Criar um endpoint da VPC Conexão de um dispositivo a uma sub-rede privada Exemplos de modelo do AWS CloudFormation

Usar endpoints da VPC

Se você trabalha em uma VPC sem acesso à Internet, pode criar um endpoint da VPC para uso com o AWS Panorama. Um endpoint da VPC permite que clientes em execução em uma sub-rede privada se conectem a um serviço da AWS sem conexão com a Internet.

Para obter detalhes sobre portas e endpoints usados pelo AWS Panorama Appliance, consulte Conectando o AWS Panorama Appliance à sua rede.

Seções

Criar um endpoint da VPC
Conexão de um dispositivo a uma sub-rede privada
Exemplos de modelo do AWS CloudFormation

Criar um endpoint da VPC

Para estabelecer uma conexão privada entre sua VPC e o AWS Panorama, crie um endpoint da VPC. Não é necessário um endpoint da VPC para usar o AWS Panorama. Você só precisa criar um endpoint da VPC se trabalhar em uma VPC sem acesso à Internet. Quando a CLI ou o SDK da AWS tenta se conectar ao AWS Panorama, o tráfego é roteado pelo endpoint da VPC.

Crie um endpoint da VPC para o AWS Panorama usando as seguintes configurações:

Nome de serviço : com.amazonaws.us-west-2.panorama
Tipo: interface

Um endpoint da VPC usa o nome DNS do serviço para obter tráfego de clientes do SDK da AWS sem nenhuma configuração adicional. Para obter mais informações sobre endpoints da VPC, consulte Endpoints da VPC de interface no Guia do usuário do Amazon VPC.

Conexão de um dispositivo a uma sub-rede privada

O AWS Panorama Appliance pode se conectar à AWS por meio de uma conexão VPN privada com AWS Site-to-Site VPN ou AWS Direct Connect. Com esses serviços, você pode criar uma sub-rede privada que se estende até seu datacenter. O dispositivo se conecta à sub-rede privada e acessa os serviços da AWS por meio de endpoints da VPC.

Site-to-Site VPN e AWS Direct Connect são serviços para conectar seu datacenter à Amazon VPC com segurança. Com a Site-to-Site VPN, é possível usar dispositivos da rede disponíveis no mercado para se conectar. O AWS Direct Connect usa um dispositivo AWS para se conectar.

VPN Site-to-Site: O que é AWS Site-to-Site VPN?
AWS Direct Connect: O que é AWS Direct Connect?

Depois de conectar sua rede local a uma sub-rede privada em uma VPC, crie endpoints da VPC para os seguintes serviços.

Amazon Simple Storage Service: AWS PrivateLink para Amazon S3
AWS IoT Core: uso do AWS IoT Core com endpoints da VPC da interface (plano de dados e provedor de credenciais)
Amazon Elastic Container Registry: endpoints da VPC da interface do Amazon Elastic Container Registry
Amazon CloudWatch: usar o CloudWatch endpoints da VCP de interface
Amazon CloudWatch Logs: usar o CloudWatch Logs com endpoints da VCP de interface

O dispositivo não precisa de conectividade com o serviço AWS Panorama. Ele se comunica com o AWS Panorama por meio de um canal de mensagens no AWS IoT.

Além dos endpoints da VPC, o Amazon S3 e o AWS IoT exigem o uso de zonas hospedadas privadas do Amazon Route 53. A zona hospedada privada encaminha o tráfego de subdomínios, incluindo subdomínios para pontos de acesso Amazon S3 e tópicos do MQTT, para o endpoint da VPC correto. Para obter mais informações sobre zonas hospedadas privadas, consulte Trabalhar com zonas hospedadas privadas no Guia do desenvolvedor do Amazon Route 53.

Para ver um exemplo de configuração de VPC com endpoints da VPC e zonas hospedadas privadas, consulte Exemplos de modelo do AWS CloudFormation.

Exemplos de modelo do AWS CloudFormation

O repositório do GitHub para este guia fornece modelos do AWS CloudFormation que podem ser usados para criar recursos para uso com o AWS Panorama. Os modelos criam uma VPC com duas sub-redes privadas, uma sub-rede pública e um endpoint da VPC. Você pode usar as sub-redes privadas na VPC para hospedar recursos isolados da Internet. Os recursos na sub-rede pública podem se comunicar com os recursos privados, mas os recursos privados não podem ser acessados pela Internet.

exemplo vpc-endpoint.yml: sub-redes privadas


AWSTemplateFormatVersion: 2010-09-09
Resources:
  vpc:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 172.31.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      Tags:
        - Key: Name
          Value: !Ref AWS::StackName
  privateSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref vpc
      AvailabilityZone:
        Fn::Select:
         - 0
         - Fn::GetAZs: ""
      CidrBlock: 172.31.3.0/24
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub  ${AWS::StackName}-subnet-a
  ...

O modelo vpc-endpoint.yml mostra como criar um endpoint da VPC para o AWS Panorama. Você pode usar esse endpoint para gerenciar recursos do AWS Panorama com o AWS SDK ou a AWS CLI.

exemplo vpc-endpoint.yml: endpoint da VPC


  panoramaEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.panorama
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: true
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
      PolicyDocument:
        Version: 2012-10-17
        Statement:
        - Effect: Allow
          Principal: "*"
          Action:
            - "panorama:*"
          Resource:
            - "*"

O PolicyDocument é uma política de permissões baseada em recursos que define as chamadas de API que podem ser feitas com o endpoint. Você pode modificar a política para restringir as ações e os recursos que podem ser acessados por meio do endpoint. Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.

O modelo vpc-appliance.yml mostra como criar endpoints da VPC e zonas hospedadas privadas para serviços usados pelo AWS Panorama Appliance.

exemplo vpc-appliance.yml: endpoint do ponto de acesso Amazon S3 com zona hospedada privada


  s3Endpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.s3
      VpcId: !Ref vpc
      VpcEndpointType: Interface
      SecurityGroupIds:
      - !GetAtt vpc.DefaultSecurityGroup
      PrivateDnsEnabled: false
      SubnetIds:
      - !Ref privateSubnetA
      - !Ref privateSubnetB
...
  s3apHostedZone:
    Type: AWS::Route53::HostedZone
    Properties:
      Name: !Sub s3-accesspoint.${AWS::Region}.amazonaws.com
      VPCs: 
        - VPCId: !Ref vpc
          VPCRegion: !Ref AWS::Region
  s3apRecords:
    Type: AWS::Route53::RecordSet
    Properties:
      HostedZoneId: !Ref s3apHostedZone
      Name: !Sub "*.s3-accesspoint.${AWS::Region}.amazonaws.com"
      Type: CNAME
      TTL: 600
      # first DNS entry, split on :, second value
      ResourceRecords: 
      - !Select [1, !Split [":", !Select [0, !GetAtt s3Endpoint.DnsEntries ] ] ]

Os modelos de exemplo demonstram a criação de recursos da Amazon VPC e do Route 53 com uma VPC de exemplo. Você pode adaptá-los ao seu caso de uso removendo os recursos da VPC e substituindo as referências à sub-rede, ao grupo de segurança e aos IDs da VPC pelos IDs dos seus recursos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar aplicações

Amostras