Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Acerca de las redes en Amazon MWAA
Una Amazon VPC es una red virtual vinculada a su. Cuenta de AWS Le ofrece seguridad en la nube y la capacidad de escalar de forma dinámica al proporcionar un control detallado de la infraestructura virtual y la segmentación del tráfico de la red. En esta página se describe la infraestructura de Amazon VPC con el enrutamiento público, el enrutamiento privado o el enrutamiento tanto público como privado necesarios para admitir un entorno de Amazon Managed Workflows para Apache Airflow.
Términos
- Enrutamiento público
-
Red de Amazon VPC con acceso a Internet.
- Enrutamiento privado
-
Red de Amazon VPC sin acceso a Internet.
Elementos compatibles
En la siguiente tabla se describen los tipos de Amazon VPC compatibles con Amazon MWAA.
| Tipos de Amazon VPC | compatible |
|---|---|
|
Amazon VPC propiedad de la cuenta que intenta crear el entorno. |
Sí |
|
Una Amazon VPC compartida en la que varios Cuentas de AWS crean sus recursos. AWS |
Sí |
Información general sobre la infraestructura de la VPC
Al crear un entorno de Amazon MWAA, Amazon MWAA crea entre uno y dos puntos de conexión de VPC para su entorno en función del modo de acceso a Apache Airflow que haya elegido para su entorno. Estos puntos de conexión aparecen como interfaces de red elástica (ENI) con IP privadas en su Amazon VPC. Una vez creados estos puntos de enlace, todo el tráfico destinado a estas IP se enruta de forma privada o pública a los AWS servicios correspondientes que utilice su entorno.
En la siguiente sección, se describe la infraestructura de Amazon VPC necesaria para enrutar el tráfico de forma pública a través de Internet o de forma privada en su Amazon VPC.
Enrutamiento público a través de Internet
En esta sección se describe la infraestructura de Amazon VPC de un entorno con enrutamiento público. Para ello, necesitará la siguiente infraestructura de la VPC:
-
Grupo de seguridad de la VPC. Un grupo de seguridad de VPC funciona como un firewall virtual de para controlar el tráfico entrante y saliente en una instancia.
-
Se pueden especificar hasta 5 grupos de seguridad.
-
El grupo de seguridad debe especificar una regla de entrada con autorreferencia para sí mismo.
-
El grupo de seguridad debe especificar una regla de salida para todo el tráfico (
0.0.0.0/0; use::/0para IPv6). -
El grupo de seguridad debe permitir todo el tráfico de la regla de autorreferencia. Por ejemplo, (Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos.
-
Opcionalmente, el grupo de seguridad puede restringir todavía más el tráfico especificando el rango de puertos para el rango de puertos HTTPS
443y un rango de puertos TCP5432. Por ejemplo, (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432 y (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443.
-
-
Dos subredes públicas. Una subred pública es una subred asociada a la tabla de ruteo con ruta a la gateway de internet.
-
Se necesitan dos subredes públicas. Esto permite a Amazon MWAA crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.
-
Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo,
us-east-1a,us-east-1b. -
Las subredes deben enrutarse a una puerta de enlace NAT (o instancia NAT) con una dirección IP elástica (EIP).
-
Las subredes deben tener una tabla de enrutamiento que dirija el tráfico vinculado a Internet a la puerta de enlace de Internet.
-
-
Dos subredes privadas. Una subred pública es una subred no asociada a la tabla de enrutamiento que tiene una ruta a la puerta de enlace de Internet.
-
Se necesitan dos subredes privadas. Esto permite a Amazon MWAA crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.
-
Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo,
us-east-1a,us-east-1b. -
Las subredes deben tener una tabla de enrutamiento a un dispositivo NAT (puerta de enlace o instancia).
-
Las subredes no deben tener una ruta hacia una puerta de enlace de Internet.
-
Establezca
assignIpV6AddressOnCreationcomotruepara subredes IPv6. -
Para las subredes privadas IPv6, debe tener una conexión a la puerta de enlace de Internet de solo salida (EIGW).
-
-
Una Lista de control de acceso (ACL) de red. Una NACL gestiona (mediante reglas de permiso o denegación) el tráfico entrante y saliente a nivel de subred.
-
La NACL debe tener una regla de entrada que permita todo el tráfico (
0.0.0.0/0; use::/0para IPv6). -
La NACL debe tener una regla de salida que permita todo el tráfico (
0.0.0.0/0; use::/0para IPv6). -
Por ejemplo, Ejemplo (recomendado) ACLs.
-
-
Dos puertas de enlace NAT (o instancias NAT). Un dispositivo NAT reenvía el tráfico de las instancias de la subred privada a Internet u otros AWS servicios y, a continuación, redirige la respuesta a las instancias.
