Utilizzo di endpoint VPC

Se lavori in un VPC senza accesso a Internet, puoi creare un endpoint VPC da utilizzare con AWS Panorama. Un endpoint VPC consente ai client in esecuzione in una sottorete privata di connettersi a un servizio AWS senza una connessione Internet.

Per dettagli sulle porte e gli endpoint utilizzati da AWS Panorama Appliance, consulta. Connessione di AWS Panorama Appliance alla rete

Creazione di un endpoint VPC

Per stabilire una connessione privata tra il tuo VPC e AWS Panorama, crea un endpoint VPC. Non è necessario un endpoint VPC per utilizzare AWS Panorama. Devi creare un endpoint VPC solo se lavori in un VPC senza accesso a Internet. Quando la CLI o l'SDK di AWS tenta di connettersi ad AWS Panorama, il traffico viene instradato attraverso l'endpoint VPC.

Crea un endpoint VPC per AWS Panorama utilizzando le seguenti impostazioni:

Un endpoint VPC utilizza il nome DNS del servizio per ottenere traffico dai client SDK AWS senza alcuna configurazione aggiuntiva. Per ulteriori informazioni sull'uso degli endpoint VPC, consulta Interface VPC endpoint nella Amazon VPC User Guide.

Connessione di un'appliance a una sottorete privata

L'AWS Panorama Appliance può connettersi AWS tramite una connessione VPN privata con AWS Site-to-Site VPN o AWS Direct Connect. Con questi servizi, puoi creare una sottorete privata che si estende fino al tuo data center. L'appliance si connette alla sottorete privata e accede ai servizi AWS tramite endpoint VPC.

Site-to-Site VPN e AWS Direct Connect sono servizi per connettere il tuo data center ad Amazon VPC in modo sicuro. Con la Site-to-Site VPN, puoi utilizzare dispositivi di rete disponibili in commercio per connetterti. AWS Direct Connect utilizza un AWS dispositivo per connettersi.

Dopo aver connesso la rete locale a una sottorete privata in un VPC, crea endpoint VPC per i seguenti servizi.

L'appliance non necessita di connettività al servizio AWS Panorama. Comunica con AWS Panorama tramite un canale di messaggistica in AWS IoT.

Oltre agli endpoint VPC, Amazon S3 richiede AWS IoT l'uso di zone private ospitate su Amazon Route 53. La zona ospitata privata indirizza il traffico dai sottodomini, inclusi i sottodomini per i punti di accesso Amazon S3 e gli argomenti MQTT, all'endpoint VPC corretto. Per informazioni sulle zone ospitate private, consulta Working with private hosted zones nella Amazon Route 53 Developer Guide.

Per una configurazione VPC di esempio con endpoint VPC e zone ospitate private, consulta. Modelli di esempio AWS CloudFormation

Modelli di esempio AWS CloudFormation

L' GitHub archivio di questa guida fornisce AWS CloudFormation modelli che puoi utilizzare per creare risorse da utilizzare con AWS Panorama. I modelli creano un VPC con due sottoreti private, una sottorete pubblica e un endpoint VPC. È possibile utilizzare le sottoreti private nel VPC per ospitare risorse isolate da Internet. Le risorse nella sottorete pubblica possono comunicare con le risorse private, ma non è possibile accedervi da Internet.

AWSTemplateFormatVersion: 2010-09-09
Resources:
  vpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 172.31.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      Tags:
        - Key: Name
          Value: !Ref AWS::StackName
  privateSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref vpc
      AvailabilityZone:
        Fn::Select:
         - 0
         - Fn::GetAZs: ""
      CidrBlock: 172.31.3.0/24
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub  ${AWS::StackName}-subnet-a
  ...

Il vpc-endpoint.yml modello mostra come creare un endpoint VPC per AWS Panorama. Puoi utilizzare questo endpoint per gestire le risorse AWS Panorama con l' AWS SDK o. AWS CLI

  panoramaEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: true
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: "*"
          Action:
            - "panorama:*"
          Resource:
            - "*"

PolicyDocumentÈ una politica di autorizzazioni basata sulle risorse che definisce le chiamate API che possono essere effettuate con l'endpoint. È possibile modificare la policy per limitare le azioni e le risorse a cui è possibile accedere tramite l'endpoint. Per ulteriori informazioni, consulta Controllo degli accessi ai servizi con endpoint VPC nella Guida per l'utente di Amazon VPC.

Il vpc-appliance.yml modello mostra come creare endpoint VPC e zone private ospitate per i servizi utilizzati da AWS Panorama Appliance.

  s3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.s3
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: false
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
...
  s3apHostedZone:
    Type: AWS::Route53::HostedZone
    Properties:
      Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com
      VPCs: 
        - VPCId: !Ref vpc
          VPCRegion: !Ref AWS::Region
  s3apRecords:
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref s3apHostedZone
      Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com"
      Type: CNAME
      TTL: 600
      # first DNS entry, split on :, second value
      ResourceRecords: 
      - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

I modelli di esempio illustrano la creazione di risorse Amazon VPC e Route 53 con un VPC di esempio. Puoi adattarli al tuo caso d'uso rimuovendo le risorse VPC e sostituendo i riferimenti a sottorete, gruppo di sicurezza e VPC IDs con le tue risorse. IDs