As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sobre a rede do Amazon MWAA
Uma Amazon VPC é uma rede virtual vinculada à sua AWS conta. Oferece segurança na nuvem e a capacidade de escalar dinamicamente ao fornecer controle refinado sobre sua infraestrutura virtual e a segmentação do tráfego de rede. Esta página descreve a infraestrutura do Amazon VPC com roteamento público ou roteamento privado necessário para oferecer suporte a um ambiente Amazon Managed Workflows for Apache Airflow.
Termos
- Roteamento público
-
Uma rede do Amazon VPC que tem acesso à Internet.
- Roteamento privado
-
Uma rede do Amazon VPC sem acesso à Internet.
O que é compatível
A tabela a seguir descreve os tipos de suporte da Amazon VPCs Amazon MWAA.
| Tipos de Amazon VPC | Compatível |
|---|---|
|
Um Amazon VPC de propriedade da conta que está tentando criar o ambiente. |
Sim |
|
Uma Amazon VPC compartilhada em que várias AWS contas criam seus recursos. AWS |
Sim |
Visão geral da infraestrutura da VPC
Ao criar um ambiente Amazon MWAA, o Amazon MWAA cria entre um a dois endpoints da VPC para seu ambiente com base no modo de acesso do Apache Airflow que você escolheu para seu ambiente. Esses endpoints aparecem como Elastic Network Interfaces (ENIs) com privacidade IPs em sua Amazon VPC. Depois que esses endpoints são criados, qualquer tráfego destinado a eles IPs é roteado de forma privada ou pública para os AWS serviços correspondentes usados pelo seu ambiente.
A seção a seguir descreve a infraestrutura do Amazon VPC necessária para rotear o tráfego publicamente pela Internet ou de forma privada dentro do seu Amazon VPC.
Roteamento público pela Internet
Esta seção descreve a infraestrutura do Amazon VPC de um ambiente com roteamento público. Você precisará da seguinte infraestrutura de VPC:
-
Um grupo de segurança da VPC. Um grupo de segurança VPC atua como um firewall virtual para sua instância para controlar o tráfego de entrada e saída.
-
Até cinco grupos de segurança podem ser especificados.
-
O grupo de segurança deve especificar uma regra de entrada autorreferenciada para si mesmo.
-
O grupo de segurança deve especificar uma regra de saída para todo o tráfego (
0.0.0.0/0). -
O grupo de segurança deve permitir todo o tráfego na regra de autorreferência. Por exemplo, (Recomendado) Exemplo de grupo de segurança autorreferenciado para todos os acessos .
-
Opcionalmente, o grupo de segurança pode restringir ainda mais o tráfego especificando o intervalo de portas para o intervalo de portas HTTPS
443e um intervalo de portas TCP5432. Por exemplo, (Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 5432 e (Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 443.
-
-
Duas sub-redes públicas. Sub-rede pública é uma sub-rede associada a uma tabela de rotas que contém uma rota para um gateway da Internet.
-
São necessárias duas sub-redes públicas. Isso permite que o Amazon MWAA crie uma nova imagem de contêiner para seu ambiente em sua outra zona de disponibilidade, se um contêiner falhar.
-
As duas sub-redes devem estar em zonas de disponibilidade diferentes. Por exemplo,
us-east-1a,us-east-1b. -
As sub-redes devem ser roteadas para um gateway NAT (ou instância NAT) com um endereço IP elástico (EIP).
-
Adicione uma rota à tabela de rotas da sub-rede que direciona o tráfego de entrada da internet para o gateway da Internet.
-
-
Duas sub-redes privadas. Uma sub-rede privada é uma sub-rede que não é associada a uma tabela de rotas que contém uma rota para um gateway da Internet.
-
São necessárias duas sub-redes privadas. Isso permite que o Amazon MWAA crie uma nova imagem de contêiner para seu ambiente em sua outra zona de disponibilidade, se um contêiner falhar.
-
As duas sub-redes devem estar em zonas de disponibilidade diferentes. Por exemplo,
us-east-1a,us-east-1b. -
As sub-redes devem ter uma tabela de rotas para um dispositivo NAT (gateway ou instância).
-
A sub-rede pública deve ter uma rota para um gateway da Internet.
-
-
Uma lista de controle de acesso (ACL) à rede. Listas de controle de acesso (ACL) à rede: as ACLs da rede permitem ou negam determinado tráfego de entrada e de saída no nível da sub-rede.
