Destinos de nube privada virtual (VPC) - AWS IoT Core
Requisitos y consideracionesPreciosCreación de destinos de reglas temáticas de nube privada virtual (VPC)

Destinos de nube privada virtual (VPC)

La acción de regla de Apache Kafka enruta los datos a un clúster de Apache Kafka en una Amazon Virtual Private Cloud (Amazon VPC). La configuración de la VPC utilizada por la acción de regla de Apache Kafka se habilita automáticamente cuando se especifica el destino de la VPC para la acción de regla.

Un destino de VPC contiene una lista de subredes dentro de la VPC. El motor de reglas crea una interfaz de red elástica en cada subred especificada en esta lista. A fin de obtener más información sobre las interfaces de red, consulte Interfaces de red elástica en la Guía del usuario de Amazon EC2.

Requisitos y consideraciones

  • Si utiliza un clúster de Apache Kafka autogestionado al que se accederá mediante un punto de conexión público a través de Internet:

    • Cree una puerta de enlace NAT para las instancias de sus subredes. La puerta de enlace NAT tiene una dirección IP pública que puede conectarse a Internet, lo que permite al motor de reglas reenviar sus mensajes al clúster público de Kafka.

    • Asigne una dirección IP elástica con las interfaces de red elástica (ENI) que crea el destino de la VPC. Los grupos de seguridad que utilice deben estar configurados para bloquear el tráfico entrante.

      nota

      Si el destino de la VPC se inhabilita y, a continuación, se vuelve a habilitar, debe volver a asociar las IP elásticas a los nuevos ENI.

  • Si el destino de una regla temática de VPC no recibe tráfico durante 30 días seguidos, se deshabilitará.

  • Si algún recurso utilizado por el destino de la VPC cambia, el destino se deshabilitará y no se podrá utilizar.

  • Algunos cambios que pueden deshabilitar un destino de VPC incluyen: eliminar la VPC, las subredes, los grupos de seguridad o el rol utilizado; modificar el rol para que deje de tener los permisos necesarios; y deshabilitar el destino.

Precios

A efectos de fijación de precios, se mide una acción de regla de VPC además de la acción que envía un mensaje a un recurso cuando el recurso está en su VPC. Para obtener información sobre precios, consulte Precios de AWS IoT Core.

Creación de destinos de reglas temáticas de nube privada virtual (VPC)

Para crear un destino de nube privada virtual (VPC) mediante la API CreateTopicRuleDestination o la consola de AWS IoT Core..

Cuando cree un destino de VPC, debe especificar la siguiente información.

vpcId

El ID único del destino de VPC.

subnetIds

Una lista de subredes en las que el motor de reglas crea interfaces de red elásticas. El motor de reglas asigna una única interfaz de red para cada subred de la lista.

securityGroups (opcional)

Lista de grupos de seguridad que se aplicarán a las interfaces de red.

roleArn

El nombre de recurso de Amazon (ARN) de un rol que tiene permiso para crear interfaces de red en su nombre.

Este ARN debería tener asociada una política similar al siguiente ejemplo.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/VPCDestinationENI": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface",
                    "aws:RequestTag/VPCDestinationENI": "true"
                }
            }
        }
    ]
}

Crear un destino de VPC mediante AWS CLI

El siguiente ejemplo muestra cómo crear un destino de VPC utilizando AWS CLI.


aws --region regions iot create-topic-rule-destination --destination-configuration 'vpcConfiguration={subnetIds=["subnet-123456789101230456"],securityGroups=[],vpcId="vpc-123456789101230456",roleArn="arn:aws:iam::123456789012:role/role-name"}'

Cuando ejecuta este comando, el estado de destino de VPC será IN_PROGRESS. Transcurridos unos minutos, su estado cambiará a ERROR (si el comando no se ejecuta correctamente) o ENABLED. Cuando el estado de destino es ENABLED, está lista para su uso.

Puede utilizar el siguiente comando para obtener el estado del destino de la VPC.


aws --region region iot get-topic-rule-destination --arn "VPCDestinationARN"

Crear un destino de VPC mediante la consola de AWS IoT Core

Los siguientes pasos describen cómo crear un destino de la VPC mediante la consola de AWS IoT Core.

  1. Vaya a la consola de AWS IoT Core. En el panel izquierdo, en la pestaña Actuar, seleccione Destinos.

  2. Escriba valores en los siguientes campos:

    • ID de VPC

    • Identificadores de subred

    • Security Group

  3. Seleccione un rol que tenga los permisos necesarios para crear interfaces de red. El ejemplo anterior de política contiene estos permisos.

Cuando el estado del destino de la VPC es HABILITADO, está listo para su uso.