo sicuro ed efficiente con questi servizi senza instradare il traffico attraverso la rete Internet pubblica, migliorando così la sicurezza e le prestazioni.

Collegamento degli endpoint richiesti VPC

Questa sezione descrive i passaggi per collegare gli VPC endpoint richiesti per un Amazon VPC con routing privato.

VPCendpoint richiesti per i servizi AWS

La sezione seguente mostra i passaggi per collegare gli VPC endpoint per i AWS servizi utilizzati da un ambiente a un Amazon VPC esistente.

Per collegare gli VPC endpoint alle sottoreti private

  1. Apri la pagina Endpoints sulla VPC console Amazon.

  2. Usa il selettore AWS della regione per selezionare la tua regione.

  3. Crea l'endpoint per Amazon S3:

    1. Scegliere Create Endpoint (Crea endpoint).

    2. Nel campo di testo Filtra per attributi o cerca per parola chiave, digita:.s3, quindi premi Invio sulla tastiera.

    3. Ti consigliamo di scegliere l'endpoint di servizio elencato per il tipo di Gateway.

      Ad esempio, com.amazonaws.us-west-2.s3 amazon Gateway.

    4. Scegli Amazon VPC in cui si trova il tuo ambiente VPC.

    5. Assicurati che le tue due sottoreti private in zone di disponibilità diverse siano selezionate e che quella privata DNS sia abilitata selezionando Abilita DNS nome.

    6. Scegli i gruppi di VPC sicurezza Amazon del tuo ambiente.

    7. Scegli Accesso completo in Policy.

    8. Seleziona Crea endpoint.

  4. Crea l'endpoint per CloudWatch Logs:

    1. Scegliere Create Endpoint (Crea endpoint).

    2. Nel campo di testo Filtra per attributi o cerca per parola chiave, digita:.logs, quindi premi Invio sulla tastiera.

    3. Seleziona l'endpoint del servizio.

    4. Scegli Amazon VPC in cui si trova il tuo ambiente VPC.

    5. Assicurati che le tue due sottoreti private in zone di disponibilità diverse siano selezionate e che Enable DNS name sia abilitato.

    6. Scegli i gruppi di VPC sicurezza Amazon del tuo ambiente.

    7. Scegli Accesso completo in Policy.

    8. Seleziona Crea endpoint.

  5. Crea l'endpoint per il CloudWatch monitoraggio:

    1. Scegliere Create Endpoint (Crea endpoint).

    2. Nel campo di testo Filtra per attributi o cerca per parola chiave, digita:.monitoring, quindi premi Invio sulla tastiera.

    3. Seleziona l'endpoint del servizio.

    4. Scegli Amazon VPC in cui si trova il tuo ambiente VPC.

    5. Assicurati che le tue due sottoreti private in zone di disponibilità diverse siano selezionate e che Enable DNS name sia abilitato.

    6. Scegli i gruppi di VPC sicurezza Amazon del tuo ambiente.

    7. Scegli Accesso completo in Policy.

    8. Seleziona Crea endpoint.

  6. Crea l'endpoint per AmazonSQS:

    1. Scegliere Create Endpoint (Crea endpoint).

    2. Nel campo di testo Filtra per attributi o cerca per parola chiave, digita:.sqs, quindi premi Invio sulla tastiera.

    3. Seleziona l'endpoint del servizio.

    4. Scegli Amazon VPC in cui si trova il tuo ambiente VPC.

    5. Assicurati che le tue due sottoreti private in zone di disponibilità diverse siano selezionate e che Enable DNS name sia abilitato.

    6. Scegli i gruppi di VPC sicurezza Amazon del tuo ambiente.

    7. Scegli Accesso completo in Policy.

    8. Seleziona Crea endpoint.

  7. Crea l'endpoint per AWS KMS:

    1. Scegliere Create Endpoint (Crea endpoint).

    2. Nel campo di testo Filtra per attributi o cerca per parola chiave, digita:.kms, quindi premi Invio sulla tastiera.

    3. Seleziona l'endpoint del servizio.

    4. Scegli Amazon VPC in cui si trova il tuo ambiente VPC.

    5. Assicurati che le tue due sottoreti private in zone di disponibilità diverse siano selezionate e che Enable DNS name sia abilitato.

