View a markdown version of this page

Conexión a herramientas alojadas de forma privada - AWS DevOps Agente
Descripción general de las conexiones privadasCree una conexión privadaUse una conexión privada con un proveedor de capacidadesVerifica una conexión privadaElimine una conexión privadaConfiguración avanzada con los recursos de VPC Lattice existentesTemas relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexión a herramientas alojadas de forma privada

Descripción general de las conexiones privadas

AWS DevOps El agente se puede ampliar con herramientas personalizadas del Model Context Protocol (MCP) y otras integraciones que permiten al agente acceder a los sistemas internos, como los registros de paquetes privados, las plataformas de observabilidad autohospedadas, la documentación APIs interna y las instancias de control de código fuente (consulte:). Configuración de las capacidades del AWS DevOps agente Estos servicios suelen ejecutarse dentro de una Amazon Virtual Private Cloud (Amazon VPC) con acceso a Internet público o restringido, lo que significa que el AWS DevOps agente no puede acceder a ellos de forma predeterminada.

Las conexiones privadas para AWS DevOps Agent le permiten conectar de forma segura su Agent Space a los servicios que se ejecutan en su VPC sin exponerlos a la Internet pública. Las conexiones privadas funcionan con cualquier integración que necesite llegar a un punto final privado, incluidos los servidores MCP, las instancias de Grafana o Splunk autohospedadas y los sistemas de control de código fuente como GitHub Enterprise Server y Self-Managed. GitLab

nota

Si sus herramientas alojadas de forma privada realizan solicitudes salientes al AWS DevOps agente desde su VPC, este tráfico también se puede proteger mediante un punto de enlace de la VPC para que permanezca dentro de la red. AWS Por ejemplo, esto se puede utilizar con herramientas que activan el DevOps agente mediante eventos de webhook (consulte:). Invocar al DevOps agente a través de Webhook Para obtener más información, consulte Puntos de enlace de la VPC (AWS PrivateLink).

Cómo funcionan las conexiones privadas

Una conexión privada crea una ruta de red segura entre el AWS DevOps agente y un recurso de destino en la VPC. De manera clandestina, AWS DevOps Agent utiliza Amazon VPC Lattice para establecer esta ruta de conectividad privada segura. VPC Lattice es un servicio de redes de aplicaciones que le permite conectar, proteger y supervisar la comunicación entre aplicaciones VPCs, cuentas y tipos de procesamiento, sin administrar la infraestructura de red subyacente.

Al crear una conexión privada, ocurre lo siguiente:

  • Usted proporciona la VPC, las subredes y (opcionalmente) los grupos de seguridad que tienen conectividad de red con el servicio de destino.

  • AWS DevOps El agente crea una puerta de enlace de recursos gestionada por un servicio y aprovisiona sus interfaces de red elásticas (ENIs) en las subredes que especificó.

  • El agente usa la puerta de enlace de recursos para enrutar el tráfico a la dirección IP o el nombre DNS del servicio de destino a través de la ruta de red privada.

El AWS DevOps agente administra completamente la puerta de enlace de recursos y aparece como un recurso de solo lectura en su cuenta (nombreaidevops-{your-private-connection-name}). No necesita configurarlo ni mantenerlo. Los únicos recursos que se crean en la VPC se encuentran ENIs en las subredes que especifique. ENIs Sirven como punto de entrada para el tráfico privado y el servicio los administra en su totalidad. No aceptan conexiones entrantes de Internet y tú conservas el control total sobre su tráfico a través de tus propios grupos de seguridad.

Seguridad

Las conexiones privadas están diseñadas con varios niveles de seguridad:

  • Sin exposición a Internet pública: todo el tráfico entre el AWS DevOps agente y el servicio de destino permanece en la AWS red. Su servicio nunca necesita una dirección IP pública ni una puerta de enlace de Internet.

  • Puerta de enlace de recursos controlada por el servicio: la puerta de enlace de recursos gestionados por el servicio es de solo lectura en su cuenta. Solo la puede usar el AWS DevOps agente y ningún otro servicio o entidad principal puede dirigir el tráfico a través de ella. Puede verificarlo en AWS CloudTraillos registros, que registran todas las llamadas a la API de VPC Lattice.

  • Sus grupos de seguridad, sus reglas: usted controla el tráfico entrante y saliente que llega ENIs a los grupos de seguridad de los que es propietario y que administra. Si no especifica los grupos de seguridad, el AWS DevOps agente crea un grupo de seguridad predeterminado con el alcance de los puertos que defina.

