Destinos de nube privada virtual (VPC) - AWS IoT Core
Requisitos y consideracionesPreciosCreación de destinos de reglas temáticas de nube privada virtual (VPC)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Destinos de nube privada virtual (VPC)

La acción de regla de Apache Kafka enruta los datos a un clúster de Apache Kafka en una Amazon Virtual Private Cloud (Amazon VPC). La configuración de la VPC utilizada por la acción de regla de Apache Kafka se habilita automáticamente cuando se especifica el destino de la VPC para la acción de regla.

Un destino de VPC contiene una lista de subredes dentro de la VPC. El motor de reglas crea una interfaz de red elástica en cada subred especificada en esta lista. Para obtener más información sobre las interfaces de red, consulte Interfaces de red elásticas en la Guía del EC2 usuario de Amazon.

Requisitos y consideraciones

  • Si utiliza un clúster de Apache Kafka autogestionado al que se accederá mediante un punto de conexión público a través de Internet:

    • Cree una puerta de enlace NAT para las instancias de sus subredes. La puerta de enlace NAT tiene una dirección IP pública que puede conectarse a Internet, lo que permite al motor de reglas reenviar sus mensajes al clúster público de Kafka.

    • Asigne una dirección IP elástica con las interfaces de red elásticas (ENIs) que crea el destino de la VPC. Los grupos de seguridad que utilice deben estar configurados para bloquear el tráfico entrante.

      nota

      Si el destino de la VPC está deshabilitado y, a continuación, se vuelve a habilitar, debe volver a asociar el elástico IPs al nuevo. ENIs

  • Si el destino de una regla temática de VPC no recibe tráfico durante 30 días seguidos, se deshabilitará.

  • Si algún recurso utilizado por el destino de la VPC cambia, el destino se deshabilitará y no se podrá utilizar.

  • Algunos cambios que pueden deshabilitar un destino de VPC incluyen: eliminar la VPC, las subredes, los grupos de seguridad o el rol utilizado; modificar el rol para que deje de tener los permisos necesarios; y deshabilitar el destino.

Precios

A efectos de fijación de precios, se mide una acción de regla de VPC además de la acción que envía un mensaje a un recurso cuando el recurso está en su VPC. Para obtener información sobre precios, consulte Precios de AWS IoT Core.

Creación de destinos de reglas temáticas de nube privada virtual (VPC)

Puede crear un destino de nube privada virtual (VPC) mediante la CreateTopicRuleDestinationAPI o la AWS IoT Core consola.

Cuando cree un destino de VPC, debe especificar la siguiente información.

vpcId

El ID único del destino de VPC.

subnetIds

Una lista de subredes en las que el motor de reglas crea interfaces de red elásticas. El motor de reglas asigna una única interfaz de red para cada subred de la lista.

securityGroups (opcional)

Lista de grupos de seguridad que se aplicarán a las interfaces de red.

roleArn

El nombre de recurso de Amazon (ARN) de un rol que tiene permiso para crear interfaces de red en su nombre.

Este ARN debería tener asociada una política similar al siguiente ejemplo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/VPCDestinationENI": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface",
                    "aws:RequestTag/VPCDestinationENI": "true"
                }
            }
        }
    ]
}

Crear un destino de VPC mediante AWS CLI

El siguiente ejemplo muestra cómo crear un destino de VPC utilizando AWS CLI.


aws --region regions iot create-topic-rule-destination --destination-configuration 'vpcConfiguration={subnetIds=["subnet-123456789101230456"],securityGroups=[],vpcId="vpc-123456789101230456",roleArn="arn:aws:iam::123456789012:role/role-name"}'

Cuando ejecuta este comando, el estado de destino de VPC será IN_PROGRESS. Transcurridos unos minutos, su estado cambiará a ERROR (si el comando no se ejecuta correctamente) o ENABLED. Cuando el estado de destino es ENABLED, está lista para su uso.

Puede utilizar el siguiente comando para obtener el estado del destino de la VPC.


aws --region region iot get-topic-rule-destination --arn "VPCDestinationARN"

Crear un destino de VPC mediante la consola AWS IoT Core

En los siguientes pasos se describe cómo crear un destino de VPC mediante la AWS IoT Core consola.

  1. Navegue hasta la AWS IoT Core consola. En el panel izquierdo, en la pestaña Actuar, seleccione Destinos.

  2. Escriba valores en los siguientes campos:

    • ID de VPC

    • Subred IDs

    • Security Group

  3. Seleccione un rol que tenga los permisos necesarios para crear interfaces de red. El ejemplo anterior de política contiene estos permisos.

Cuando el estado del destino de la VPC es HABILITADO, está listo para su uso.