Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellung der erforderlichen VPC-Serviceendpunkte in einer Amazon VPC mit privatem Routing
<a name="vpc-vpe-create-access"></a>

Ein vorhandenes Amazon VPC-Netzwerk ohne Internetzugang benötigt zusätzliche VPC-Serviceendpunkte (AWS PrivateLink), um Apache Airflow auf Amazon Managed Workflows for Apache Airflow zu verwenden. Auf dieser Seite werden die VPC-Endpunkte beschrieben, die für die von Amazon MWAA verwendeten AWS Services erforderlich sind, die VPC-Endpunkte, die für Apache Airflow erforderlich sind, und wie die VPC-Endpunkte erstellt und an eine bestehende Amazon VPC mit privatem Routing angehängt werden.

**Contents**
+ [Preise](#vpc-vpe-create-pricing)
+ [Privates Netzwerk und privates Routing](#vpc-vpc-create-onconsole)
+ [(Erforderlich) VPC-Endpunkte](#vpc-vpe-create-view-endpoints-examples)
+ [Anhängen der erforderlichen VPC-Endpoints](#vpc-vpe-create-view-endpoints-attach-all)
  + [Für Dienste erforderliche VPC-Endpunkte AWS](#vpc-vpe-create-view-endpoints-attach-services)
  + [Für Apache Airflow sind VPC-Endpunkte erforderlich](#vpc-vpe-create-view-endpoints-attach-aa)
+ [(Optional) Aktivieren Sie private IP-Adressen für Ihren Amazon S3 S3-VPC-Schnittstellenendpunkt](#vpc-vpe-create-view-endpoints-s3-exception)
  + [Route 53 verwenden](#vpc-vpe-create-view-endpoints-s3-exception-route53)
  + [VPCs mit benutzerdefiniertem DNS](#vpc-vpe-create-view-endpoints-s3-exception-customdns)

## Preise
<a name="vpc-vpe-create-pricing"></a>
+ [AWS PrivateLink Preise](https://aws.amazon.com/privatelink/pricing/)

## Privates Netzwerk und privates Routing
<a name="vpc-vpc-create-onconsole"></a>

![Dieses Bild zeigt die Architektur für eine Amazon MWAA-Umgebung mit einem privaten Webserver.](http://docs.aws.amazon.com/de_de/mwaa/latest/userguide/images/mwaa-private-web-server.png)


Der private Netzwerkzugriffsmodus beschränkt den Zugriff auf die Apache Airflow Airflow-Benutzeroberfläche auf Benutzer *in Ihrer Amazon VPC*, denen Zugriff auf die [IAM-Richtlinie für](access-policies.md) Ihre Umgebung gewährt wurde.

Wenn Sie eine Umgebung mit privatem Webserverzugriff erstellen, müssen Sie alle Ihre Abhängigkeiten in ein Python-Radarchiv (`.whl`) packen und dann auf das `.whl` in Ihrem `requirements.txt` verweisen. Anweisungen zum Paketieren und Installieren Ihrer Abhängigkeiten mit Wheel finden Sie unter [Abhängigkeiten mit Python Wheel verwalten](best-practices-dependencies.md#best-practices-dependencies-python-wheels).

Die folgende Abbildung zeigt, wo Sie die Option **Privates Netzwerk** auf der Amazon MWAA-Konsole finden.

![Dieses Bild zeigt, wo sich die Option Privates Netzwerk auf der Amazon MWAA-Konsole befindet.](http://docs.aws.amazon.com/de_de/mwaa/latest/userguide/images/mwaa-console-private-network.png)

+ **Privates Routing.** Eine [Amazon-VPC ohne Internetzugang schränkt den](networking-about.md) Netzwerkverkehr innerhalb der VPC ein. Auf dieser Seite wird davon ausgegangen, dass Ihre Amazon VPC keinen Internetzugang hat und VPC-Endpunkte für jeden von Ihrer Umgebung genutzten AWS Service sowie VPC-Endpunkte für Apache Airflow in derselben AWS-Region und Amazon VPC wie Ihre Amazon MWAA-Umgebung benötigt.

