View a markdown version of this page

Verbindung zu einer VPC in einem anderen Konto herstellen - AWS HealthOmics
VoraussetzungenErstellen Sie eine Amazon VPC im Konto Ihres WorkflowsErstellen Sie eine VPC-Peering-VerbindungsanfrageBereiten Sie das Konto Ihrer Ressource vorAktualisieren Sie die VPC-Konfiguration im Konto Ihres WorkflowsAusführen von Workflows mit kontenübergreifendem VPC-ZugriffFehlerbehebungBest PracticesWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verbindung zu einer VPC in einem anderen Konto herstellen

Sie können Ihren HealthOmics Workflow-Läufen Zugriff auf Ressourcen in einer Amazon VPC gewähren, die von einem anderen AWS Konto verwaltet werden, ohne dass eine der beiden VPC dem Internet ausgesetzt wird. Mit diesem Zugriffsmuster können Sie Daten mit anderen Organisationen gemeinsam nutzen, die AWS. Mithilfe dieses Zugriffsmusters können Sie Daten zwischen VPCs mit einem höheren Sicherheits- und Leistungsniveau austauschen als über das Internet. Konfigurieren Sie Ihre Workflow-Läufe so, dass sie eine VPC-Peering-Verbindung für den Zugriff auf diese Ressourcen verwenden.

Warnung

Wenn Sie den Zugriff zwischen Konten oder VPCs zulassen, überprüfen Sie, ob Ihr Plan die Sicherheitsanforderungen der jeweiligen Organisationen erfüllt, die diese Konten verwalten. Wenn Sie die Anweisungen in diesem Dokument befolgen, wirkt sich dies auf die Sicherheitslage Ihrer Ressourcen aus.

In diesem Tutorial verbinden Sie zwei Konten über eine Peering-Verbindung mithilfe von IPv4. Sie konfigurieren eine HealthOmics Konfigurationsressource, die noch nicht mit einer VPC in einem anderen Konto verbunden ist. Sie konfigurieren die DNS-Auflösung, um Ihre Workflow-Läufe mit Ressourcen zu verbinden, die keine statischen IPs bereitstellen. Informationen zur Anpassung dieser Anweisungen an andere Peering-Szenarien finden Sie im VPC Peering Guide.

Voraussetzungen

Um einer HealthOmics Workflow-Ausführung Zugriff auf eine Ressource in einem anderen Konto zu gewähren, benötigen Sie:

  • Ein HealthOmics Workflow, der so konfiguriert ist, dass er sich mit Ihrer Ressource authentifiziert und dann aus Ihrer Ressource liest.

  • Eine Ressource in einem anderen Konto, z. B. einem Amazon RDS-Cluster oder Lizenzserver, ist über Amazon VPC verfügbar.

  • Anmeldeinformationen für das Konto Ihres Workflows und das Konto Ihrer Ressource. Wenn Sie nicht berechtigt sind, das Konto Ihrer Ressource zu verwenden, wenden Sie sich an einen autorisierten Benutzer, um dieses Konto einzurichten.

  • Berechtigung zum Erstellen und Aktualisieren einer VPC (und zur Unterstützung von Amazon VPC-Ressourcen), die mit Ihren HealthOmics Workflow-Läufen verknüpft werden soll.

  • Erlaubnis zum Erstellen von HealthOmics Konfigurationsressourcen.

  • Berechtigung zum Erstellen einer VPC-Peering-Verbindung im Konto Ihres Workflows.

  • Berechtigung zum Annehmen einer VPC-Peering-Verbindung im Konto Ihrer Ressource.

  • Erlaubnis, die Konfiguration der VPC Ihrer Ressource (und der Unterstützung von Amazon-VPC-Ressourcen) zu aktualisieren.

  • Erlaubnis zum Starten von HealthOmics Workflow-Läufen.

Erstellen Sie eine Amazon VPC im Konto Ihres Workflows

Erstellen Sie eine Amazon-VPC, Subnetze, Routing-Tabellen und eine Sicherheitsgruppe im Konto Ihres HealthOmics Workflows.

So erstellen Sie eine VPC, Subnetze und weitere VPC-Ressourcen mit der Konsole

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie auf dem VPC-Dashboard VPC erstellen aus.

  3. Geben Sie für den IPv4-CIDR-Block einen privaten CIDR-Block an. Ihr CIDR-Block darf sich nicht mit Blöcken überlappen, die in der VPC Ihrer Ressource verwendet werden. Wählen Sie keinen Block aus, den die VPC Ihrer Ressource verwendet, um Ressourcen IPs zuzuweisen, oder einen Block, der bereits in den Routentabellen in der VPC Ihrer Ressource definiert ist. Weitere Informationen zur Definition geeigneter CIDR-Blöcke finden Sie unter VPC CIDR-Blöcke.

