VPC使用私有路由在 Amazon 中創建所需的VPC服務端點 - Amazon Managed Workflows for Apache Airflow

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC使用私有路由在 Amazon 中創建所需的VPC服務端點

沒有網際VPC網路存取的現有 Amazon 網路需要額外的VPC服務端點 (AWS PrivateLink) 才能在 Amazon 受管工作流程上使用 Apache 氣流進行 Apache 氣流。本頁面說明 Amazon 所使用之 AWS 服務所需的VPC端點MWAA、Apache Airflow 所需的VPC端點,以及如何使用私有路由建立VPC端點並將其連接到現VPC有 Amazon。

定價

私人網路和私人路由

此影像顯示具有私有 Web 伺服器之 Amazon MWAA 環境的架構。

私有網路存取模式會將 Apache Airflow UI 的存取權限限制為 Amazon 內VPC已授予您環境IAM政策存取權的使用者。

當您創建具有私有 Web 服務器訪問權限的環境時,必須將所有依賴項打包到 Python wheel 存檔(.whl)中,然後.whlrequirements.txt. 有關使用 wheel 打包和安裝依賴項的說明,請參閱使用 Python wheel 管理依賴關係

下圖顯示 Amazon MWAA 主控台上哪裡可以找到私人網路選項。

此影像顯示 Amazon MWAA 主控台上哪裡可以找到私人網路選項。
  • 私人路由VPC沒有互聯網訪問的 Amazon 限制了VPC. 此頁面假設您的 Amazon VPC 沒有網際網路存取權限,且您的環境使用的每個 AWS 服務都需要VPCVPC端點,以及與您的 Amazon 環MWAA境位於相同 AWS 區域和 Amazon VPC 的 Apache Airflow 端點。

(必要) VPC 端點

以下部分顯示VPC沒有網際網路存取權的 Amazon 所需的VPC端點。它列出了 Amazon 使用的每個 AWS 服務的VPC端點MWAA,包括 Apache 氣流所需的VPC端點。

com.amazonaws.YOUR_REGION.s3 com.amazonaws.YOUR_REGION.monitoring com.amazonaws.YOUR_REGION.logs com.amazonaws.YOUR_REGION.sqs com.amazonaws.YOUR_REGION.kms
注意

使用 Transit Gateway 或任何其他未直接進入 AWS API端點的路由時,建議您將下列服務新增 AWS PrivateLink 至 Amazon MWAA 私有子網路:

  • Amazon S3

  • Amazon SQS

  • CloudWatch 日誌

  • CloudWatch 度量

  • AWS KMS (如適用)

這可確保您的 Amazon MWAA 環境可以安全有效地與這些服務進行通訊,而無需透過公用網際網路路由流量,進而改善安全性和效能。

附加所需的VPC端點

本節說明使VPC用私有路由連接 Amazon 所需VPC端點的步驟。

VPC服務所需的 AWS 端點

以下部分顯示將環境使用之 AWS 服務的VPC端點連接到現有 Amazon 的步驟VPC。

將VPC端點附加到私有子網路
  1. 在 Amazon VPC 主控台上開啟「端點」頁面

  2. 使用地 AWS 區選擇器選擇您的地區。

  3. 為 Amazon S3 建立端點:

    1. 選擇建立端點

    2. 在「依屬性篩選」或「依關鍵字搜尋」文字欄位中.s3入:,然後按鍵盤上的 Enter。

    3. 建議您選擇針對閘道類型列出的服務端點。

      例如 com.amazonaws.us-west-2.s3 amazon Gateway

    4. 在中選擇您環境VPC的 Amazon VPC

    5. 確定已選取位於不同可用區域中的兩個私人子網路,並選取 [啟用DNS名稱] 以啟用該專DNS用子網路。

    6. 選擇您環境的 Amazon VPC 安全群組。

    7. 策略中選擇「完整存取」。

    8. 選擇建立端點

  4. 建立記 CloudWatch 錄檔的端點:

    1. 選擇建立端點

    2. 在「依屬性篩選」或「依關鍵字搜尋」文字欄位中.logs入:,然後按鍵盤上的 Enter。

    3. 選取服務端點。

    4. 在中選擇您環境VPC的 Amazon VPC

    5. 確定已選取位於不同可用區域中的兩個私人子網路,並啟用 [啟用DNS名稱]

    6. 選擇您環境的 Amazon VPC 安全群組。

    7. 策略中選擇「完整存取」。

    8. 選擇建立端點

  5. 建立用於 CloudWatch 監控的端點:

    1. 選擇建立端點

    2. 在「依屬性篩選」或「依關鍵字搜尋」文字欄位中.monitoring入:,然後按鍵盤上的 Enter。

    3. 選取服務端點。

    4. 在中選擇您環境VPC的 Amazon VPC

    5. 確定已選取位於不同可用區域中的兩個私人子網路,並啟用 [啟用DNS名稱]