## (Erforderlich) VPC-Endpunkte
<a name="vpc-vpe-create-view-endpoints-examples"></a>

Im folgenden Abschnitt werden die erforderlichen VPC-Endpunkte angezeigt, die für eine Amazon-VPC ohne Internetzugang erforderlich sind. Es listet die VPC-Endpunkte für jeden AWS Service auf, der von Amazon MWAA verwendet wird, einschließlich der VPC-Endpunkte, die für Apache Airflow benötigt werden.

```
com.amazonaws.{{us-east-1}}.s3
com.amazonaws.{{us-east-1}}.monitoring
com.amazonaws.{{us-east-1}}.logs
com.amazonaws.{{us-east-1}}.sqs
com.amazonaws.{{us-east-1}}.kms
```

**Anmerkung**  
Wenn Sie Transit Gateway oder ein anderes Routing verwenden, das nicht direkt zu den AWS API-Endpunkten führt, empfehlen wir Ihnen, AWS PrivateLink zu Ihren Amazon MWAA-Subnetzen private Subnetze für die folgenden Dienste hinzuzufügen:  
Amazon S3
Amazon SQS
CloudWatch Logs
CloudWatch Metriken
AWS KMS (falls zutreffend)
Dadurch wird sichergestellt, dass Ihre Amazon MWAA-Umgebung sicher und effizient mit diesen Diensten kommunizieren kann, ohne den Datenverkehr über das öffentliche Internet weiterzuleiten, wodurch Sicherheit und Leistung verbessert werden.

## Anhängen der erforderlichen VPC-Endpoints
<a name="vpc-vpe-create-view-endpoints-attach-all"></a>

In diesem Abschnitt werden die Schritte zum Anhängen der erforderlichen VPC-Endpunkte für eine Amazon-VPC mit privatem Routing beschrieben.

### Für Dienste erforderliche VPC-Endpunkte AWS
<a name="vpc-vpe-create-view-endpoints-attach-services"></a>

Im folgenden Abschnitt werden die Schritte zum Anhängen der VPC-Endpunkte für die von einer Umgebung verwendeten AWS Services an eine bestehende Amazon VPC beschrieben.

**So fügen Sie VPC-Endpunkte an Ihre privaten Subnetze an**

1. Öffnen Sie die [Seite Endpoints](https://console.aws.amazon.com/vpc/home#Endpoints:sort=vpcEndpointType) in der Amazon VPC-Konsole.

1. Wählen Sie Ihre. AWS-Region

1. Erstellen Sie den Endpunkt für Amazon S3:

   1. Klicken Sie auf **Endpunkt erstellen**.

   1. Geben Sie in das Textfeld Nach *Attributen filtern oder nach Schlüsselwörtern suchen*: ein **.s3** und drücken *Sie dann die Eingabetaste* auf Ihrer Tastatur.

   1. Wir empfehlen, den für den **Gateway-Typ** aufgelisteten Dienstendpunkt auszuwählen.

      Beispiel: **com.amazonaws.us-west-2.s3 amazon Gateway**

   1. Wählen Sie die Amazon VPC Ihrer Umgebung in **VPC**.

   1. Stellen Sie sicher, dass Ihre beiden privaten Subnetze in verschiedenen Availability Zones ausgewählt sind und dass privates DNS aktiviert ist, indem Sie DNS-Name **aktivieren** auswählen.

   1. Wählen Sie die Amazon VPC-Sicherheitsgruppen Ihrer Umgebung aus.

   1. Wählen Sie unter **Richtlinie** die Option **Vollzugriff** aus.

   1. Wählen Sie **Endpunkt erstellen** aus.

1. Erstellen Sie den Endpunkt für CloudWatch Logs:

   1. Klicken Sie auf **Endpunkt erstellen**.

   1. Geben Sie in das Textfeld Nach *Attributen filtern oder nach Schlüsselwort suchen*: ein **.logs** und drücken *Sie dann die Eingabetaste* auf Ihrer Tastatur.

   1. Wählen Sie den Dienstendpunkt aus.

   1. Wählen Sie die Amazon VPC Ihrer Umgebung in **VPC**.

   1. Stellen Sie sicher, dass Ihre beiden privaten Subnetze in verschiedenen Availability Zones ausgewählt sind und dass die Option **DNS-Name aktivieren aktiviert** ist.

   1. Wählen Sie die Amazon VPC-Sicherheitsgruppen Ihrer Umgebung aus.

   1. Wählen Sie unter **Richtlinie** die Option **Vollzugriff** aus.

   1. Wählen Sie **Endpunkt erstellen** aus.

1. Erstellen Sie den Endpunkt für die CloudWatch Überwachung:

   1. Klicken Sie auf **Endpunkt erstellen**.

   1. Geben Sie in das Textfeld Nach *Attributen filtern oder nach Schlüsselwort suchen*: ein **.monitoring** und drücken *Sie dann die Eingabetaste* auf Ihrer Tastatur.

