View a markdown version of this page

连接到另一个账户中的 VPC - AWS HealthOmics
先决条件在您的工作流程账户中创建 Amazon VPC创建 VPC 对等连接请求准备好资源账户更新工作流程账户中的 VPC 配置使用跨账户 VPC 访问权限运行工作流程问题排查最佳实践其他资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

连接到另一个账户中的 VPC

您可以让您的 HealthOmics 工作流程运行访问由其他 AWS 账户管理的 Amazon VPC 中的资源,而无需将任一 VPC 暴露给互联网。此访问模式支持使用 AWS与其他组织共享数据。使用此访问模式,可以在 VPC 之间共享数据,安全性和性能都比通过互联网共享更高。将您的工作流程运行配置为使用 VPC 对等连接来访问这些资源。

警告

如果您允许在账户或 VPC 之间进行访问,请检查您的计划是否符合管理这些账户的相应组织的安全要求。按照本文档中的说明进行操作,将影响资源的安全状况。

在本教程中,将使用 IPv4 通过对等连接将两个账户连接在一起。您配置的 HealthOmics 配置资源尚未连接到其他账户中的 VPC。您可以配置 DNS 解析以将工作流程运行连接到不提供静态 IP 的资源。要使这些说明适应其他对等互连场景,请参阅《VPC Peering Guide》。

先决条件

要授予 HealthOmics 工作流程运行访问其他账户中资源的权限,您必须具有:

  • 配置为使用您的资源进行身份验证然后从您的资源中读取 HealthOmics 的工作流程。

  • 其他账户中的资源,例如 Amazon RDS 集群或许可证服务器,可通过 Amazon VPC 获得。

  • 您的工作流程账户和资源账户的凭证。如果您无权使用您的资源账户,请联系授权用户准备好该账户。

  • 允许创建和更新 VPC(以及支持 Amazon VPC 资源)以与您的 HealthOmics 工作流程运行相关联。

  • 创建 HealthOmics 配置资源的权限。

  • 允许在您的工作流程账户中创建 VPC 对等连接。

  • 用于在资源账户中接受 VPC 对等连接的权限。

  • 用于更新资源的 VPC(以及支持的 Amazon VPC 资源)的配置的权限。

  • 启动工作 HealthOmics 流程运行的权限。

在您的工作流程账户中创建 Amazon VPC

在您的 HealthOmics 工作流程账户中创建 Amazon VPC、子网、路由表和安全组。

使用控制台创建 VPC、子网和其他 VPC 资源

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在控制面板上,选择创建 VPC

  3. 对于 IPv4 CIDR 块,请提供私有 CIDR 块。CIDR 块不得与资源 VPC 中的块重叠。不要选择资源的 VPC 用来为资源分配 IP 的区块,也不要选择资源的 VPC 中已在路由表中定义的区块。有关定义相应的 CIDR 块的更多信息,请参阅 VPC CIDR 块

  4. 选择自定义可用区

  5. 至少选择一个在您所在地区 HealthOmics 运营的可用区。

  6. 在 “公有子网数量” 中,选择0

  7. 对于 VPC 终端节点,请选择None(您可以稍后添加这些终端节点以优化成本)。

  8. 选择创建 VPC

创建 VPC 对等连接请求

创建从您的工作流程的 VPC(请求者 VPC)到您的资源的 VPC(接受者 VPC)的 VPC 对等连接请求。

从您的工作流程的 VPC 请求 VPC 对等连接

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择 Peering Connections(对等连接)。

  3. 选择 Create Peering Connection(创建对等连接)。

  4. 对于 VPC ID(请求者),请选择您的工作流程的 VPC。

  5. 对于 账户 ID,输入资源账户的 ID。

  6. 对于 VPC ID(接受者),请输入您的资源的 VPC ID。

  7. 选择 Create Peering Connection(创建对等连接)。

准备好资源账户

要创建对等连接并准备资源的 VPC 以使用该连接,请使用具有先决条件中列出的权限的角色登录资源账户。根据账户安全保障方式,登录步骤可能会有所不同。有关如何登录 AWS 账户的更多信息,请参阅《AWS Sign-in 用户指南》。在资源账户中,执行以下过程。

接受 VPC 对等连接请求

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择 Peering Connections(对等连接)。

  3. 选择待处理的 VPC 对等连接(状态为“待接受”)。

  4. 选择操作

  5. 从下拉列表中选择接受请求

  6. 当系统提示进行确认时,选择接受请求

  7. 选择立即修改我的路由表,以向 VPC 的主路由表添加路由,从而确保您可以通过对等连接收发流量。

检查路由表,了解资源的 VPC。根据资源 VPC 的设置方式,Amazon VPC 生成的路由可能无法建立连接。检查 VPC 的新路由和现有配置之间是否存在冲突。有关故障排除的更多信息,请参阅 Amazon VPC 对等连接指南中的 VPC 对等连接疑难解答。

更新您的资源的 VPC 的路由表

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择 Route tables(路由表)。

  3. 选中与您的资源关联的子网的路由表名称旁边的复选框。

  4. 选择操作

  5. 选择 Edit routes (编辑路由)