  • Funciones vinculadas a servicios con privilegios mínimos: el AWS DevOps agente utiliza una función vinculada a servicios para crear solo los recursos necesarios de VPC Lattice y Amazon EC2. Este rol se limita a los recursos etiquetados con AWSAIDevOpsManaged y no puede acceder a ningún otro recurso de su cuenta.

nota

Si su organización tiene políticas de control de servicios (SCPs) que restringen las acciones de la API VPC Lattice, la puerta de enlace de recursos gestionados por el servicio se crea mediante un rol vinculado al servicio. Asegúrese de SCPs permitir las acciones necesarias para el rol vinculado al servicio.

Arquitectura

El siguiente diagrama muestra la ruta de red de una conexión privada.

En esta arquitectura:

  • AWS DevOps El agente inicia una solicitud a su servicio de destino.

  • Amazon VPC Lattice enruta la solicitud a través de la puerta de enlace de recursos gestionados por el servicio de su VPC. Para obtener información sobre las configuraciones avanzadas que utilizan sus propios recursos de VPC Lattice, consulte Configuración avanzada con los recursos de VPC Lattice existentes.

  • Un ENI de su VPC recibe el tráfico y lo reenvía a la dirección IP o al nombre DNS del servicio de destino.

  • Sus grupos de seguridad determinan qué tráfico se permite a través de. ENIs

  • Desde la perspectiva del servicio de destino, la solicitud se origina en direcciones IP privadas de su ENIs VPC.

Cree una conexión privada

Puede crear una conexión privada mediante la consola AWS de administración o la AWS CLI.

nota

VPC Lattice no admite las siguientes zonas de disponibilidad:use1-az3,,,usw1-az2,apne1-az3, apne2-az2euc1-az2,euw1-az4. cac1-az3 ilc1-az2

Requisitos previos

Antes de crear una conexión privada, compruebe que dispone de lo siguiente:

  • Un espacio de agente activo: necesita un espacio de agente existente en su cuenta. Si no dispone de una, consulte Cómo empezar con AWS DevOps Agent.

  • Un servicio de destino al que se pueda acceder de forma privada: se debe poder acceder a su servidor MCP, plataforma de observabilidad u otro servicio en una dirección IP privada conocida o un nombre de DNS de la VPC en la que se implementa la puerta de enlace de recursos. El servicio se puede ejecutar en la misma VPC, en una VPC interconectada o de forma local, siempre que se pueda enrutar desde las subredes de la puerta de enlace de recursos. El servicio debe ofrecer tráfico HTTPS con una versión TLS mínima de 1.2 en un puerto que especifiques al crear la conexión.

  • Subredes de la VPC: identifique de 1 a 20 subredes en las que se ENIs crearán. Recomendamos seleccionar subredes en varias zonas de disponibilidad para obtener una alta disponibilidad. Estas subredes deben tener conectividad de red con el servicio de destino. VPC Lattice puede usar una subred por zona de disponibilidad.

  • Grupos de seguridad (opcionales): si desea controlar el tráfico con reglas específicas, prepare hasta cinco grupos de seguridad para adjuntarlos IDs a ellos. ENIs Si omite los grupos de seguridad, el AWS DevOps agente crea un grupo de seguridad predeterminado.

Las conexiones privadas son recursos a nivel de cuenta. Después de crear una conexión privada, puede reutilizarla en varias integraciones y espacios de agentes que necesiten llegar al mismo anfitrión.

Crea una conexión privada mediante la consola

  1. Abre la consola del AWS DevOps agente.

  2. En el panel de navegación, elija Proveedores de capacidades y, a continuación, elija Conexiones privadas.

  3. Seleccione Crear nuevo perfil de conexión.

  4. En Nombre, introduzca un nombre descriptivo para la conexión, por ejemplomy-mcp-tool-connection.

  5. Para la VPC, seleccione la VPC en la que se implementará la puerta de enlace ENIs de recursos.

  6. Para las subredes, seleccione una o más subredes (hasta 20). Recomendamos elegir subredes en al menos dos zonas de disponibilidad.

  7. Para el tipo de dirección IP, seleccione el tipo de dirección IP del servicio de destino (IPv4IPv6, oDualStack).

  8. (Opcional) En Número de IPv4 direcciones, si IPv4 seleccionó Dualstack como tipo de dirección IP, puede introducir el número de IPv4 direcciones por ENI para su puerta de enlace de recursos. El valor predeterminado es 16 IPv4 direcciones por ENI.

  9. (Opcional) Para los grupos de seguridad, seleccione los grupos de seguridad existentes (hasta 5) para restringir el tráfico que puede llegar al servicio de destino. Si no selecciona ninguno, se crea un grupo de seguridad predeterminado.

  10. (Opcional) Para los rangos de puertos, especifique los puertos TCP en los que escucha la aplicación de destino (por ejemplo, 443 o8080-8090). Puede especificar hasta 11 rangos de puertos.

