本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
關於 Amazon 上的聯網 MWAA
Amazon VPC 是鏈接到您的 AWS 帳戶的虛擬網絡。它透過對虛擬基礎架構和網路流量分段提供精細控制,為您提供雲端安全性和動態擴展的能力。本頁說明 Amazon VPC 基礎設施,其中包含支援 Apache Airflow 環境之 Amazon 受管工作流程所需的公有路由或私有路由。
內容
條款
- 公共路由
-
可以存取VPC網際網路的 Amazon 網路。
- 私人路由
-
無法存取VPC網際網路的 Amazon 網路。
支援的項目
下表描述 Amazon VPCs Amazon MWAA 支持的類型。
| Amazon VPC 類型 | 支援 |
|---|---|
|
試圖創建環境的帳戶VPC擁有的 Amazon。 |
是 |
|
一個共享的 AmazonVPC,多個 AWS 帳戶創建他們的 AWS 資源。 |
是 |
VPC基礎架構概
當您建立 Amazon MWAA 環境時,Amazon MWAA 會根據您為環境選擇的 Apache 氣流存取模式,為您的環境在一到兩個VPC端點之間建立。這些端點IPs在您的 Amazon 中以私有方式顯示為彈性網路界面 (ENIs) VPC。建立這些端點之後,傳送到這些端點的任何流量IPs都會以私密方式或公開路由到您的環境所使用的對應 AWS 服務。
以下部分描述透過網際網路公開路由或在 Amazon 內私有路由流量所需的 Amazon VPC 基礎設施VPC。
透過網際網路的公用路由
本節說明具有公有路由之環境的 Amazon VPC 基礎設施。您將需要以下VPC基礎結構:
-
一個VPC安全群組。VPC安全性群組可做為虛擬防火牆,以控制執行個體上的輸入 (輸入) 和輸出 (輸出) 網路流量。
-
最多可以指定 5 個安全群組。
-
安全性群組必須為自己指定自我參照的輸入規則。
-
安全性群組必須為所有流量 (
0.0.0.0/0) 指定輸出規則。 -
安全性群組必須允許自我參照規則中的所有流量。例如:(建議) 所有存取自我參考安全群組的範例 。
-
安全性群組可以選擇性地透過指定連接埠範圍和連接埠範圍的HTTPS連接埠範圍
443,進一TCP步限制流量5432。例如,(選用) 限制連接埠 5432 傳入存取的安全群組範例 和 (選用) 限制連接埠 443 傳入存取的安全群組範例。
-
-
兩個公用子網路。公有子網路是一種子網路,其與具有網際網路閘道路由的路由表相關聯。
-
需要兩個公用子網路。這可讓 Amazon MWAA 在其他可用區域中為您的環境建立新的容器映像 (如果其中一個容器發生故障)。
-
子網路必須位於不同的可用區域中。例如
us-east-1a和us-east-1b。 -
子網路必須使用彈性 IP 位址 () 路由到NAT閘道 (或NAT執行個體EIP)。
-
子網路必須有一個路由表,可將連結網際網路的流量導向至網際網路閘道。
-
-
兩個私人子網路。私有子網路是與具有網際網路閘道路由之路由表沒有關聯的子網路。
-
需要兩個私人子網路。這可讓 Amazon MWAA 在其他可用區域中為您的環境建立新的容器映像 (如果其中一個容器發生故障)。
-
子網路必須位於不同的可用區域中。例如
us-east-1a和us-east-1b。 -
子網路必須具有連至NAT裝置 (閘道或執行個體) 的路由表。
-
子網路不得路由到網際網路閘道。
-
-
網路存取控制清單 (ACL)。在子網路層級NACL管理 (透過允許或拒絕規則) 入站和輸出流量。
-
NACL必須具有允許所有流量 (
0.0.0.0/0) 的入站規則。 -
NACL必須具有允許所有流量 (
0.0.0.0/0) 的輸出規則。 -
例如:(建議) 範例 ACLs。
-
-
兩個NAT閘道 (或多個NAT執行個體)。NAT裝置會將流量從私有子網路中的執行個體轉送至網際網路或其他 AWS 服務,然後將回應路由傳回執行個體。
-
NAT裝置必須連接至公用子網路。(每個公用子網路一個NAT裝置。)
-
NAT裝置必須有一個彈性IPv4位址 (EIP) 連接至每個公用子網路。
-
-
網際網路閘道。互聯網閘道VPC將 Amazon 連接到互聯網和其他 AWS 服務。
-
必須將互聯網閘道連接到 Amazon VPC。
-
沒有網際網路存取的私人
本節說明具有私有路由之環境的 Amazon VPC 基礎設施。您將需要以下VPC基礎結構:
-
一個VPC安全群組。VPC安全性群組可做為虛擬防火牆,以控制執行個體上的輸入 (輸入) 和輸出 (輸出) 網路流量。
-
最多可以指定 5 個安全群組。
-
安全性群組必須為自己指定自我參照的輸入規則。
-
安全性群組必須為所有流量 (
0.0.0.0/0) 指定輸出規則。 -
安全性群組必須允許自我參照規則中的所有流量。例如:(建議) 所有存取自我參考安全群組的範例 。
-
安全性群組可以選擇性地透過指定連接埠範圍和連接埠範圍的HTTPS連接埠範圍
443,進一TCP步限制流量5432。例如,(選用) 限制連接埠 5432 傳入存取的安全群組範例 和 (選用) 限制連接埠 443 傳入存取的安全群組範例。
-
-
兩個私人子網路。私有子網路是與具有網際網路閘道路由之路由表沒有關聯的子網路。
-
需要兩個私人子網路。這可讓 Amazon MWAA 在其他可用區域中為您的環境建立新的容器映像 (如果其中一個容器發生故障)。
-
