用語サポート対象 VPC インフラストラクチャの概要 Amazon VPC と Apache エアフローアクセスモードのユースケース例

Amazon MWAA でのネットワーキングについて

Amazon VPC は、AWS アカウントにリンクされた仮想ネットワークです。仮想インフラストラクチャとネットワークトラフィックのセグメンテーションをきめ細かく制御できるため、クラウドセキュリティと動的なスケーリングが可能になります。このページでは、Amazon Managed Workflows for Apache Airflow をサポートするために必要な、パブリックルーティングまたはプライベートルーティングを使用する Amazon VPC インフラストラクチャについて説明します。

用語

パブリックルーティング: インターネットにアクセスできる Amazon VPC ネットワーク。
プライベート・ルーティング: インターネットにアクセスできない Amazon VPC ネットワーク。

サポート対象

次の表では、Amazon MWAA がサポートする Amazon VPC の種類について説明しています。

Amazon VPC タイプ	サポート
環境を作成しようとしているアカウントが所有する Amazon VPC。	可能
複数のAWSアカウントが共有 Amazon VPC で、それぞれが自分のAWSリソースを作成します。	可能

VPC インフラストラクチャの概要

Amazon MWAA 環境を作成すると、Amazon MWAA は、お客様が環境に合わせて選択した Apache Airflow アクセスモードに基づいて、お客様の環境用に 1 つから 2 つの VPC エンドポイントを作成します。これらのエンドポイントは、Amazon VPC 内の Elastic Network Interfaces (ENI) とプライベート IP アドレスで表されます。これらのエンドポイントが作成されると、これらの IP 宛のトラフィックは、環境で使用されている AWS サービスに対応するように、プライベートまたはパブリックにルーティングされます。

次のセクションでは、トラフィックをインターネット経由でパブリックに、または Amazon VPC 内でプライベートにルーティングするために必要な Amazon VPC インフラストラクチャについて説明します。

インターネット経由のパブリックルーティング

このセクションでは、パブリックルーティングを使用する環境の Amazon VPC インフラストラクチャについて説明します。次の VPC インフラストラクチャが必要です。

1 つの VPC セキュリティグループ。VPC セキュリティ・グループは仮想ファイアウォールとして機能し、インスタンスのイングレス（受信）とイグレス（送信）のネットワーク・トラフィックを制御します。
- 最大 5 つのセキュリティグループを指定できます。
- セキュリティグループは、自己参照型のインバウンドルールをセキュリティグループ自身に指定する必要があります。
- セキュリティグループはすべてのトラフィックのアウトバウンドルール (0.0.0.0/0) を指定する必要があります。
- セキュリティグループは、自己参照ルールに含まれるすべてのトラフィックを許可する必要があります。例えば、(推奨) 全アクセス自己参照型セキュリティグループの例と指定します。
- セキュリティグループは、HTTPS ポートレンジ 443 と TCP ポートレンジ 5432 のためのポート範囲を指定してオプションでトラフィックをさらに制限することができます。例えば、(オプション)ポート5432 へのインバウンド・アクセスを制限するセキュリティグループの例と (オプション)ポート 443 へのインバウンド・アクセスを制限するセキュリティ・グループの例です。
2 つのパブリックサブネット。パブリックサブネットは、インターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられているサブネットです。
- 2 つのパブリックサブネットが必要です。これにより、Amazon MWAA は、一方のコンテナに障害が発生した場合に、もう一方のアベイラビリティーゾーンでお客様の環境用の新しいコンテナイメージを構築できます。
- サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1a や us-east-1b などです。
- サブネットは Elastic IP アドレス (EIP) を使用して、NAT ゲートウェイ (または NAT インスタンス) にルーティングする必要があります。
- サブネットは、インターネット行きのトラフィックをインターネットゲートウェイに誘導するルートテーブルを持つ必要があります。
2 つのプライベートサブネット。プライベート・サブネットとは、インターネットゲートウェイへのルートを持つルート・テーブルと関連付けられていないサブネットのことです。
- 2 つのプライベートサブネットが必要です。これにより、Amazon MWAA は、一方のコンテナに障害が発生した場合に、もう一方のアベイラビリティーゾーンでお客様の環境用の新しいコンテナイメージを構築できます。
- サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1a や us-east-1b などです。
- サブネットには NAT デバイス (ゲートウェイまたはインスタンス)へのルートテーブルが必要です。
- サブネットは、インターネットゲートウェイにルーティングしてはならないです。
ネットワークアクセス制御リスト（ACL）。NACL は、サブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックを (許可または拒否ルールを使用して) 管理します。
- NACL には、すべてのトラフィックを許可するインバウンドルール (0.0.0.0/0) が必要です。
- NACL には、すべてのトラフィックを許可するアウトバウンドルール (0.0.0.0/0) が必要です。
- 例えば、（推奨) ACLsの例と指定します。
2 つの NAT ゲートウェイ (または NAT インスタンス)。NAT デバイスは、プライベートサブネット内のインスタンスからインターネットや他の AWS サービスにトラフィックを転送し、その応答をインスタンスに返送します。
- NAT デバイスはパブリックサブネットに接続する必要があります。(パブリックサブネットごとに 1 つの NAT デバイス)
- NAT デバイスには、各パブリックサブネットに Elastic IPv4 アドレス (EIP) がアタッチされている必要があります。
一つのインターネットゲートウェイ。インターネットゲートウェイは、Amazon VPC をインターネットおよびその他の AWS サービスに接続します。
- インターネットゲートウェイが Amazon VPC に接続されていなければならなりません。