  4. Wählen Sie AZs anpassen aus.

  5. Wählen Sie mindestens eine Availability Zone aus, in der Sie in Ihrer HealthOmics Region tätig sind.

  6. Wählen Sie für Anzahl der öffentlichen Subnetze die Option0.

  7. Wählen Sie für VPC-Endpunkte None (Sie können diese später zur Kostenoptimierung hinzufügen).

  8. Wählen Sie VPC erstellen aus.

Erstellen Sie eine VPC-Peering-Verbindungsanfrage

Erstellen Sie eine VPC-Peering-Verbindungsanforderung von der VPC Ihres Workflows (der VPC des Anforderers) zur VPC Ihrer Ressource (der akzeptierenden VPC).

So fordern Sie eine VPC-Peering-Verbindung von der VPC Ihres Workflows an

  1. Öffnen Sie die Amazon-VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Peering connections (Peering-Verbindungen) aus.

  3. Wählen Sie Create peering connection (Peering-Verbindung erstellen).

  4. Wählen Sie für VPC-ID (Requester) die VPC Ihres Workflows aus.

  5. Geben Sie unter Konto-ID die ID des Kontos Ihrer Ressource ein.

  6. Geben Sie für VPC-ID (Accepter) die VPC-ID Ihrer Ressource ein.

  7. Wählen Sie Create peering connection (Peering-Verbindung erstellen).

Bereiten Sie das Konto Ihrer Ressource vor

Um Ihre Peering-Verbindung herzustellen und die VPC Ihrer Ressource für die Verwendung der Verbindung vorzubereiten, melden Sie sich beim Konto Ihrer Ressource mit einer Rolle an, die die in den Voraussetzungen aufgeführten Berechtigungen besitzt. Die Schritte zur Anmeldung können je nachdem, wie das Konto gesichert ist, unterschiedlich sein. Weitere Informationen zur Anmeldung bei einem AWS Konto finden Sie im Benutzerhandbuch.AWS Sign-in Führen Sie im Konto Ihrer Ressource die folgenden Verfahren aus.

So akzeptieren Sie die VPC-Peering-Verbindungsanfrage

  1. Öffnen Sie die Amazon-VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Peering connections (Peering-Verbindungen) aus.

  3. Wählen Sie erst die ausstehende VPC-Peering-Verbindung (der Status lautet pending-acceptance) aus.

  4. Wählen Sie Aktionen.

  5. Wählen Sie in der Dropdown-Liste die Option Anfrage annehmen aus.

  6. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Akzeptieren aus.

  7. Wählen Sie Meine Routing-Tabellen jetzt ändern, um der Haupt-Routing-Tabelle für Ihre VPC eine Route hinzuzufügen, sodass Sie Traffic über die Peering-Verbindung senden und empfangen können.

Untersuchen Sie die Routentabellen für die VPC der Ressource. Die von Amazon VPC generierte Route stellt möglicherweise keine Konnektivität her, je nachdem, wie die VPC Ihrer Ressource eingerichtet ist. Suchen Sie nach Konflikten zwischen der neuen Route und der vorhandenen Konfiguration für die VPC. Weitere Informationen zur Fehlerbehebung finden Sie unter Problembehandlung bei einer VPC-Peering-Verbindung im Amazon VPC Peering Guide.

So aktualisieren Sie die Routentabelle für die VPC Ihrer Ressource

  1. Öffnen Sie die Amazon-VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Route Tables (Routing-Tabellen) aus.

  3. Aktivieren Sie das Kontrollkästchen neben dem Namen der Routing-Tabelle für das Subnetz, das Ihrer Ressource zugeordnet ist.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Routen bearbeiten aus.

  6. Wählen Sie Route hinzufügen aus.

  7. Geben Sie als Ziel den CIDR-Block für die VPC Ihres Workflows ein.

  8. Wählen Sie als Ziel Ihre VPC-Peering-Verbindung aus.

  9. Wählen Sie Änderungen speichern aus.

Weitere Informationen zu den Überlegungen, auf die Sie bei der Aktualisierung Ihrer Routing-Tabellen stoßen können, finden Sie unter Aktualisieren der Routing-Tabellen für eine VPC-Peering-Verbindung.

So aktualisieren Sie die Sicherheitsgruppe für Ihre Ressource

  1. Öffnen Sie die Amazon-VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie die Sicherheitsgruppe für Ihre Ressource aus.