子網路必須位於不同的可用區域中。例如
us-east-1a和us-east-1b。 -
子網路必須具有通往VPC端點的路由表。
-
子網路必須沒有連至NAT裝置 (閘道或執行個體) 的路由表,也不能有網際網路閘道。
-
-
網路存取控制清單 (ACL)。在子網路層級NACL管理 (透過允許或拒絕規則) 入站和輸出流量。
-
NACL必須具有允許所有流量 (
0.0.0.0/0) 的入站規則。 -
NACL必須具有拒絕所有流量 (
0.0.0.0/0) 的輸出規則。 -
例如:(建議) 範例 ACLs。
-
-
本地路由表。區域路由表是在中進行通訊的預設路由VPC。
-
本機路由表必須與您的私有子網路相關聯。
-
本機路由表必須讓您中的執行個體與您VPC自己的網路通訊。例如,如果您使用存 AWS Client VPN 取 Apache Airflow Web 伺服器的VPC介面端點,則路由表必須路由至VPC端點。
-
-
VPC您的環境所使用的每個 AWS 服務的VPC端點,以及與您的 Amazon 環MWAA境位於相同 AWS 區域和 Amazon VPC 的 Apache Airflow 端點。
-
環境所使用之每個 AWS 服務的VPC端點,以及 Apache 氣流的VPC端點。例如:(必要) VPC 端點。
-
VPC端點必須DNS啟用私人。
-
VPC端點必須與您環境的兩個私有子網路相關聯。
-
VPC端點必須與環境的安全性群組相關聯。
-
應將每個VPC端點的端點策略設定為允許存取環境所使用的 AWS 服務。例如:(建議) 允許所有存取的範例VPC端點政策。
-
應將 Amazon S3 的VPC端點政策設定為允許儲存貯體存取。例如:(建議) 允許儲存貯體存取的 Amazon S3 閘道端點政策範例。
-
Amazon VPC 和 Apache 氣流存取模式的範例使用案例
本節介紹 Amazon 中網路存取的不同使用案例,以VPC及您應該在 Amazon 主控台上選擇的 Apache Airflow Web 伺服器存取模式。MWAA
允許互聯網訪問-新的 Amazon VPC 網絡
如果您的組織允許中VPC的網際網路存取,且您希望使用者透過網際網路存取您的 Apache Airflow 網頁伺服器:
-
創建具有互聯VPC網接入的 Amazon 網絡。
-
為您的 Apache 氣流網頁伺服器建立具有公用網路存取模式的環境。
-
我們建議使用 AWS CloudFormation 快速入門範本,同時建立 Amazon VPC 基礎設施、Amazon S3 儲存貯體和 Amazon MWAA 環境。如需進一步了解,請參閱 Amazon Managed Workflows for Apache Airflow 的快速入門教學課程。
如果您VPC的組織允許中的網際網路存取,而且您想要限制 Apache Airflow Web 伺服器存取您的使用者VPC:
-
創建具有互聯VPC網接入的 Amazon 網絡。
-
建立一個機制,以便從您的電腦存取 Apache Airflow 網頁伺服器的VPC介面端點。
-
為您的 Apache 氣流網頁伺服器建立具有私人網路存取模式的環境。
-
我們推薦什麼:
-
我們建議您在中使用 Amazon MWAA 主控台選項一:在 Amazon MWAA 控制台上創建VPC網絡,或使用中的 AWS CloudFormation 範本選項二:建立具有網際VPC網路存取權的 Amazon 網路。
-
我們建議您使用中的 Apache 氣流網頁伺服器 AWS Client VPN 來設定存取教學課程:使用AWS Client VPN。
-
不允許互聯網訪問-新的 Amazon VPC 網絡
如果您的組織VPC不允許您存取網際網路:
-
建立沒有網際VPC網路存取權的 Amazon 網路。
-
建立一個機制,以便從您的電腦存取 Apache Airflow 網頁伺服器的VPC介面端點。
-
為您的環境使用的每個 AWS 服務建立VPC端點。
-
為您的 Apache 氣流網頁伺服器建立具有私人網路存取模式的環境。
-
我們推薦什麼:
-
我們建議使用該 AWS CloudFormation 模板創建一個VPC沒有互聯網訪問權限的 Amazon 和 Amazon MWAA 使用的每個 AWS 服務的VPC端點選項三:建立沒有網際VPC網路存取權的 Amazon 網路。
-
我們建議您使用中的 Apache 氣流網頁伺服器 AWS Client VPN 來設定存取教學課程:使用AWS Client VPN。
-
不允許網際網路存取-現有的 Amazon VPC 網路
如果您的組織不允許在您VPC的網際網路存取,而且您已經擁有必要的 Amazon VPC 網路,而且沒有網際網路存取權限:
-
為您的環境使用的每個 AWS 服務建立VPC端點。
-
為 Apache 氣流建立VPC端點。
-
建立一個機制,以便從您的電腦存取 Apache Airflow 網頁伺服器的VPC介面端點。
-
為您的 Apache 氣流網頁伺服器建立具有私人網路存取模式的環境。
-
我們推薦什麼:
-
我們建議您建立並連接 Amazon 使用的每個 AWS 服務所需的VPC端點MWAA,以及 Apache 氣流所需的端點VPC使用私有路由在 Amazon 中創建所需的VPC服務端點。VPC
-
我們建議您使用中的 Apache 氣流網頁伺服器 AWS Client VPN 來設定存取教學課程:使用AWS Client VPN。
-