  11. En Dirección de host, introduzca la dirección IP o el nombre DNS del servicio de destino (por ejemplo, mcp.internal.example.com o10.0.1.50). Se debe poder acceder al servicio desde la VPC seleccionada. Si elige un nombre DNS, debe poder resolverse desde la VPC seleccionada.

  12. (Opcional) En el caso de la clave pública del certificado, si la dirección de host que especificó utiliza certificados TLS emitidos por una entidad de certificación privada, introduzca la clave pública del certificado codificada en PEM. Esto permite al AWS DevOps agente confiar en la conexión TLS con el servicio de destino.

  13. Elija Crear conexión.

El estado de la conexión cambia a Crear en curso. Este proceso puede tardar hasta 10 minutos. Cuando el estado cambia a Activo, la ruta de red está lista.

Si el estado cambia a Error al crear, compruebe lo siguiente:

  • Las subredes que especificó tienen direcciones IP disponibles.

  • Su cuenta no ha alcanzado las cuotas de servicio de VPC Lattice.

  • No hay políticas de IAM restrictivas que impidan que el rol vinculado al servicio cree recursos.

nota

Estos pasos también se pueden realizar seleccionando un proveedor de capacidades Create a new private connection durante el registro. Para obtener más información, consulte Usar una conexión privada con un proveedor de capacidades.

Cree una conexión privada mediante la AWS CLI

Ejecute el siguiente comando para crear una conexión privada. Sustituya los valores de los marcadores de posición por los suyos propios.

aws devops-agent create-private-connection \
    --name my-mcp-tool-connection \
    --mode '{
        "serviceManaged": {
            "hostAddress": "mcp.internal.example.com",
            "vpcId": "vpc-0123456789abcdef0",
            "subnetIds": [
                "subnet-0123456789abcdef0",
                "subnet-0123456789abcdef1"
            ],
            "securityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "portRanges": ["443"]
        }
    }'

La respuesta incluye el nombre de la conexión y un estado deCREATE_IN_PROGRESS:

{
    "name": "my-mcp-tool-connection",
    "status": "CREATE_IN_PROGRESS",
    "resourceGatewayId": "rgw-0123456789abcdef0",
    "hostAddress": "mcp.internal.example.com",
    "vpcId": "vpc-0123456789abcdef0"
}

Para comprobar el estado de la conexión, utilice el describe-private-connection comando:

aws devops-agent describe-private-connection \
    --name my-mcp-tool-connection

Cuando el estado esACTIVE, tu conexión privada está lista para usarse.

Use una conexión privada con un proveedor de capacidades

Para usar una conexión privada, puede vincularse a ella durante el registro de un proveedor de capacidades. Las capacidades compatibles que se pueden usar con conexiones privadas incluyen: GitHubGitLab,MCP Server, yGrafana. Puede realizar este paso mediante la consola AWS de administración o la AWS CLI.

nota

Al registrar un proveedor de capacidades, el AWS DevOps agente valida que el punto final es accesible y responde. Asegúrese de que el servicio de destino esté funcionando y aceptando conexiones antes de completar el registro.

Utilice una conexión privada con un proveedor de servicios mediante la consola

En la consola del AWS DevOps agente, las conexiones privadas se pueden vincular a una capacidad durante el registro seleccionando la opción «Conectar al punto final mediante una conexión privada».

  1. Abre la consola del AWS DevOps agente y navega hasta tu espacio de agente.

  2. En la sección Proveedores de capacidades, seleccione Registro.

  3. Seleccione Registrar para el tipo de capacidad que desee utilizar con la conexión privada.

  4. En la vista de detalles de registro, introduzca la URL del punto final al que desee conectarse mediante la conexión privada (por ejemplo,https://mcp.internal.example.com).

  5. Seleccione Conectarse al punto final mediante una conexión privada.

  6. Seleccione una conexión privada existente que corresponda a la URL del punto final al que desea conectarse o seleccione Crear una nueva conexión privada para crear una.

  7. Complete el proceso de registro del proveedor de capacidades.

nota

Al seleccionar una conexión privada para un proveedor de capacidades que utiliza la OAuth autenticación (credenciales de cliente o 3LO), la conexión privada se aplica tanto al punto final del proveedor de capacidades como al punto final del intercambio de tokens. Asegúrese de que la conexión privada esté configurada con una dirección de host que pueda enrutar el tráfico a ambos puntos finales.