-
El dispositivo NAT debe estar conectado a una subred pública. (Un dispositivo NAT para cada subred pública.)
-
El dispositivo NAT debe tener una dirección IPv4 elástica (EIP) conectada a cada subred pública.
-
-
Una puerta de enlace a Internet. Una pasarela de Internet conecta una Amazon VPC a Internet y a otros AWS servicios.
-
Una puerta de enlace de Internet debe asociarse a la Amazon VPC.
-
Enrutamiento privado sin acceso a Internet
En esta sección se describe la infraestructura de Amazon VPC de un entorno con enrutamiento privado. Para ello, necesitará la siguiente infraestructura de la VPC:
-
Grupo de seguridad de la VPC. Un grupo de seguridad de VPC funciona como un firewall virtual de para controlar el tráfico entrante y saliente en una instancia.
-
Se pueden especificar hasta 5 grupos de seguridad.
-
El grupo de seguridad debe especificar una regla de entrada con autorreferencia para sí mismo.
-
El grupo de seguridad debe especificar una regla de salida para todo el tráfico (
0.0.0.0/0; use::/0para IPv6). -
El grupo de seguridad debe permitir todo el tráfico de la regla de autorreferencia. Por ejemplo, (Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos.
-
Opcionalmente, el grupo de seguridad puede restringir todavía más el tráfico especificando el rango de puertos para el rango de puertos HTTPS
443y un rango de puertos TCP5432. Por ejemplo, (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432 y (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443.
-
-
Dos subredes privadas. Una subred pública es una subred no asociada a la tabla de enrutamiento que tiene una ruta a la puerta de enlace de Internet.
-
Se necesitan dos subredes privadas. Esto permite a Amazon MWAA crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.
-
Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo,
us-east-1a,us-east-1b. -
Las subredes deben tener una tabla de enrutamiento a los puntos de conexión de la VPC.
-
Las subredes deben tener una tabla de enrutamiento a la EIGW para poder descargarla de Internet como parte de un DAG.
-
Las subredes no deben tener una tabla de enrutamiento a un dispositivo NAT (puerta de enlace o instancia) ni una puerta de enlace de Internet.
-
-
Una Lista de control de acceso (ACL) de red. Una NACL gestiona (mediante reglas de permiso o denegación) el tráfico entrante y saliente a nivel de subred.
-
La NACL debe tener una regla de entrada que permita todo el tráfico (
0.0.0.0/0; use::/0para IPv6). -
La NACL debe tener una regla de salida que deniegue todo el tráfico (
0.0.0.0/0; use::/0para IPv6). -
Por ejemplo, Ejemplo (recomendado) ACLs.
-
-
Tabla de enrutamiento local. Una tabla de enrutamiento local es una ruta predeterminada para la comunicación dentro de la VPC.
-
La tabla de enrutamiento local debe estar asociada a sus subredes privadas.
-
La tabla de enrutamiento local debe permitir que las instancias de la VPC se comuniquen con su propia red. Por ejemplo, si utilizas un punto final para acceder AWS Client VPN al punto final de la interfaz de VPC de tu servidor web Apache Airflow, la tabla de enrutamiento debe enrutar al punto final de la VPC.
-
-
Puntos de enlace de VPC para cada AWS servicio utilizado por su entorno y puntos de enlace de VPC de Apache Airflow en el mismo entorno y Amazon VPC como su entorno de Amazon MWAA Región de AWS .
-
Un punto final de VPC para cada AWS servicio utilizado por el entorno y puntos de enlace de VPC para Apache Airflow. Por ejemplo, (Obligatorio) Puntos de conexión de VPC.
-
Los puntos conexión de VPC deben tener habilitado el DNS privado.
-
Los puntos de conexión de VPC deben estar asociados a las dos subredes privadas de su entorno.
-
Los puntos de conexión de VPC deben estar asociados al grupo de seguridad de su entorno.
-
La política de punto final de VPC para cada punto final debe configurarse para permitir el acceso a AWS los servicios utilizados por el entorno. Por ejemplo, (Recomendado) Ejemplo de política de punto de conexión de VPC que permite todos los accesos.
-
Para permitir el acceso de los bucket, debe configurarse una política de puntos de conexión de VPC para Amazon S3. Por ejemplo, (Recomendado) Ejemplo de política de puntos de conexión de la puerta de enlace de Amazon S3 que permite el acceso al bucket.
-
Ejemplos de casos de uso para un modo de acceso a Amazon VPC y Apache Airflow
En esta sección, se describen los diferentes casos de uso para el acceso a la red en su Amazon VPC y el modo de acceso al servidor web de Apache Airflow que debe elegir en la consola de Amazon MWAA.