  4. Wählen Sie Aktionen.

  5. Wählen Sie in der Dropdownliste die Option Regeln für eingehenden Datenverkehr bearbeiten aus.

  6. Wählen Sie Regel hinzufügen aus.

  7. Wählen Sie unter Typ das Protokoll aus, das Ihre Ressource verwendet (z. MySQL/Aurora B. HTTPS oder Benutzerdefiniertes TCP).

  8. Geben Sie unter Portbereich den Port ein, auf dem Ihre Ressource lauscht.

  9. Geben Sie als Quelle den VPC CIDR-Block Ihres Workflows ein (z. B. 10.0.0). 0/16).

  10. Wählen Sie Regeln speichern aus.

  11. Wählen Sie Edit outbound rules (Regeln für ausgehenden Datenverkehr bearbeiten).

  12. Prüfen Sie, ob der ausgehende Verkehr eingeschränkt ist. Die VPC-Standardeinstellungen gestatten allen ausgehenden Datenverkehr. Wenn der ausgehende Datenverkehr eingeschränkt ist, fahren Sie mit dem nächsten Schritt fort.

  13. Wählen Sie Regel hinzufügen aus.

  14. Wählen Sie All traffic unter Typ das benötigte spezifische Protokoll aus.

  15. Geben Sie als Ziel den VPC CIDR-Block Ihres Workflows ein (z. B. 10.0.0). 0/16).

  16. Wählen Sie Regeln speichern aus.

Aktivieren einer DNS-Auflösung für Ihre Peering-Verbindung

  1. Öffnen Sie die Amazon-VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Peering connections (Peering-Verbindungen) aus.

  3. Wählen Sie Ihre Peering-Verbindung aus.

  4. Wählen Sie Aktionen.

  5. Wählen Sie DNS-Einstellungen ändern aus.

  6. Wählen Sie unter Akzepter-DNS-Auflösung die Option Erlauben Sie dem anfragenden VPC, DNS von akzeptierenden VPC-Hosts in private IP aufzulösen aus.

  7. Wählen Sie Änderungen speichern aus.

Aktualisieren Sie die VPC-Konfiguration im Konto Ihres Workflows

Melden Sie sich bei Ihrem Workflow-Konto an und aktualisieren Sie dann die VPC-Konfiguration.

So fügen Sie Ihrer VPC-Peering-Verbindung eine Route hinzu

  1. Öffnen Sie die Amazon-VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Route Tables (Routing-Tabellen) aus.

  3. Aktivieren Sie das Kontrollkästchen neben dem Namen der Routing-Tabelle für das Subnetz, das Sie Ihrer HealthOmics Konfiguration zuordnen möchten.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Routen bearbeiten aus.

  6. Wählen Sie Route hinzufügen aus.

  7. Geben Sie unter Ziel den CIDR-Block für die VPC Ihrer Ressource ein.

  8. Wählen Sie als Ziel Ihre VPC-Peering-Verbindung aus.

  9. Wählen Sie Änderungen speichern aus.

Weitere Informationen zu den Überlegungen, auf die Sie bei der Aktualisierung Ihrer Routing-Tabellen stoßen können, finden Sie unter Aktualisieren der Routing-Tabellen für eine VPC-Peering-Verbindung.

Um die Sicherheitsgruppe für Ihren HealthOmics Workflow zu aktualisieren, wird Folgendes ausgeführt

  1. Öffnen Sie die Amazon-VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie die Sicherheitsgruppe aus, die Sie für Ihre HealthOmics Konfiguration verwenden möchten.

  4. Wählen Sie Aktionen.

  5. Wählen Sie Edit outbound rules (Regeln für ausgehenden Datenverkehr bearbeiten).

  6. Wählen Sie Regel hinzufügen aus.

  7. Wählen Sie unter Typ das Protokoll aus, das Ihre Ressource verwendet (z. MySQL/Aurora B. HTTPS oder Custom TCP).

  8. Geben Sie unter Portbereich den Port ein, auf dem Ihre Ressource lauscht.

  9. Geben Sie als Ziel den VPC-CIDR-Block Ihrer Ressource ein (z. B. 10.1.0). 0/16).

  10. Wählen Sie Regeln speichern aus.

  11. Wählen Sie Edit inbound rules (Regeln für eingehenden Datenverkehr bearbeiten) aus.

  12. Prüfen Sie, ob Regeln für eingehenden Verkehr existieren. Wenn Ihre Ressource Verbindungen zu Ihren Workflow-Läufen herstellen muss, fahren Sie mit dem nächsten Schritt fort. Fahren Sie andernfalls mit dem Schritt zur DNS-Auflösung fort.

  13. Wählen Sie Regel hinzufügen aus.

  14. Wählen Sie unter Typ das entsprechende Protokoll aus.

  15. Geben Sie als Quelle den VPC-CIDR-Block Ihrer Ressource ein (z. B. 10.1.0). 0/16).

  16. Wählen Sie Regeln speichern aus.

Aktivieren einer DNS-Auflösung für Ihre Peering-Verbindung

  1. Öffnen Sie die Amazon-VPC-Konsole.