-
A NACL deve ter uma regra de entrada que permita todo o tráfego (
0.0.0.0/0). -
A NACL deve ter uma regra de saída que permita todo o tráfego (
0.0.0.0/0). -
Por exemplo, Exemplo (recomendado) ACLs.
-
-
Dois gateways NAT (ou instâncias NAT). Um dispositivo NAT encaminha o tráfego das instâncias na sub-rede privada para a Internet ou outros AWS serviços e, em seguida, encaminha a resposta de volta para as instâncias.
-
O dispositivo NAT deve estar conectado a uma sub-rede pública. (Um dispositivo NAT por sub-rede pública.)
-
O dispositivo NAT deve ter um IPv4 endereço elástico (EIP) conectado a cada sub-rede pública.
-
-
Um gateway da Internet. Um gateway de Internet conecta uma Amazon VPC à Internet e a outros AWS serviços.
-
Um gateway da Internet deve ser anexado ao Amazon VPC.
-
Roteamento privado sem acesso à Internet
Esta seção descreve a infraestrutura do Amazon VPC de um ambiente com roteamento privado. Você precisará da seguinte infraestrutura de VPC:
-
Um grupo de segurança da VPC. Um grupo de segurança VPC atua como um firewall virtual para sua instância para controlar o tráfego de entrada e saída.
-
Até cinco grupos de segurança podem ser especificados.
-
O grupo de segurança deve especificar uma regra de entrada autorreferenciada para si mesmo.
-
O grupo de segurança deve especificar uma regra de saída para todo o tráfego (
0.0.0.0/0). -
O grupo de segurança deve permitir todo o tráfego na regra de autorreferência. Por exemplo, (Recomendado) Exemplo de grupo de segurança autorreferenciado para todos os acessos .
-
Opcionalmente, o grupo de segurança pode restringir ainda mais o tráfego especificando o intervalo de portas para o intervalo de portas HTTPS
443e um intervalo de portas TCP5432. Por exemplo, (Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 5432 e (Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 443.
-
-
Duas sub-redes privadas. Uma sub-rede privada é uma sub-rede que não é associada a uma tabela de rotas que contém uma rota para um gateway da Internet.
-
São necessárias duas sub-redes privadas. Isso permite que o Amazon MWAA crie uma nova imagem de contêiner para seu ambiente em sua outra zona de disponibilidade, se um contêiner falhar.
-
As duas sub-redes devem estar em zonas de disponibilidade diferentes. Por exemplo,
us-east-1a,us-east-1b. -
As sub-redes devem ter uma tabela de rotas para seus endpoints da VPC.
-
As sub-redes não devem ter uma tabela de rotas para um dispositivo NAT (gateway ou instância) e nemum gateway da Internet.
-
-
Uma lista de controle de acesso (ACL) à rede. Listas de controle de acesso (ACL) à rede: as ACLs da rede permitem ou negam determinado tráfego de entrada e de saída no nível da sub-rede.
-
A NACL deve ter uma regra de entrada que permita todo o tráfego (
0.0.0.0/0). -
A NACL deve ter uma regra de saída que negue todo o tráfego (
0.0.0.0/0). -
Por exemplo, Exemplo (recomendado) ACLs.
-
-
Uma tabela de rotas local. Uma tabela de rotas local é uma rota padrão para comunicação dentro da VPC.
-
A tabela de rotas local deve estar associada às suas sub-redes privadas.
-
A tabela de rotas local deve permitir que as instâncias em sua VPC se comuniquem com a rede. Por exemplo, se você estiver usando um AWS Client VPN para acessar o endpoint da interface VPC para seu servidor Web Apache Airflow, a tabela de rotas deve ser roteada para o endpoint da VPC.
-
-
VPC endpoints para cada AWS serviço usado pelo seu ambiente e endpoints VPC Apache Airflow AWS na mesma região e Amazon VPC do seu ambiente Amazon MWAA.
-
Um VPC endpoint para cada AWS serviço usado pelo ambiente e VPC endpoints para o Apache Airflow. Por exemplo, (Obrigatório) Endpoints da VPC.
-
Os endpoints da VPC devem ter o DNS privado habilitado.
-
Os endpoints da VPC devem estar associados às duas sub-redes privadas do seu ambiente.
-
Os endpoints da VPC devem estar associados ao grupo de segurança do seu ambiente.