    6. Scegli i gruppi di VPC sicurezza Amazon del tuo ambiente.

    7. Scegli Accesso completo in Policy.

    8. Seleziona Crea endpoint.

VPCendpoint richiesti per Apache Airflow

La sezione seguente mostra i passaggi per collegare gli VPC endpoint per Apache Airflow a un Amazon esistente. VPC

Per collegare gli VPC endpoint alle sottoreti private

  1. Apri la pagina Endpoints sulla VPC console Amazon.

  2. Usa il selettore AWS della regione per selezionare la tua regione.

  3. Crea l'endpoint per Apache Airflow: API

    1. Scegliere Create Endpoint (Crea endpoint).

    2. Nel campo di testo Filtra per attributi o cerca per parola chiave, digita:.airflow.api, quindi premi Invio sulla tastiera.

    3. Seleziona l'endpoint del servizio.

    4. Scegli Amazon VPC in cui si trova il tuo ambiente VPC.

    5. Assicurati che le tue due sottoreti private in zone di disponibilità diverse siano selezionate e che Enable DNS name sia abilitato.

    6. Scegli i gruppi di VPC sicurezza Amazon del tuo ambiente.

    7. Scegli Accesso completo in Policy.

    8. Seleziona Crea endpoint.

  4. Crea il primo endpoint per l'ambiente Apache Airflow:

    1. Scegliere Create Endpoint (Crea endpoint).

    2. Nel campo di testo Filtra per attributi o cerca per parola chiave, digita:.airflow.env, quindi premi Invio sulla tastiera.

    3. Seleziona l'endpoint del servizio.

    4. Scegli Amazon VPC in cui si trova il tuo ambiente VPC.

    5. Assicurati che le tue due sottoreti private in zone di disponibilità diverse siano selezionate e che Enable DNS name sia abilitato.

    6. Scegli i gruppi di VPC sicurezza Amazon del tuo ambiente.

    7. Scegli Accesso completo in Policy.

    8. Seleziona Crea endpoint.

  5. Crea il secondo endpoint per le operazioni di Apache Airflow:

    1. Scegliere Create Endpoint (Crea endpoint).

    2. Nel campo di testo Filtra per attributi o cerca per parola chiave, digita:.airflow.ops, quindi premi Invio sulla tastiera.

    3. Seleziona l'endpoint del servizio.

    4. Scegli Amazon VPC in cui si trova il tuo ambiente VPC.

    5. Assicurati che le tue due sottoreti private in zone di disponibilità diverse siano selezionate e che Enable DNS name sia abilitato.

    6. Scegli i gruppi di VPC sicurezza Amazon del tuo ambiente.

    7. Scegli Accesso completo in Policy.

    8. Seleziona Crea endpoint.

(Facoltativo) Abilita gli indirizzi IP privati per l'endpoint dell'interfaccia Amazon S3 VPC

Gli endpoint dell'interfaccia Amazon S3 non supportano il supporto privato. DNS Le richieste degli endpoint S3 vengono comunque risolte in un indirizzo IP pubblico. Per risolvere l'indirizzo S3 in un indirizzo IP privato, devi aggiungere una zona ospitata privata in Route 53 per l'endpoint regionale S3.

Usare Route 53

Questa sezione descrive i passaggi per abilitare gli indirizzi IP privati per un endpoint dell'interfaccia S3 utilizzando Route 53.

  1. Crea una zona ospitata privata per il tuo endpoint di VPC interfaccia Amazon S3 (ad esempio s3.eu-west-1.amazonaws.com) e associala al tuo dispositivo Amazon. VPC

  2. Crea ALIAS un record A per il tuo endpoint di VPC interfaccia Amazon S3 (ad esempio, s3.eu-west-1.amazonaws.com) che si risolve nel nome dell'endpoint di interfaccia. VPC DNS

  3. Crea ALIAS un record A wildcard per il tuo endpoint di interfaccia Amazon S3 (ad esempio*. s3.eu-west-1.amazonaws.com) che si risolve nel nome dell'endpoint dell'interfaccia. VPC DNS

VPCscon personalizzato DNS

Se Amazon VPC utilizza un DNS routing personalizzato, devi apportare le modifiche nel tuo DNS resolver (non Route 53, in genere un'EC2istanza che esegue un DNS server) creando un record. CNAME Per esempio:

Name: s3.us-west-2.amazonaws.com
Type: CNAME
Value:  *.vpce-0f67d23e37648915c-e2q2e2j3.s3.us-west-2.vpce.amazonaws.com