Modos de acesso do Apache Airflow - Amazon Managed Workflows for Apache Airflow

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Modos de acesso do Apache Airflow

O console Amazon Managed Workflows for Apache Airflow contém opções integradas para configurar o roteamento privado ou público para o servidor web do Apache Airflow em seu ambiente. Este guia descreve os modos de acesso disponíveis para o servidor Web Apache Airflow em seu ambiente Amazon Managed Workflows for Apache Airflow e os recursos adicionais que você precisará configurar na Amazon VPC se escolher a opção de rede privada.

Modos de acesso do Apache Airflow

Você pode escolher o roteamento privado ou público para o seu servidor Web Apache Airflow. Para ativar o roteamento privado, escolha Rede privada. Isso limita o acesso do usuário a um servidor Web Apache Airflow dentro de uma Amazon. VPC Para habilitar o roteamento público, escolha Rede pública. Isso permite que os usuários acessem o servidor Web Apache Airflow pela Internet.

Rede pública

O diagrama arquitetônico a seguir mostra um MWAA ambiente Amazon com um servidor web público.

Esta imagem mostra a arquitetura de um MWAA ambiente Amazon com um servidor web privado.

O modo de acesso à rede pública permite que a interface do usuário do Apache Airflow seja acessada pela Internet por usuários com acesso à IAMpolítica do seu ambiente.

A imagem a seguir mostra onde encontrar a opção de rede pública no MWAA console da Amazon.

Esta imagem mostra onde encontrar a opção de rede pública no MWAA console da Amazon.

Rede privada

O diagrama arquitetônico a seguir mostra um MWAA ambiente Amazon com um servidor web privado.

Esta imagem mostra a arquitetura de um MWAA ambiente Amazon com um servidor web privado.

O modo de acesso à rede privada limita o acesso à interface do usuário do Apache Airflow aos usuários da Amazon VPC que receberam acesso à IAMpolítica do seu ambiente.

Ao criar um ambiente com acesso privado ao servidor web, você deve empacotar todas as suas dependências em um arquivo wheel do Python (.whl) e, em seguida, referenciar .whl em seu requirements.txt. Para obter instruções sobre como empacotar e instalar suas dependências usando o wheel, consulte Gerenciando dependências usando o Python wheel.

A imagem a seguir mostra onde encontrar a opção de rede privada no MWAA console da Amazon.

Esta imagem mostra onde encontrar a opção de rede privada no MWAA console da Amazon.

Visão geral dos modos de acesso

Esta seção descreve os VPC endpoints (AWS PrivateLink) criados em sua Amazon VPC quando você escolhe o modo de acesso à rede pública ou à rede privada.

Modo de acesso à rede pública

Se você escolher o modo de acesso à rede pública para seu servidor Web Apache Airflow, o tráfego de rede será roteado publicamente pela Internet.

  • MWAAA Amazon cria um endpoint de VPC interface para seu banco de dados de metadados Amazon Aurora SQL Postgre. O endpoint é criado nas zonas de disponibilidade mapeadas para suas sub-redes privadas e é independente de outras contas. AWS

  • A Amazon MWAA então vincula um endereço IP de suas sub-redes privadas aos endpoints da interface. Isso foi projetado para apoiar a melhor prática de vincular um único IP de cada zona de disponibilidade da AmazonVPC.

Modo de acesso à rede privada

Se você escolheu o modo de acesso à rede privada para seu servidor Web Apache Airflow, o tráfego de rede será roteado de forma privada dentro do seu Amazon. VPC

  • MWAAA Amazon cria um endpoint de VPC interface para seu servidor Web Apache Airflow e um endpoint de interface para seu banco de dados de metadados Amazon Aurora Postgre. SQL Os endpoints são criados nas zonas de disponibilidade mapeadas para suas sub-redes privadas e são independentes de outras contas. AWS

  • A Amazon MWAA então vincula um endereço IP de suas sub-redes privadas aos endpoints da interface. Isso foi projetado para apoiar a melhor prática de vincular um único IP de cada zona de disponibilidade da AmazonVPC.

Para saber mais, consulte Exemplos de casos de uso para um modo de acesso Amazon VPC e Apache Airflow.

Configuração para modos de acesso público e privado

A seção a seguir descreve as configurações e as configurações adicionais necessárias de acordo com o modo de acesso escolhido do Apache Airflow para o seu ambiente.

Configuração de rede pública

Se você escolher a opção de rede pública para seu servidor Web do Apache Airflow, poderá começar a usar a IU do Apache Airflow depois de criar seu ambiente.

Você precisará seguir as etapas a seguir para configurar o acesso de seus usuários e a permissão para que seu ambiente use outros AWS serviços.

  1. Adicione permissão. A Amazon MWAA precisa de permissão para usar outros AWS serviços. Quando você cria um ambiente, a Amazon MWAA cria uma função vinculada ao serviço que permite usar determinadas IAM ações para o Amazon Elastic Container Registry ECR (Amazon), CloudWatch Logs e Amazon. EC2

    Você pode adicionar permissão para usar ações adicionais para esses serviços ou para usar outros AWS serviços adicionando permissões à sua função de execução. Para saber mais, consulte MWAAFunção de execução da Amazon.

  2. Crie políticas de usuário. Talvez seja necessário criar várias IAM políticas para que seus usuários configurem o acesso ao seu ambiente e à interface do usuário do Apache Airflow. Para saber mais, consulte Acessando um MWAA ambiente da Amazon.

Configuração de rede privada

Se você escolher a opção de rede privada para seu servidor Web Apache Airflow, precisará configurar o acesso para seus usuários, a permissão para que seu ambiente use outros AWS serviços e criar um mecanismo para acessar os recursos na Amazon a VPC partir do seu computador.

  1. Adicione permissão. A Amazon MWAA precisa de permissão para usar outros AWS serviços. Quando você cria um ambiente, a Amazon MWAA cria uma função vinculada ao serviço que permite usar determinadas IAM ações para o Amazon Elastic Container Registry ECR (Amazon), CloudWatch Logs e Amazon. EC2

    Você pode adicionar permissão para usar ações adicionais para esses serviços ou para usar outros AWS serviços adicionando permissões à sua função de execução. Para saber mais, consulte MWAAFunção de execução da Amazon.

  2. Crie políticas de usuário. Talvez seja necessário criar várias IAM políticas para que seus usuários configurem o acesso ao seu ambiente e à interface do usuário do Apache Airflow. Para saber mais, consulte Acessando um MWAA ambiente da Amazon.

  3. Ative o acesso à rede. Você precisará criar um mecanismo na Amazon VPC para se conectar ao VPC endpoint (AWS PrivateLink) do seu servidor Web Apache Airflow. Por exemplo, criando um VPN túnel a partir do seu computador usando um AWS Client VPN.

Acessando o VPC endpoint do seu servidor Web Apache Airflow (acesso à rede privada)

Se você escolheu a opção de rede privada, precisará criar um mecanismo na Amazon VPC para acessar o VPC endpoint (AWS PrivateLink) do seu servidor Web Apache Airflow. Recomendamos usar a mesma AmazonVPC, grupo VPC de segurança e sub-redes privadas do seu MWAA ambiente Amazon para esses recursos.

Para saber mais, consulte Gerenciamento de acesso para VPC endpoints.