    6. 選擇您環境的 Amazon VPC 安全群組。

    7. 策略中選擇「完整存取」。

    8. 選擇建立端點

  6. 為 Amazon 創建端點SQS:

    1. 選擇建立端點

    2. 在「依屬性篩選」或「依關鍵字搜尋」文字欄位中.sqs入:,然後按鍵盤上的 Enter。

    3. 選取服務端點。

    4. 在中選擇您環境VPC的 Amazon VPC

    5. 確定已選取位於不同可用區域中的兩個私人子網路,並啟用 [啟用DNS名稱]

    6. 選擇您環境的 Amazon VPC 安全群組。

    7. 策略中選擇「完整存取」。

    8. 選擇建立端點

  7. 為以下項目建立端點 AWS KMS:

    1. 選擇建立端點

    2. 在「依屬性篩選」或「依關鍵字搜尋」文字欄位中.kms入:,然後按鍵盤上的 Enter。

    3. 選取服務端點。

    4. 在中選擇您環境VPC的 Amazon VPC

    5. 確定已選取位於不同可用區域中的兩個私人子網路,並啟用 [啟用DNS名稱]

    6. 選擇您環境的 Amazon VPC 安全群組。

    7. 策略中選擇「完整存取」。

    8. 選擇建立端點

VPCApache 氣流所需的端點

以下部分顯示將 Apache 氣流的VPC端點連接到現有 Amazon 的步驟VPC。

將VPC端點附加到私有子網路
  1. 在 Amazon VPC 主控台上開啟「端點」頁面

  2. 使用地 AWS 區選擇器選擇您的地區。

  3. 建立 Apache 氣流的端點API:

    1. 選擇建立端點

    2. 在「依屬性篩選」或「依關鍵字搜尋」文字欄位中.airflow.api入:,然後按鍵盤上的 Enter。

    3. 選取服務端點。

    4. 在中選擇您環境VPC的 Amazon VPC

    5. 確定已選取位於不同可用區域中的兩個私人子網路,並啟用 [啟用DNS名稱]

    6. 選擇您環境的 Amazon VPC 安全群組。

    7. 策略中選擇「完整存取」。

    8. 選擇建立端點

  4. 為 Apache 氣流環境建立第一個端點:

    1. 選擇建立端點

    2. 在「依屬性篩選」或「依關鍵字搜尋」文字欄位中.airflow.env入:,然後按鍵盤上的 Enter。

    3. 選取服務端點。

    4. 在中選擇您環境VPC的 Amazon VPC

    5. 確定已選取位於不同可用區域中的兩個私人子網路,並啟用 [啟用DNS名稱]

    6. 選擇您環境的 Amazon VPC 安全群組。

    7. 策略中選擇「完整存取」。

    8. 選擇建立端點

  5. 為 Apache 氣流作業建立第二個端點:

    1. 選擇建立端點

    2. 在「依屬性篩選」或「依關鍵字搜尋」文字欄位中.airflow.ops入:,然後按鍵盤上的 Enter。

    3. 選取服務端點。

    4. 在中選擇您環境VPC的 Amazon VPC

    5. 確定已選取位於不同可用區域中的兩個私人子網路,並啟用 [啟用DNS名稱]

    6. 選擇您環境的 Amazon VPC 安全群組。

    7. 策略中選擇「完整存取」。

    8. 選擇建立端點

(選擇性) 為您的 Amazon S3 VPC 介面端點啟用私有 IP 地址

Amazon S3 界面端點不支援私有DNS。S3 端點請求仍會解析為用 IP 位址。若要將 S3 位址解析為有 IP 位址,您需要在 Route 53 中為 S3 區域端點新增私有託管區域。

使用 Route 53

本節說明使用 Route 53 為 S3 介面端點啟用私有 IP 位址的步驟。

  1. 為您的 Amazon S3 VPC 界面端點(例如,西 1.amazonaws.com)創建一個私有託管區域,並將其與您的 Amazon 關聯。VPC

  2. 為您的 Amazon S3 VPC 介面端點 (例如,西部 1.amazonaws.com) 建立 ALIAS A 記錄,以解析為您的介面端點名稱。VPC DNS

  3. 為您的 ALIAS Amazon S3 介面端點 (例如 *.s3.eu-西部 1.amazonaws.com) 建立萬用字元記錄,以解析為介面端點名稱。VPC DNS

VPCs與自定義 DNS

如果您的 Amazon VPC 使用自訂DNS路由,則需要透過建立DNS記錄在解析器中進行變更 (不是 Route 53,通常是EC2執行DNS伺服器的執行個體)。CNAME例如:

Name: s3.us-west-2.amazonaws.com Type: CNAME Value: *.vpce-0f67d23e37648915c-e2q2e2j3.s3.us-west-2.vpce.amazonaws.com