Términos Elementos compatibles Información general sobre la infraestructura de la VPC Ejemplos de casos de uso para un modo de acceso a Amazon VPC y Apache Airflow

Acerca de las redes en Amazon MWAA

Una Amazon VPC es una red virtual que está vinculada a su Cuenta de AWS. Le ofrece seguridad en la nube y la capacidad de escalar de forma dinámica al proporcionar un control detallado de la infraestructura virtual y la segmentación del tráfico de la red. En esta página, se se describe la infraestructura de Amazon VPC con enrutamiento público o enrutamiento privado necesaria para que sea compatible con un entorno de Amazon Managed Workflows para Apache Airflow.

Contenido

Términos

Enrutamiento público: Red de Amazon VPC con acceso a Internet.
Enrutamiento privado: Red de Amazon VPC sin acceso a Internet.

Elementos compatibles

En la siguiente tabla se describen los tipos de Amazon VPC compatibles con Amazon MWAA.

Tipos de Amazon VPC	Compatible
Amazon VPC propiedad de la cuenta que intenta crear el entorno.	Sí
Amazon VPC compartida en la que varias Cuentas de AWS crean sus recursos de AWS.	Sí

Información general sobre la infraestructura de la VPC

Al crear un entorno de Amazon MWAA, Amazon MWAA crea entre uno y dos puntos de conexión de VPC para su entorno en función del modo de acceso a Apache Airflow que haya elegido para su entorno. Estos puntos de conexión aparecen como interfaces de red elástica (ENI) con IP privadas en su Amazon VPC. Una vez creados estos puntos de conexión, todo el tráfico destinado a estas IP se enruta de forma privada o pública a los servicios de AWS correspondientes que utilice su entorno.

En la siguiente sección, se describe la infraestructura de Amazon VPC necesaria para enrutar el tráfico de forma pública a través de Internet o de forma privada en su Amazon VPC.

Enrutamiento público a través de Internet

En esta sección se describe la infraestructura de Amazon VPC de un entorno con enrutamiento público. Para ello, necesitará la siguiente infraestructura de la VPC:

Grupo de seguridad de la VPC. Un grupo de seguridad de VPC funciona como un firewall virtual de para controlar el tráfico entrante y saliente en una instancia.
- Se pueden especificar hasta 5 grupos de seguridad.
- El grupo de seguridad debe especificar una regla de entrada con autorreferencia para sí mismo.
- El grupo de seguridad debe especificar una regla de salida para todo el tráfico (0.0.0.0/0; use ::/0 para IPv6).
- El grupo de seguridad debe permitir todo el tráfico de la regla de autorreferencia. Por ejemplo, (Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos .
- Opcionalmente, el grupo de seguridad puede restringir todavía más el tráfico especificando el rango de puertos para el rango de puertos HTTPS 443 y un rango de puertos TCP 5432. Por ejemplo, (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432 y (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443.
Dos subredes públicas. Una subred pública es una subred asociada a la tabla de ruteo con ruta a la gateway de internet.
- Se necesitan dos subredes públicas. Esto permite a Amazon MWAA crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.
- Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo, us-east-1a, us-east-1b.
- Las subredes deben enrutarse a una puerta de enlace NAT (o instancia NAT) con una dirección IP elástica (EIP).
- Las subredes deben tener una tabla de enrutamiento que dirija el tráfico vinculado a Internet a la puerta de enlace de Internet.
Dos subredes privadas. Una subred pública es una subred no asociada a la tabla de enrutamiento que tiene una ruta a la puerta de enlace de Internet.
- Se necesitan dos subredes privadas. Esto permite a Amazon MWAA crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.
- Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo, us-east-1a, us-east-1b.
- Las subredes deben tener una tabla de enrutamiento a un dispositivo NAT (puerta de enlace o instancia).
- Las subredes no deben tener una ruta hacia una puerta de enlace de Internet.
- Establezca assignIpV6AddressOnCreation como true para subredes IPv6.
- Para las subredes privadas IPv6, debe tener una conexión a la puerta de enlace de Internet de solo salida (EIGW).
Una Lista de control de acceso (ACL) de red). Una NACL gestiona (mediante reglas de permiso o denegación) el tráfico entrante y saliente a nivel de subred.
- La NACL debe tener una regla de entrada que permita todo el tráfico (0.0.0.0/0; use ::/0 para IPv6).
- La NACL debe tener una regla de salida que permita todo el tráfico (0.0.0.0/0; use ::/0 para IPv6).
- Por ejemplo, (Recomendado) Ejemplos de ACL.
Dos puertas de enlace NAT (o instancias NAT). El dispositivo NAT reenvía el tráfico desde las instancias de la subred privada a Internet o a otros servicios de AWS y, a continuación, enruta la respuesta de nuevo a las instancias.
- El dispositivo NAT debe estar conectado a una subred pública. (Un dispositivo NAT para cada subred pública.)
- El dispositivo NAT debe tener una dirección IPv4 elástica (EIP) conectada a cada subred pública.
Un gateway de Internet. Una puerta de enlace de Internet conecta una Amazon VPC a Internet y otros servicios de AWS.
- Una puerta de enlace de Internet debe asociarse a la Amazon VPC.