インターネットにアクセスできないプライベートルーティング

このセクションでは、プライベートルーティングを使用する環境の Amazon VPC インフラストラクチャについて説明します。次の VPC インフラストラクチャが必要です。

1 つの VPC セキュリティグループ。VPC セキュリティ・グループは仮想ファイアウォールとして機能し、インスタンスのイングレス（受信）とイグレス（送信）のネットワーク・トラフィックを制御します。
- 最大 5 つのセキュリティグループを指定できます。
- セキュリティグループは、自己参照型のインバウンドルールをセキュリティグループ自身に指定する必要があります。
- セキュリティグループはすべてのトラフィックのアウトバウンドルール (0.0.0.0/0) を指定する必要があります。
- セキュリティグループは、自己参照ルールに含まれるすべてのトラフィックを許可する必要があります。例えば、(推奨) 全アクセス自己参照型セキュリティグループの例と指定します。
- セキュリティグループは、HTTPS ポートレンジ 443 と TCP ポートレンジ 5432 のためのポート範囲を指定してオプションでトラフィックをさらに制限することができます。例えば、(オプション)ポート5432 へのインバウンド・アクセスを制限するセキュリティグループの例と (オプション)ポート 443 へのインバウンド・アクセスを制限するセキュリティ・グループの例です。
2 つのプライベートサブネット。プライベート・サブネットとは、インターネットゲートウェイへのルートを持つルート・テーブルと関連付けられていないサブネットのことです。
- 2 つのプライベートサブネットが必要です。これにより、Amazon MWAA は、一方のコンテナに障害が発生した場合に、もう一方のアベイラビリティーゾーンでお客様の環境用の新しいコンテナイメージを構築できます。
- サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1a や us-east-1b などです。
- サブネットには VPC エンドポイントへのルートテーブルが必要です。
- サブネットには NAT デバイス (ゲートウェイまたはインスタンス) へのルートテーブルやインターネットゲートウェイがあってはなりません。
ネットワークアクセス制御リスト（ACL）。NACL は、サブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックを (許可または拒否ルールを使用して) 管理します。
- NACL には、すべてのトラフィックを許可するインバウンドルール (0.0.0.0/0) が必要です。
- NACL には、すべてのトラフィックを拒否するアウトバウンドルール (0.0.0.0/0) が必要です。
- 例えば、（推奨) ACLsの例と指定します。
ローカルルートテーブル。ローカル・ルート・テーブルは、VPC 内の通信のためのデフォルト・ルートです。
- ローカルルートテーブルはプライベートサブネットに関連付けられている必要があります。
- ローカルルートテーブルを使用して、VPC 内のインスタンスが自ネットワークと通信できるようにする必要があります。たとえば、AWS Client VPN を使用して Apache Airflow ウェブサーバーの VPC インターフェイスエンドポイントにアクセスする場合、ルートテーブルは VPC エンドポイントにルーティングする必要があります。
AWS環境で使用されている各AWSサービスのための VPC エンドポイント、および Amazon MWAA 環境と同じ Amazon VPC 内の Apache Airflow VPC エンドポイント。
- 環境で使用される各 AWS サービスの VPC エンドポイントと Apache Airflow の VPC エンドポイント。例えば、(必須) VPC エンドポイントと指定します。
- VPC エンドポイントではプライベート DNS が有効になっている必要があります。
- VPC エンドポイントは、環境の 2 つのプライベートサブネットに関連付けられている必要があります。
- VPC エンドポイントは、環境のセキュリティグループに関連付けられている必要があります。
- 各エンドポイントの VPC エンドポイントポリシーは、環境で使用されるAWSのサービスへのアクセスを許可するように設定する必要があります。例えば、（推奨) すべてのアクセスを許可する VPC エンドポイントポリシーの例と指定します。
- Amazon S3 用の VPC エンドポイントポリシーは、バケットアクセスを許可するように設定する必要があります。例えば、(推奨) バケットアクセスを許可する Amazon S3 ゲートウェイエンドポイントポリシーの例と指定します。