Utilice una conexión privada con un proveedor de capacidades mediante la AWS CLI

Puede registrar las capacidades con una conexión privada si incluye el private-connection-name argumento. A continuación, se muestra un ejemplo de cómo registrar un servidor MCP con la autorización de clave API mediante la conexión my-mcp-tool-connection privada. Sustituya los valores de los marcadores de posición por los suyos propios.

aws devops-agent register-service \
    --service mcpserver \
    --private-connection-name my-mcp-tool-connection \
    --service-details '{
        "mcpserver": {
            "name": "my-mcp-tool",
            "endpoint": "https://mcp.internal.example.com",
            "authorizationConfig": {
                "apiKey": {
                    "apiKeyName": "api-key",
                    "apiKeyValue": "secret-value",
                    "apiKeyHeader": "x-api-key"
                }
            }
        }
    }' \
    --region us-east-1

Verifica una conexión privada

Cuando la conexión privada alcance el estado Activo y la haya utilizado un proveedor de capacidades, compruebe que el AWS DevOps agente pueda acceder al servicio de destino:

  1. Abra la consola del AWS DevOps agente y diríjase a su espacio de agente.

  2. Inicie una nueva sesión de chat.

  3. Invoca un comando que utilice la integración respaldada por tu conexión privada. Por ejemplo, si su herramienta MCP proporciona acceso a una base de conocimientos interna, hágale al agente una pregunta que requiera esa base de conocimientos.

  4. Confirme que el agente devuelva los resultados del servicio privado.

Si se produce un error en la conexión, compruebe lo siguiente:

  • Límites de VPC Lattice: compruebe que no ha alcanzado ninguna puerta de enlace de recursos u otros límites de cuota de VPC Lattice

  • Reglas de los grupos de seguridad: compruebe que los grupos de seguridad adjuntos ENIs permiten el tráfico saliente en el puerto al que atiende su servicio. Compruebe también que el grupo de seguridad de su servicio permita el tráfico entrante en el puerto de destino. El tráfico proviene del plano de datos de VPC Lattice dentro de IPs su rango CIDR de VPC. Puede utilizar la referencia a grupos de seguridad (permitiendo el grupo de seguridad ENI como fuente) o permitir la entrada desde el CIDR de la VPC.

  • Conectividad de subred: compruebe que las subredes que ha seleccionado pueden enrutar el tráfico a su servicio. Si el servicio se ejecuta en una subred diferente, confirme que las tablas de enrutamiento permiten el tráfico entre ellas.

  • Disponibilidad del servicio: confirme que su servicio se esté ejecutando y aceptando conexiones en el puerto esperado.

  • Zona de disponibilidad no compatible: compruebe que las subredes estén en las zonas de disponibilidad compatibles. Ejecute aws ec2 describe-subnets --subnet-ids <your-subnet-ids> --query 'Subnets[*].[SubnetId,AvailabilityZoneId]' las zonas de disponibilidad no compatibles enumeradas anteriormente y compruébelas.

Elimine una conexión privada

Puede eliminar las conexiones privadas no utilizadas mediante la consola AWS de administración o la AWS CLI.

Elimine una conexión privada mediante la consola

  1. Abre la consola del AWS DevOps agente.

  2. En el panel de navegación, elija Proveedores de capacidades y, a continuación, elija Conexiones privadas.

  3. Seleccione el menú Acciones de la conexión privada que desee eliminar y, a continuación, seleccione Eliminar.

La conexión privada se mostrará con el estado «Eliminando la conexión» mientras el AWS DevOps agente elimina la puerta de enlace de recursos gestionados y la elimina ENIs de su VPC. Una vez completada la eliminación, la conexión dejará de aparecer en la lista de conexiones privadas.

Eliminar una conexión privada mediante la AWS CLI

aws devops-agent delete-private-connection \
    --name my-mcp-tool-connection

La respuesta devuelve un estado deDELETE_IN_PROGRESS. AWS DevOps El agente elimina la puerta de enlace de recursos gestionados y ENIs la elimina de la VPC. Una vez completada la eliminación, la conexión ya no aparece en la lista de conexiones privadas.

Configuración avanzada con los recursos de VPC Lattice existentes

Si su organización ya utiliza Amazon VPC Lattice y administra sus propias configuraciones de recursos, puede crear una conexión privada en modo autogestionado. En lugar de que el AWS DevOps agente cree una puerta de enlace de recursos para usted, usted proporciona el nombre de recurso de Amazon (ARN) de una configuración de recursos existente que apunta a su servicio de destino.

Este enfoque resulta útil cuando:

  • Desea tener un control total sobre la pasarela de recursos y el ciclo de vida de la configuración de los recursos.

  • Necesita compartir las configuraciones de recursos entre varias AWS cuentas o servicios.

  • Requiera los registros de acceso de VPC Lattice para una supervisión detallada del tráfico.

  • Ejecute una arquitectura de hub-and-spoke red.

Para crear una conexión privada autogestionada con la AWS CLI:

aws devops-agent create-private-connection \
    --name my-advanced-connection \
    --mode '{
        "selfManaged": {
            "resourceConfigurationId": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0123456789abcdef0"
        }
    }'

Para obtener más información sobre la configuración de las pasarelas de recursos y las configuraciones de recursos de VPC Lattice, consulte la Guía del usuario de Amazon VPC Lattice.