Enrutamiento privado sin acceso a Internet

En esta sección se describe la infraestructura de Amazon VPC de un entorno con enrutamiento privado. Para ello, necesitará la siguiente infraestructura de la VPC:

Grupo de seguridad de la VPC. Un grupo de seguridad de VPC funciona como un firewall virtual de para controlar el tráfico entrante y saliente en una instancia.
- Se pueden especificar hasta 5 grupos de seguridad.
- El grupo de seguridad debe especificar una regla de entrada con autorreferencia para sí mismo.
- El grupo de seguridad debe especificar una regla de salida para todo el tráfico (0.0.0.0/0; use ::/0 para IPv6).
- El grupo de seguridad debe permitir todo el tráfico de la regla de autorreferencia. Por ejemplo, (Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos .
- Opcionalmente, el grupo de seguridad puede restringir todavía más el tráfico especificando el rango de puertos para el rango de puertos HTTPS 443 y un rango de puertos TCP 5432. Por ejemplo, (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432 y (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443.
Dos subredes privadas. Una subred pública es una subred no asociada a la tabla de enrutamiento que tiene una ruta a la puerta de enlace de Internet.
- Se necesitan dos subredes privadas. Esto permite a Amazon MWAA crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.
- Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo, us-east-1a, us-east-1b.
- Las subredes deben tener una tabla de enrutamiento a los puntos de conexión de la VPC.
- Las subredes deben tener una tabla de enrutamiento a la EIGW para poder descargarla de Internet como parte de un DAG.
- Las subredes no deben tener una tabla de enrutamiento a un dispositivo NAT (puerta de enlace o instancia) ni una puerta de enlace de Internet.
Una Lista de control de acceso (ACL) de red). Una NACL gestiona (mediante reglas de permiso o denegación) el tráfico entrante y saliente a nivel de subred.
- La NACL debe tener una regla de entrada que permita todo el tráfico (0.0.0.0/0; use ::/0 para IPv6).
- La NACL debe tener una regla de salida que deniegue todo el tráfico (0.0.0.0/0; use ::/0 para IPv6).
- Por ejemplo, (Recomendado) Ejemplos de ACL.
Tabla de enrutamiento local. Una tabla de enrutamiento local es una ruta predeterminada para la comunicación dentro de la VPC.
- La tabla de enrutamiento local debe estar asociada a sus subredes privadas.
- La tabla de enrutamiento local debe permitir que las instancias de la VPC se comuniquen con su propia red. Por ejemplo, si usa un AWS Client VPN para acceder al punto de conexión de la interfaz de VPC de su servidor web de Apache Airflow, la tabla de enrutamiento debe enrutarse al punto de conexión de VPC.
Puntos de conexión de VPC para cada servicio de AWS usado por su entorno y puntos de conexión de VPC de Apache Airflow en la misma Región de AWS y Amazon VPC que su entorno de Amazon MWAA.
- Un punto final de VPC para cada servicio de AWS utilizado por el entorno y puntos de conexión de VPC para Apache Airflow. Por ejemplo, (Obligatorio) Puntos de conexión de VPC.
- Los puntos conexión de VPC deben tener habilitado el DNS privado.
- Los puntos de conexión de VPC deben estar asociados a las dos subredes privadas de su entorno.
- Los puntos de conexión de VPC deben estar asociados al grupo de seguridad de su entorno.
- Debe configurarse la política de puntos de conexión de VPC para cada punto de conexión para que permita el acceso a los servicios de AWS usados por el entorno. Por ejemplo, (Recomendado) Ejemplo de política de punto de conexión de VPC que permite todos los accesos.
- Para permitir el acceso de los bucket, debe configurarse una política de puntos de conexión de VPC para Amazon S3. Por ejemplo, (Recomendado) Ejemplo de política de puntos de conexión de la puerta de enlace de Amazon S3 que permite el acceso al bucket.