Se permite el acceso a Internet: nueva red de Amazon VPC
Si su organización permite el acceso a Internet en su VPC y desea que los usuarios accedan a su servidor web de Apache Airflow a través de Internet:
-
Cree una red de Amazon VPC con acceso a Internet.
-
Cree un entorno con el modo de acceso de red pública para su servidor web de Apache Airflow.
-
Lo que recomendamos: recomendamos utilizar la plantilla de CloudFormation inicio rápido que crea la infraestructura de Amazon VPC, un bucket de Amazon S3 y un entorno de Amazon MWAA al mismo tiempo. Consulte Tutorial de inicio rápido de Amazon Managed Workflows para Apache Airflow para obtener más información.
Si su organización permite el acceso a Internet en su VPC y desea limitar el acceso de los usuarios a su servidor web de Apache Airflow dentro de su VPC:
-
Cree una red de Amazon VPC con acceso a Internet.
-
Cree un mecanismo para acceder al punto de conexión de la interfaz de la VPC de su servidor web de Apache Airflow desde su computadora.
-
Cree un entorno con el modo de acceso de red privada para su servidor web de Apache Airflow.
-
Recomendaciones:
-
Recomendamos utilizar la consola de Amazon MWAA enOpción 1: crear la red de VPC en la consola de Amazon MWAA, o la CloudFormation plantilla en. Opción 2: Creación de una red Amazon VPC con acceso a Internet
-
Le recomendamos configurar el acceso mediante una AWS Client VPN a su servidor web Apache Airflow en. Tutorial: Configuración del acceso a la red privada mediante un AWS Client VPN
-
No se permite el acceso a Internet: nueva red de Amazon VPC
Si su organización no permite el acceso a Internet en su VPC y desea que el servidor web Apache Airflow siga siendo accesible a través de Internet:
-
Cree una red de Amazon VPC sin acceso a Internet.
-
Cree un entorno con el modo de acceso a la red pública y privada para su servidor web Apache Airflow. Esta opción está disponible para Apache Airflow versión 3.2.1 y versiones posteriores.
-
Lo que recomendamos: recomendamos utilizar la CloudFormation plantilla para crear una Amazon VPC sin acceso a Internet y los puntos de enlace de la VPC para cada servicio AWS utilizado por Amazon MWAA en. Opción 3: Creación de una red de Amazon VPC sin acceso a Internet
Si su organización no permite el acceso a Internet en su VPC y desea limitar el acceso al servidor web Apache Airflow a los usuarios de su VPC:
-
Cree una red de Amazon VPC sin acceso a Internet.
-
Cree un mecanismo para acceder al punto de conexión de la interfaz de la VPC de su servidor web de Apache Airflow desde su computadora.
-
Cree puntos de enlace de VPC para cada AWS servicio que utilice su entorno.
-
Cree un entorno con el modo de acceso de red privada para su servidor web de Apache Airflow.
-
Recomendaciones:
-
Recomendamos utilizar la CloudFormation plantilla para crear una Amazon VPC sin acceso a Internet y los puntos de enlace de la VPC para cada servicio AWS utilizado por Amazon MWAA en. Opción 3: Creación de una red de Amazon VPC sin acceso a Internet
-
Le recomendamos configurar el acceso mediante una AWS Client VPN a su servidor web Apache Airflow en. Tutorial: Configuración del acceso a la red privada mediante un AWS Client VPN
-
No se permite el acceso a Internet: red de Amazon VPC existente
Si su organización no permite el acceso a Internet en su VPC y usted ya dispone de la red de Amazon VPC necesaria sin acceso a Internet:
-
Cree puntos de enlace de VPC para cada AWS servicio que utilice su entorno.
-
Cree puntos de conexión de VPC para Apache Airflow.
-
Cree un mecanismo para acceder al punto de conexión de la interfaz de la VPC de su servidor web de Apache Airflow desde su computadora.
-
Cree un entorno con el modo de acceso de red privada para su servidor web de Apache Airflow.
-
Recomendaciones:
-
Recomendamos crear y adjuntar los puntos de enlace de VPC necesarios para AWS cada servicio que utilice Amazon MWAA y los puntos de enlace de VPC necesarios para Apache Airflow in. Creación de los puntos de conexión del servicio de VPC necesarios en una Amazon VPC con enrutamiento privado
-
Le recomendamos configurar el acceso mediante una AWS Client VPN a su servidor web Apache Airflow en. Tutorial: Configuración del acceso a la red privada mediante un AWS Client VPN
-