Amazon VPC と Apache エアフローアクセスモードのユースケース例

このセクションでは、Amazon VPC でのネットワークアクセスのさまざまなユースケースと、Amazon MWAA コンソールで選択すべき Apache Airflow ウェブサーバーアクセスモードについて説明します。

インターネットアクセスが許可されている-新しい Amazon VPC ネットワーク

VPC 内のインターネットアクセスが組織で許可されており、ユーザーがインターネット経由で Apache Airflow ウェブサーバーにアクセスできるようにしたい場合:

インターネットにアクセスできる Amazon VPC ネットワークを作成します。
Apache Airflow ウェブサーバー用のパブリックネットワークアクセスモードの環境を作成します。
推奨事項:同時に Amazon VPC インフラストラクチャ、Amazon S3 バケット、および Amazon MWAA 環境を作成する AWS CloudFormation のクイックスタートテンプレートを使用することをお勧めします。詳細については、Amazon Managed Workflows for Apache Airflow のクイックスタートチュートリアルを参照してください。

VPC 内のインターネットアクセスが組織で許可されており、Apache Airflow ウェブサーバーへのアクセスを VPC 内のユーザーに制限したい場合:

インターネットにアクセスできる Amazon VPC ネットワークを作成します。
Apache Airflow ウェブサーバーの VPC インターフェースエンドポイントにコンピューターからアクセスするメカニズムを作成します。
Apache Airflow ウェブサーバー用のプライベートネットワークアクセスモードの環境を作成します。
推奨事項:
1. 私たちのおすすめ: Amazon MWAA コンソールを使うか、オプション 1: Amazon MWAA コンソールで VPC ネットワークを作成する、AWS CloudFormation またはオプション 2: インターネットにアクセス可能な Amazon VPC ネットワークの作成のテンプレートを使用してください
2. 私たちのおすすめ: Apache Airflow ウェブサーバーへのアクセスを設定する際に、チュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定で AWS Client VPN を使用することをお勧めします。

インターネットアクセスは許可されていません-新しい Amazon VPC ネットワーク

VPC 内のインターネットアクセスが組織によって許可されていない場合:

インターネットにアクセスせずに Amazon VPC ネットワークを作成します。
Apache Airflow ウェブサーバーの VPC インターフェースエンドポイントにコンピューターからアクセスするメカニズムを作成します。
環境で使用されるAWSのサービスごとに VPC エンドポイントを作成します。
Apache Airflow ウェブサーバー用のプライベートネットワーク。アクセスモードで環境を作成します
推奨事項:
1. AWS CloudFormationのテンプレートを使用してインターネットにアクセスせずに Amazon VPC を作成し、オプション 3: インターネットにアクセスせずに Amazon VPC ネットワークを作成するでAmazon MWAA が使用する各AWSサービスの VPC エンドポイントを作成することをお勧めします。
2. 私たちのおすすめ: Apache Airflow ウェブサーバーへのアクセスを設定する際に、チュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定で AWS Client VPN を使用することをお勧めします。

インターネットアクセスは許可されていません-既存の Amazon VPC ネットワーク

もし組織があなたの VPC でのインターネットアクセスを許可していない場合、かつ既に必要な Amazon VPC ネットワークがインターネットアクセスなしに設定されている場合:

環境で使用される AWS のサービスごとに VPC エンドポイントを作成します。
Apache エアフロー用の VPC エンドポイントを作成します。
Apache Airflow ウェブサーバーの VPC インターフェースエンドポイントにコンピューターからアクセスするメカニズムを作成します。
Apache Airflow ウェブサーバー用のプライベートネットワークアクセスモードの環境を作成します。
推奨事項:
1. Amazon MWAA が使用する AWS の各サービスに必要な VPC エンドポイントと、Apache Airflow in に必要な VPC エンドポイントを Amazon VPC に必要な VPC サービスエンドポイントをプライベートルーティングで作成するで作成してアタッチすることをお勧めします。
2. 私たちのおすすめ: Apache Airflow ウェブサーバーへのアクセスを設定する際に、チュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定で AWS Client VPN を使用することをお勧めします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ネットワーク

VPC のセキュリティ