View a markdown version of this page

工作人员为客户管理的车队托管数据流 - 截止日期云
端点和协议工作人员使用的 API 操作传输的其他数据私有连接选项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

工作人员为客户管理的车队托管数据流

本主题介绍了 De AWS adline Cloud(Deadline Cloud)工作服务器在操作期间建立的网络连接,包括联系的端点、使用的协议和传输的数据。此信息适用于客户管理的队列 (CMF) 工作人员,包括亚马逊弹性计算云 (Amazon EC2) 实例和本地工作人员。使用此信息为您的工作主机配置防火墙规则、创建 VPC 终端节点、执行安全审计或规划网络策略。有关服务托管舰队网络的信息,请参阅互联网络流量隐私

所有工作人员通信仅限出站。工作主机启动所有连接,您无需允许任何入站连接。所有连接都使用端口 443 上的 HTTPS(TLS 1.2 或更高版本)。

本主题包括以下部分:

端点和协议

下表列出了工作主机在操作期间连接到的 AWS 服务端点。有关每项服务的区域终端节点的完整列表,请参阅AWS 一般参考中的服务终端节点和配额

工作主机端点参考
AWS 服务 端点 端口/协议 用途 必需
截止日期云(日程安排) scheduling.deadline.[Region].amazonaws.com 443/ HTTPS 工作人员注册、任务轮询、状态更新、证书交换、工作实体检索。请参阅工作人员使用的 API 操作 总是
Amazon CloudWatch 日志(CloudWatch 日志) logs.[Region].amazonaws.com 443/ HTTPS 工作器代理和会话日志传输。 总是
Amazon Simple Storage Service(Amazon S3) s3.[Region].amazonaws.com 443/ HTTPS 上传和下载 Job 附件。 如果使用作业附件

如果您的任务使用其他 AWS 服务,则可能还需要允许与这些服务终端节点的出站连接。

工作人员使用的 API 操作

以下所有 API 操作都使用scheduling.deadline.[Region].amazonaws.com终端节点。有关每个操作的完整请求和响应架构,请参阅 De adline Cloud API 参考

引导阶段

当工作器主机启动时,工作器代理会在队列中注册。引导凭证需要AWSDeadlineCloud-WorkerHost AWS 托管策略中的权限或等效的自定义权限。引导阶段使用以下 API 操作:

  • CreateWorker— 在车队中注册工作人员。发送主机名和 IP 地址。收到工作人员 ID。

  • AssumeFleetRoleForWorker— 获取舰队角色证书。接收工作器代理用于后续操作的临时 AWS 证书。

运营阶段

启动后,工作器代理会轮询工作和流程会话。舰队角色需要AWSDeadlineCloud-FleetWorker AWS 托管策略中的权限或等效的自定义权限,并使用以下 API 操作:

  • UpdateWorker— 将工作器状态更新为关机STOPPED期间。

  • UpdateWorkerSchedule— 对工作任务进行民意调查。发送会话操作状态更新,包括完成状态、进度百分比、进度消息和输出清单哈希值。接收分配的会话(作业 ID、队列 ID、会话操作、日志配置)、取消请求、所需的工作器状态和更新间隔。

  • BatchGetJobEntity— 获取已分配工作的作业详细信息。发送作业实体标识符。接收作业详细信息、环境详细信息和作业附件详细信息。

  • AssumeFleetRoleForWorker— 定期刷新舰队角色凭证。

  • AssumeQueueRoleForWorker— 获取限定于特定队列的队列角色凭证。工作人员使用这些证书访问 Amazon S3 中的作业附件。

传输的其他数据

除了 Deadline Cloud 调度 API 操作外,工作主机还会将以下数据传输到其他 AWS 服务:

日志数据

工作器代理使用 API 操作将工作器代理日志和会话日志(作业进程中的 stdout 和 stderr)发送到 CloudWatch 日志。PutLogEvents

Job 附件

工作人员使用和 PutObject API 操作通过 Amazon S3 传输输入GetObject和输出文件。工作人员使用通过获取的队列角色凭证AssumeQueueRoleForWorker进行此访问。

遥测(可选)

工作代理发送操作指标,例如崩溃报告。您可以选择退出遥测采集。有关更多信息,请参阅 选择退出

私有连接选项

您可以使用 AWS PrivateLink 在您的 VPC 内保持 CMF 工作线程主机和 Deadline Cloud 之间的流量,无需通过公共互联网。对于本地工作人员,您可以 AWS PrivateLink 与 AWS Direct Connect (Direct Connect) 或 VPN 连接结合使用。有关更多信息,请参阅 AWS Deadline Cloud 使用接口端点进行访问 (AWS PrivateLink)