VPC-设置和配置 - AWS Ground Station
VPC使用 AWS Ground Station 代理进行配置VPC使用数据流端点进行配置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC-设置和配置

设置的完整指南超出了VPC本指南的范围。要深入了解,请参阅AWSVPC用户指南

在本节中,将介绍您的亚马逊EC2和数据流终端节点如何存在于中。VPC AWS Ground Station 不支持给定数据流的多个传送点——预计每个数据流都会终止到一个接收器。EC2正如我们所期望的那样,只有一个EC2接收器,该配置不是多可用区冗余的。有关将使用你的完整示例VPC,请参阅任务配置文件配置示例

VPC使用 AWS Ground Station 代理进行配置

AWS Ground Station architecture with VPC, public and private subnets, and EC2 instance.

您的卫星数据将提供给靠近天线的 AWS Ground Station 代理实例。 AWS Ground Station 代理将对您的数据进行条带化处理,然后使用您提供的 AWS KMS 密钥对其进行加密。每个条带都通过AWS网络主干从源天线发送到您的 Amazon EC2 Elastic IP (EIP)。数据通过所附的 Amazon EC2 弹性网络接口 (ENI) 到达您的EC2实例。进入您的EC2实例后,安装的 AWS Ground Station 代理将解密您的数据并执行正向错误校正 (FEC) 以恢复所有丢失的数据,然后将其转发到您在设置中指定的 IP 和端口。

以下列表列出了在设置 AWS Ground Station 代理交付时的独特设置VPC注意事项。

安全组-建议您设置一个仅用于 AWS Ground Station 流量的安全组。此安全组应允许在您的 Dataflow 终端节点组中指定的相同端口范围上的UDP入口流量。 AWS Ground Station 维护由AWS托管的前缀列表,将您的权限限制为 AWS Ground Station IP 地址。有关如何替换部署区域的详细信息,请参阅AWS托管前缀列表PrefixListId

弹性网络接口 (ENI)-您需要将上述安全组与该安全组关联ENI并将其放置在您的公有子网中。

以下 CloudFormation 模板演示如何创建本节中描述的基础架构。

ReceiveInstanceEIP:
  Type: AWS::EC2::EIP
  Properties:
    Domain: 'vpc'

InstanceSecurityGroup:
  Type: AWS::EC2::SecurityGroup
  Properties:
    GroupDescription: AWS Ground Station receiver instance security group.
    VpcId:YourVpcId
    SecurityGroupIngress:
      # Add additional items here.
      - IpProtocol: udp
        FromPort: your-port-start-range
        ToPort: your-port-end-range
        PrefixListIds: 
          - PrefixListId: com.amazonaws.global.groundstation
        Description: "Allow AWS Ground Station Downlink ingress."

InstanceNetworkInterface:
  Type: AWS::EC2::NetworkInterface
  Properties:
    Description: ENI for AWS Ground Station to connect to.
    GroupSet:
      - !Ref InstanceSecurityGroup
    SubnetId: A Public Subnet

ReceiveInstanceEIPAllocation:
  Type: AWS::EC2::EIPAssociation
  Properties:
    AllocationId:
      Fn::GetAtt: [ ReceiveInstanceEIP, AllocationId ]
    NetworkInterfaceId:
      Ref: InstanceNetworkInterface

VPC使用数据流端点进行配置

AWS architecture diagram showing two VPCs with EC2 instances running Dataflow endpoint applications connected via Elastic Network Interfaces.

您的卫星数据将提供给靠近天线的数据流端点应用程序实例。然后,VPC所有者通过跨账户 Amazon EC2 Elastic Network Interface (ENI) 发送数据。 AWS Ground Station然后,数据通过ENI附加到您的 EC2 Amazon EC2 实例到达您的实例。然后,安装的 dataflow 端点应用程序会将其转发到您在设置中指定的 IP 和端口。对于上行链路连接,则会出现相反的情况。

以下列表列出了在VPC为数据流端点交付进行设置时的独特设置注意事项。

IAM角色-IAM 角色是 Dataflow 端点的一部分,未显示在图表中。用于创建跨账户ENI并将其关联到 AWS Ground Station Amazon EC2 实例的IAM角色。

安全组 1-此安全组附加到ENI该安全组将与您账户中的 Amazon EC2 实例相关联。它需要允许来自安全组 2 的UDP流量通过您的中指定的端口dataflow-endpoint-group

弹性网络接口 (ENI) 1-您需要将安全组 1 与此关联ENI并将其放置在子网中。

安全组 2-在 Dataflow 端点中引用了此安全组。此安全组将附加到用于ENI AWS Ground Station 将数据存入您的账户的。

区域-有关跨区域连接支持的区域的更多信息,请参阅使用跨区域数据传输

以下 CloudFormation 模板演示如何创建本节中描述的基础架构。

DataflowEndpointSecurityGroup:
  Type: AWS::EC2::SecurityGroup
  Properties:
    GroupDescription: Security Group for AWS Ground Station registration of Dataflow Endpoint Groups
    VpcId: YourVpcId
  
AWSGroundStationSecurityGroupEgress:
  Type: AWS::EC2::SecurityGroupEgress
  Properties:
    GroupId: !Ref: DataflowEndpointSecurityGroup
    IpProtocol: udp
    FromPort: 55555
    ToPort: 55555
    CidrIp: 10.0.0.0/8
    Description: "Allow AWS Ground Station to send UDP traffic on port 55555 to the 10/8 range."

InstanceSecurityGroup:
  Type: AWS::EC2::SecurityGroup
  Properties:
    GroupDescription: AWS Ground Station receiver instance security group.
    VpcId: YourVpcId
    SecurityGroupIngress:
      - IpProtocol: udp
        FromPort: 55555
        ToPort: 55555
        SourceSecurityGroupId: !Ref DataflowEndpointSecurityGroup
        Description: "Allow AWS Ground Station Ingress from DataflowEndpointSecurityGroup"