   1. Wählen Sie den Dienstendpunkt aus.

   1. Wählen Sie die Amazon VPC Ihrer Umgebung in **VPC**.

   1. Stellen Sie sicher, dass Ihre beiden privaten Subnetze in verschiedenen Availability Zones ausgewählt sind und dass die Option **DNS-Name aktivieren aktiviert** ist.

   1. Wählen Sie die Amazon VPC-Sicherheitsgruppen Ihrer Umgebung aus.

   1. Wählen Sie unter **Richtlinie** die Option **Vollzugriff** aus.

   1. Wählen Sie **Endpunkt erstellen** aus.

1. Erstellen Sie den Endpunkt für Amazon SQS:

   1. Klicken Sie auf **Endpunkt erstellen**.

   1. Geben Sie in das Textfeld Nach *Attributen filtern oder nach Schlüsselwörtern suchen*: ein **.sqs** und drücken *Sie dann die Eingabetaste* auf Ihrer Tastatur.

   1. Wählen Sie den Dienstendpunkt aus.

   1. Wählen Sie die Amazon VPC Ihrer Umgebung in **VPC**.

   1. Stellen Sie sicher, dass Ihre beiden privaten Subnetze in verschiedenen Availability Zones ausgewählt sind und dass die Option **DNS-Name aktivieren aktiviert** ist.

   1. Wählen Sie die Amazon VPC-Sicherheitsgruppen Ihrer Umgebung aus.

   1. Wählen Sie unter **Richtlinie** die Option **Vollzugriff** aus.

   1. Wählen Sie **Endpunkt erstellen** aus.

1. Erstellen Sie den Endpunkt für AWS KMS:

   1. Klicken Sie auf **Endpunkt erstellen**.

   1. Geben Sie in das Textfeld Nach *Attributen filtern oder nach Schlüsselwort suchen*: ein **.kms** und drücken *Sie dann die Eingabetaste* auf Ihrer Tastatur.

   1. Wählen Sie den Dienstendpunkt aus.

   1. Wählen Sie die Amazon VPC Ihrer Umgebung in **VPC**.

   1. Stellen Sie sicher, dass Ihre beiden privaten Subnetze in verschiedenen Availability Zones ausgewählt sind und dass die Option **DNS-Name aktivieren aktiviert** ist.

   1. Wählen Sie die Amazon VPC-Sicherheitsgruppen Ihrer Umgebung aus.

   1. Wählen Sie unter **Richtlinie** die Option **Vollzugriff** aus.

   1. Wählen Sie **Endpunkt erstellen** aus.

### Für Apache Airflow sind VPC-Endpunkte erforderlich
<a name="vpc-vpe-create-view-endpoints-attach-aa"></a>

Im folgenden Abschnitt werden die Schritte zum Anhängen der VPC-Endpunkte für Apache Airflow an eine bestehende Amazon VPC beschrieben.

**So fügen Sie VPC-Endpunkte an Ihre privaten Subnetze an**

1. Öffnen Sie die [Seite Endpoints](https://console.aws.amazon.com/vpc/home#Endpoints:sort=vpcEndpointType) in der Amazon VPC-Konsole.

1. Wählen Sie Ihre. AWS-Region

1. Erstellen Sie den Endpunkt für die Apache Airflow API:

   1. Klicken Sie auf **Endpunkt erstellen**.

   1. Geben Sie in das Textfeld Nach *Attributen filtern oder nach Schlüsselwörtern suchen*: ein **.airflow.api** und drücken *Sie dann die Eingabetaste* auf Ihrer Tastatur.

   1. Wählen Sie den Dienstendpunkt aus.

   1. Wählen Sie die Amazon VPC Ihrer Umgebung in **VPC**.

   1. Stellen Sie sicher, dass Ihre beiden privaten Subnetze in verschiedenen Availability Zones ausgewählt sind und dass die Option **DNS-Name aktivieren aktiviert** ist.