Ejemplos de casos de uso para un modo de acceso a Amazon VPC y Apache Airflow

En esta sección, se describen los diferentes casos de uso para el acceso a la red en su Amazon VPC y el modo de acceso al servidor web de Apache Airflow que debe elegir en la consola de Amazon MWAA.

Se permite el acceso a Internet: nueva red de Amazon VPC

Si su organización permite el acceso a Internet en su VPC y desea que los usuarios accedan a su servidor web de Apache Airflow a través de Internet:

Cree una red de Amazon VPC con acceso a Internet.
Cree un entorno con el modo de acceso de red pública para su servidor web de Apache Airflow.
Nuestra recomendación: le recomendamos que utilice la plantilla de inicio rápido de CloudFormation que crea la infraestructura de Amazon VPC, un bucket de Amazon S3 y un entorno de Amazon MWAA al mismo tiempo. Consulte Tutorial de inicio rápido de Amazon Managed Workflows para Apache Airflow para obtener más información.

Si su organización permite el acceso a Internet en su VPC y desea limitar el acceso de los usuarios a su servidor web de Apache Airflow dentro de su VPC:

Cree una red de Amazon VPC con acceso a Internet.
Cree un mecanismo para acceder al punto de conexión de la interfaz de la VPC de su servidor web de Apache Airflow desde su computadora.
Cree un entorno con el modo de acceso de red privada para su servidor web de Apache Airflow.
Recomendaciones:
1. Le recomendamos utilizar la consola de Amazon MWAA en Opción 1: crear la red de VPC en la consola de Amazon MWAA o la plantilla de CloudFormation en Opción 2: Creación de una red Amazon VPC con acceso a Internet.
2. Recomendamos configurar el acceso mediante un AWS Client VPN a su servidor web de Apache Airflow en Tutorial: Configuración del acceso a la red privada mediante una AWS Client VPN.

No se permite el acceso a Internet: nueva red de Amazon VPC

Si su organización no permite el acceso a Internet en su VPC:

Cree una red de Amazon VPC sin acceso a Internet.
Cree un mecanismo para acceder al punto de conexión de la interfaz de la VPC de su servidor web de Apache Airflow desde su computadora.
Cree puntos de conexión de VPC para cada servicio de AWS que utilice su entorno.
Cree un entorno con el modo de acceso de red privada para su servidor web de Apache Airflow.
Recomendaciones:
1. Recomendamos usar la plantilla de CloudFormation para crear una Amazon VPC sin acceso a Internet y los puntos de conexión de la VPC para cada servicio de AWS usado por Amazon MWAA en Opción 3: Creación de una red de Amazon VPC sin acceso a Internet.
2. Recomendamos configurar el acceso mediante un AWS Client VPN a su servidor web de Apache Airflow en Tutorial: Configuración del acceso a la red privada mediante una AWS Client VPN.

No se permite el acceso a Internet: red de Amazon VPC existente

Si su organización no permite el acceso a Internet en su VPC y usted ya dispone de la red de Amazon VPC necesaria sin acceso a Internet:

Cree puntos de conexión de VPC para cada servicio de AWS que utilice su entorno.
Cree puntos de conexión de VPC para Apache Airflow.
Cree un mecanismo para acceder al punto de conexión de la interfaz de la VPC de su servidor web de Apache Airflow desde su computadora.
Cree un entorno con el modo de acceso de red privada para su servidor web de Apache Airflow.
Recomendaciones:
1. Recomendamos crear y adjuntar los puntos de conexión de VPC necesarios para cada servicio de AWS utilizado por Amazon MWAA y los puntos de conexión de VPC necesarios para Apache Airflow en Creación de los puntos de conexión del servicio de VPC necesarios en una Amazon VPC con enrutamiento privado.
2. Recomendamos configurar el acceso mediante un AWS Client VPN a su servidor web de Apache Airflow en Tutorial: Configuración del acceso a la red privada mediante una AWS Client VPN.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Red

Seguridad en la VPC