  2. Wählen Sie im Navigationsbereich Peering connections (Peering-Verbindungen) aus.

  3. Wählen Sie Ihre Peering-Verbindung aus.

  4. Wählen Sie Aktionen.

  5. Wählen Sie DNS-Einstellungen ändern aus.

  6. Wählen Sie unter DNS-Auflösung des Antragstellers die Option Zulassen, dass der akzeptierende VPC die DNS von VPC-Hosts des Antragstellers in eine private IP auflöst aus.

  7. Wählen Sie Änderungen speichern aus.

Ausführen von Workflows mit kontenübergreifendem VPC-Zugriff

Verwenden Sie beim Starten einer Workflow-Ausführung die Subnetze und Sicherheitsgruppen aus der VPC in Ihrem Workflow-Konto. Der Datenverkehr aus Ihren Workflow-Läufen wird über die VPC-Peering-Verbindung an die VPC im anderen Konto weitergeleitet.

Informationen zum Erstellen von HealthOmics Konfigurationsressourcen und zum Starten von Workflow-Läufen mit VPC-Netzwerken finden Sie unterHealthOmics Workflows mit einer VPC verbinden.

Wichtig

Wir empfehlen, VPC Flow Logs auf beiden VPCs zu aktivieren, um den Datenfluss zwischen ihnen zu überprüfen und Verbindungsprobleme zu beheben. Weitere Informationen finden Sie unter VPC-Flow-Protokolle im Benutzerhandbuch für Amazon VPC.

Fehlerbehebung

Wenn Ihr Workflow-Lauf keine Verbindung zu Ressourcen in der Peering-VPC herstellen kann:

  1. Routentabellen überprüfen: Stellen Sie sicher, dass beide VPCs über bidirektionale Routen verfügen, die auf die VPC-Peering-Verbindung verweisen.

  2. Sicherheitsgruppen überprüfen: Stellen Sie sicher, dass Sicherheitsgruppen in beiden VPCs den erforderlichen Datenverkehr zulassen (eingehend in der Ressourcen-VPC, ausgehend in Workflow-VPC).

  3. Überprüfen Sie die DNS-Auflösung: Stellen Sie sicher, dass die DNS-Auflösung auf der Peering-Verbindung in beide Richtungen aktiviert ist, wenn DNS-Namen verwendet werden.

  4. CIDR-Blöcke überprüfen: Stellen Sie sicher, dass sich die CIDR-Blöcke zwischen den beiden VPCs nicht überschneiden.

  5. VPC-Flow-Logs überprüfen: Aktivieren Sie VPC-Flow-Logs in beiden VPCs, um Probleme mit dem Verkehrsfluss zu diagnostizieren.

  6. Überprüfen Sie den Peering-Verbindungsstatus: Stellen Sie sicher, dass der Peering-Verbindungsstatus in beiden Konten angegeben ist. active

Weitere Anleitungen zur Fehlerbehebung finden Sie unter Problembehandlung bei einer VPC-Peering-Verbindung im Amazon VPC Peering Guide.

Best Practices

  1. Verwenden Sie Sicherheitsgruppen mit den geringsten Rechten: Erlauben Sie nur den spezifischen Ports und Protokollen, die für Ihren Workflow erforderlich sind, auf die Ressource zuzugreifen.

  2. Dokumentieren Sie die Peering-Beziehung: Dokumentieren Sie, welche VPCs zu welchem Zweck über Peering betrieben werden.

  3. Kontoübergreifenden Datenverkehr überwachen: Verwenden Sie VPC-Flow-Logs und CloudWatch -Metriken, um Verkehrsmuster zu überwachen und Anomalien zu erkennen.

  4. Planen Sie CIDR-Blöcke sorgfältig: Stellen Sie sicher, dass sich die CIDR-Blöcke nicht überschneiden und Raum für future Erweiterungen lassen.

  5. Gründlich testen: Überprüfen Sie die Konnektivität mit Test-Workflows, bevor Sie Produktionsworkloads ausführen.

  6. Koordinieren Sie sich mit den Eigentümern der Ressourcenkonten: Richten Sie klare Kommunikationskanäle mit dem Team ein, das das Ressourcenkonto verwaltet, um Fehler zu beheben und zu warten.

  7. Verwenden Sie Tags: Kennzeichnen Sie Ihre VPC-Peering-Verbindungen, Routing-Tabellen und Sicherheitsgruppen, um deren Zweck und Eigentümer zu identifizieren.

Weitere Ressourcen