   1. Wählen Sie die Amazon VPC-Sicherheitsgruppen Ihrer Umgebung aus.

   1. Wählen Sie unter **Richtlinie** die Option **Vollzugriff** aus.

   1. Wählen Sie **Endpunkt erstellen** aus.

1. Erstellen Sie den ersten Endpunkt für die Apache Airflow Airflow-Umgebung:

   1. Klicken Sie auf **Endpunkt erstellen**.

   1. Geben Sie in das Textfeld Nach *Attributen filtern oder nach Schlüsselwörtern suchen*: ein **.airflow.env** und drücken *Sie dann die Eingabetaste* auf Ihrer Tastatur.

   1. Wählen Sie den Dienstendpunkt aus.

   1. Wählen Sie die Amazon VPC Ihrer Umgebung in **VPC**.

   1. Stellen Sie sicher, dass Ihre beiden privaten Subnetze in verschiedenen Availability Zones ausgewählt sind und dass die Option **DNS-Name aktivieren aktiviert** ist.

   1. Wählen Sie die Amazon VPC-Sicherheitsgruppen Ihrer Umgebung aus.

   1. Wählen Sie unter **Richtlinie** die Option **Vollzugriff** aus.

   1. Wählen Sie **Endpunkt erstellen** aus.

1. Erstellen Sie den zweiten Endpunkt für Apache Airflow Airflow-Operationen:

   1. Klicken Sie auf **Endpunkt erstellen**.

   1. Geben Sie in das Textfeld Nach *Attributen filtern oder nach Schlüsselwörtern suchen*: ein **.airflow.ops** und drücken *Sie dann die Eingabetaste* auf Ihrer Tastatur.

   1. Wählen Sie den Dienstendpunkt aus.

   1. Wählen Sie die Amazon VPC Ihrer Umgebung in **VPC**.

   1. Stellen Sie sicher, dass Ihre beiden privaten Subnetze in verschiedenen Availability Zones ausgewählt sind und dass die Option **DNS-Name aktivieren aktiviert** ist.

   1. Wählen Sie die Amazon VPC-Sicherheitsgruppen Ihrer Umgebung aus.

   1. Wählen Sie unter **Richtlinie** die Option **Vollzugriff** aus.

   1. Wählen Sie **Endpunkt erstellen** aus.

## (Optional) Aktivieren Sie private IP-Adressen für Ihren Amazon S3 S3-VPC-Schnittstellenendpunkt
<a name="vpc-vpe-create-view-endpoints-s3-exception"></a>

Amazon S3 **Interface-Endpunkte** unterstützen kein privates DNS. Die S3-Endpunktanfragen werden immer noch zu einer *öffentlichen* IP-Adresse aufgelöst. Um die S3-Adresse in eine *private* IP-Adresse aufzulösen, müssen Sie [in Route 53 eine private gehostete Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) für den regionalen S3-Endpunkt hinzufügen.

### Route 53 verwenden
<a name="vpc-vpe-create-view-endpoints-s3-exception-route53"></a>

In diesem Abschnitt werden die Schritte zum Aktivieren privater IP-Adressen für einen **S3-Interface-Endpunkt** mithilfe von Route 53 beschrieben.

1. Erstellen Sie eine private gehostete Zone für Ihren Amazon S3 S3-VPC-Schnittstellenendpunkt (z. B. s3.eu-west-1.amazonaws.com) und verknüpfen Sie sie mit Ihrer Amazon VPC.

1. Erstellen Sie einen ALIAS A-Eintrag für Ihren Amazon S3 S3-VPC-Schnittstellenendpunkt (z. B. s3.eu-west-1.amazonaws.com), der in den DNS-Namen Ihres VPC-Schnittstellen-Endpunkts aufgelöst wird.

1. Erstellen Sie einen ALIAS. Ein Platzhaltereintrag für Ihren Amazon S3 S3-Schnittstellenendpunkt (z. B. \*. s3.eu-west-1.amazonaws.com), der in den DNS-Namen des VPC-Schnittstellenendpunkts aufgelöst wird.

### VPCs mit benutzerdefiniertem DNS
<a name="vpc-vpe-create-view-endpoints-s3-exception-customdns"></a>

Wenn Ihre Amazon VPC benutzerdefiniertes DNS-Routing verwendet, müssen Sie die Änderungen in Ihrem DNS-Resolver (nicht Route 53, normalerweise eine EC2 Instance, auf der ein DNS-Server läuft) vornehmen, indem Sie einen CNAME-Eintrag erstellen. Beispiel:

```
Name: s3.us-west-2.amazonaws.com
Type: CNAME
Value:  *.vpce-0f67d23e37648915c-e2q2e2j3.s3.us-west-2.vpce.amazonaws.com
```