  6. 选择 Add route(添加路由)。

  7. 目标中,输入工作流程的 VPC 的 CIDR 块。

  8. 对于目标,选择 VPC 对等连接。

  9. 选择保存更改

有关在更新路由表时可能遇到的注意事项的更多信息,请参阅为 VPC 对等连接更新路由表

更新资源的安全组

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择安全组

  3. 为资源选择安全组。

  4. 选择操作

  5. 从下拉列表中选择编辑入站规则

  6. 选择添加规则

  7. 在 “类型” 中,选择您的资源使用的协议(例如 MySQL/Aurora,HTTPS 或自定义 TCP)。

  8. 端口范围中,输入您的资源监听的端口。

  9. 对于来源,输入工作流程的 VPC CIDR 块(例如 10.0.0)。 0/16)。

  10. 选择保存规则

  11. 选择编辑出站规则

  12. 检查出站流量是否受到限制。默认 VPC 设置允许所有出站流量。如果出站流量受到限制,请继续执行下一步。

  13. 选择添加规则

  14. 在 “类型” 中,选择All traffic或所需的特定协议。

  15. 对于目标,输入工作流程的 VPC CIDR 块(例如 10.0.0)。 0/16)。

  16. 选择保存规则

实现对对等连接的 DNS 解析

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择 Peering Connections(对等连接)。

  3. 选择对等连接。

  4. 选择操作

  5. 选择编辑 DNS 设置

  6. 接受方 DNS 解析下方,选择允许请求者 VPC 将接受方 VPC 主机的 DNS 解析为私有 IP

  7. 选择保存更改

更新工作流程账户中的 VPC 配置

登录您的工作流程账户,然后更新 VPC 配置。

为 VPC 对等连接添加路由

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择 Route tables(路由表)。

  3. 选中要与您的 HealthOmics 配置关联的子网的路由表名称旁边的复选框。

  4. 选择操作

  5. 选择 Edit routes (编辑路由)

  6. 选择 Add route(添加路由)。

  7. 对于目的地,输入资源 VPC 的 CIDR 块。

  8. 对于目标,选择 VPC 对等连接。

  9. 选择保存更改

有关在更新路由表时可能遇到的注意事项的更多信息,请参阅为 VPC 对等连接更新路由表

要更新工作 HealthOmics 流程的安全组,请运行

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择安全组

  3. 选择要用于 HealthOmics 配置的安全组。

  4. 选择操作

  5. 选择编辑出站规则

  6. 选择添加规则

  7. 在 “类型” 中,选择您的资源使用的协议(例如 MySQL/Aurora,HTTPS 或自定义 TCP)。

  8. 端口范围中,输入您的资源监听的端口。

  9. 目标中,输入您的资源的 VPC CIDR 块(例如 10.1.0)。 0/16)。

  10. 选择保存规则

  11. 选择编辑入站规则

  12. 检查入站流量规则是否存在。如果您的资源需要启动与工作流程运行的连接,请继续执行下一步。否则,请跳至 DNS 解析步骤。

  13. 选择添加规则

  14. 在 “类型” 中,选择相应的协议。

  15. 对于来源,输入您的资源的 VPC CIDR 块(例如 10.1.0)。 0/16)。

  16. 选择保存规则

实现对对等连接的 DNS 解析

  1. 打开 Amazon VPC 控制台

  2. 在导航窗格中,选择 Peering Connections(对等连接)。

  3. 选择对等连接。

  4. 选择操作

  5. 选择编辑 DNS 设置

  6. 请求者 DNS 解析下方,选择允许接受方 VPC 将请求者 VPC 主机的 DNS 解析为私有 IP

  7. 选择保存更改

使用跨账户 VPC 访问权限运行工作流程

启动工作流程运行时,请使用工作流程账户中的 VPC 中的子网和安全组。您的工作流程运行产生的流量将通过 VPC 对等连接路由到另一个账户中的 VPC。

有关创建 HealthOmics 配置资源和通过 VPC 网络启动工作流程运行的信息,请参阅将 HealthOmics 工作流程连接到 VPC

重要

我们建议在两个 VPC 上启用 VPC 流日志,以验证它们之间的流量并对连接问题进行故障排除。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC 流日志

问题排查

如果您的工作流程运行无法连接到对等 VPC 中的资源:

  1. 验证路由表:确保两个 VPC 都有指向 VPC 对等连接的双向路由。

  2. 检查安全组:确认两个 VPC 中的安全组都允许所需的流量(资源 VPC 中的入站流量,工作流 VPC 中的出站流量)。

  3. 验证 DNS 解析:如果使用 DNS 名称,请确保在对等连接上启用双向 DNS 解析。

  4. 检查 CIDR 块:确认两个 VPC 之间的 CIDR 块没有重叠。

  5. 查看 VPC 流日志:在两个 VPC 中启用 VPC 流日志以诊断流量问题。

  6. 验证对等连接状态:确保两个账户的对等连接状态均为active对等连接状态。

有关更多故障排除指南,请参阅 Amazon VPC 对等连接指南中的 VPC 对等连接疑难解答。

最佳实践

  1. 使用最低权限安全组:仅允许您的工作流程所需的特定端口和协议访问资源。

  2. 记录对等关系:保存关于哪些 VPC 是对等互连以及出于什么目的的文档。

  3. 监控跨账户流量:使用 VPC 流日志和 CloudWatch指标监控流量模式并检测异常。

  4. 仔细规划 CIDR 块:确保 CIDR 块不重叠,为将来的扩展留出空间。

  5. 彻底测试:在运行生产工作负载之前,验证与测试工作流程的连接。

  6. 与资源帐户所有者协调:与管理资源帐户的团队建立清晰的沟通渠道,以进行故障排除和维护。

  7. 使用标签:标记您的 VPC 对等连接、路由表和安全组,以确定其目的和所有权。

其他资源