-
A política de VPC endpoint para cada endpoint deve ser configurada para permitir acesso aos AWS serviços usados pelo ambiente. Por exemplo, (Recomendado) Exemplo de política de endpoint da VPC para permitir todo o acesso.
-
Uma política de endpoint da VPC para o Amazon S3 deve ser configurada para permitir o acesso ao bucket. Por exemplo, (Recomendado) Exemplo de política de endpoint do gateway Amazon S3 para permitir acesso ao bucket.
-
Exemplos de casos de uso para um modo de acesso Amazon VPC e Apache Airflow
Esta seção descreve os diferentes casos de uso para acesso à rede em seu Amazon VPC e o modo de acesso ao servidor Web Apache Airflow que você deve escolher no console do Amazon MWAA.
O acesso à Internet é permitido: nova rede Amazon VPC
Se o acesso à Internet em sua VPC for permitido pela sua organização e você quiser que os usuários acessem seu servidor Web Apache Airflow pela Internet:
-
Crie uma rede Amazon VPC com acesso à Internet.
-
Crie um ambiente com o modo de acesso à rede pública para seu servidor Web Apache Airflow.
-
O que recomendamos: recomendamos usar o modelo de AWS CloudFormation início rápido que cria a infraestrutura do Amazon VPC, um bucket do Amazon S3 e um ambiente do Amazon MWAA ao mesmo tempo. Para saber mais, consulte Tutoriais de início rápido para Amazon Managed Workflows for Apache Airflow.
Se o acesso à Internet em sua VPC for permitido pela sua organização e você quiser que os usuários tenham acesso limitado ao servidor Web Apache Airflow em seu VPC.
-
Crie uma rede Amazon VPC com acesso à Internet.
-
Crie um mecanismo para acessar o endpoint da interface VPC do seu servidor Web Apache Airflow a partir do seu computador.
-
Crie um ambiente com o modo de acesso à rede privada para seu servidor Web Apache Airflow.
-
O que recomendamos:
-
Recomendamos usar o console Amazon MWAA ou Opção um: criar a rede VPC no console Amazon MWAA o AWS CloudFormation modelo em. Opção dois: criar uma rede Amazon VPC com acesso à Internet
-
Recomendamos configurar o acesso usando um AWS Client VPN ao seu servidor Web Apache Airflow em. Tutorial: Configurando o acesso à rede privada usando um AWS Client VPN
-
O acesso à Internet não é permitido: nova rede Amazon VPC
Se o acesso à Internet em sua VPC não for permitido pela sua organização:
-
Crie uma rede Amazon VPC sem acesso à Internet.
-
Crie um mecanismo para acessar o endpoint da interface VPC do seu servidor Web Apache Airflow a partir do seu computador.
-
Crie VPC endpoints para cada AWS serviço usado pelo seu ambiente.
-
Crie um ambiente com o modo de acesso à rede privada para seu servidor Web Apache Airflow.
-
O que recomendamos:
-
Recomendamos usar o AWS CloudFormation modelo para criar uma Amazon VPC sem acesso à Internet e os endpoints de VPC para cada serviço AWS usado pela Amazon MWAA em. Opção três: criar uma rede Amazon VPC sem acesso à Internet
-
Recomendamos configurar o acesso usando um AWS Client VPN ao seu servidor Web Apache Airflow em. Tutorial: Configurando o acesso à rede privada usando um AWS Client VPN
-
O acesso à Internet não é permitido: rede Amazon VPC existente
Se o acesso à Internet em sua VPC não for permitido pela sua organização e você já tiver a rede Amazon VPC necessária sem acesso à Internet:
-
Crie VPC endpoints para cada AWS serviço usado pelo seu ambiente.
-
Crie endpoints da VPC para o Apache Airflow.
-
Crie um mecanismo para acessar o endpoint da interface VPC do seu servidor Web Apache Airflow a partir do seu computador.
-
Crie um ambiente com o modo de acesso à rede privada para seu servidor Web Apache Airflow.
-
O que recomendamos:
-
Recomendamos criar e conectar os VPC endpoints necessários para AWS cada serviço usado pelo Amazon MWAA e os endpoints VPC necessários para o Apache Airflow in. Como criar endpoints de serviço de VPC necessários em um Amazon VPC com roteamento privado
-
Recomendamos configurar o acesso usando um AWS Client VPN ao seu servidor Web Apache Airflow em. Tutorial: Configurando o acesso à rede privada usando um AWS Client VPN
-
