Términos Elementos compatibles Información general sobre la infraestructura de la VPC Ejemplos de casos de uso para un modo de acceso a Amazon VPC y Apache Airflow

Acerca de las redes en Amazon MWAA

Una Amazon VPC es una red virtual vinculada a su. Cuenta de AWS Le ofrece seguridad en la nube y la capacidad de escalar de forma dinámica al proporcionar un control detallado de la infraestructura virtual y la segmentación del tráfico de la red. En esta página se describe la infraestructura de Amazon VPC con el enrutamiento público o privado necesario para admitir un entorno de Amazon Managed Workflows for Apache Airflow.

Contenido

Términos

Enrutamiento público: Una red de Amazon VPC con acceso a Internet.
Enrutamiento privado: Una red Amazon VPC sin acceso a Internet.

Elementos compatibles

En la siguiente tabla se describen los tipos de Amazon VPCs Amazon MWAA compatibles.

Tipos de Amazon VPC	Compatible
Amazon VPC propiedad de la cuenta que intenta crear el entorno.	Sí
Una Amazon VPC compartida en la que varios Cuentas de AWS crean sus recursos. AWS	Sí

Información general sobre la infraestructura de la VPC

Al crear un entorno de Amazon MWAA, Amazon MWAA crea entre uno y dos puntos de conexión de VPC para su entorno en función del modo de acceso a Apache Airflow que haya elegido para su entorno. Estos puntos de enlace se muestran como interfaces de red elásticas (ENIs) con privacidad IPs en su Amazon VPC. Una vez creados estos puntos de enlace, todo el tráfico destinado a ellos IPs se enruta de forma privada o pública a los AWS servicios correspondientes que utilice su entorno.

En la siguiente sección se describe la infraestructura de Amazon VPC necesaria para enrutar el tráfico de forma pública a través de Internet o de forma privada dentro de su Amazon VPC.

Enrutamiento público a través de Internet

En esta sección se describe la infraestructura de Amazon VPC de un entorno con enrutamiento público. Para ello, necesitará la siguiente infraestructura de la VPC:

Grupo de seguridad de la VPC. Un grupo de seguridad de VPC funciona como un firewall virtual de para controlar el tráfico entrante y saliente en una instancia.
- Se pueden especificar hasta 5 grupos de seguridad.
- El grupo de seguridad debe especificar una regla de entrada con autorreferencia para sí mismo.
- El grupo de seguridad debe especificar una regla de salida para todo el tráfico (para 0.0.0.0/0 IPv6, uso::/0).
- El grupo de seguridad debe permitir todo el tráfico de la regla de autorreferencia. Por ejemplo, (Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos .
- Opcionalmente, el grupo de seguridad puede restringir todavía más el tráfico especificando el rango de puertos para el rango de puertos HTTPS 443 y un rango de puertos TCP 5432. Por ejemplo, (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432 y (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443.
Dos subredes públicas. Una subred pública es una subred asociada a la tabla de ruteo con ruta a la gateway de internet.
- Se necesitan dos subredes públicas. Esto permite a Amazon MWAA crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.
- Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo, us-east-1a, us-east-1b.
- Las subredes deben enrutarse a una puerta de enlace NAT (o instancia NAT) con una dirección IP elástica (EIP).
- Las subredes deben tener una tabla de enrutamiento que dirija el tráfico con destino a Internet a una puerta de enlace a Internet.
Dos subredes privadas. Una subred privada es una subred que no está asociada a una tabla de enrutamiento que tenga una ruta a una puerta de enlace a Internet.
- Se necesitan dos subredes privadas. Esto permite a Amazon MWAA crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.
- Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo, us-east-1a, us-east-1b.
- Las subredes deben tener una tabla de enrutamiento a un dispositivo NAT (puerta de enlace o instancia).
- Las subredes no deben enrutarse a una puerta de enlace de Internet.
- assignIpV6AddressOnCreationEstablézcalo en true para IPv6 subredes.
- En el IPv6 caso de las subredes privadas, debe tener una conexión a una puerta de enlace a Internet de solo salida (EIGW).
Una Lista de control de acceso (ACL) de red. Una NACL gestiona (mediante reglas de permiso o denegación) el tráfico entrante y saliente a nivel de subred.
- La NACL debe tener una regla de entrada que permita todo el tráfico (para, uso). 0.0.0.0/0 IPv6 ::/0
- La NACL debe tener una regla de salida que permita todo el tráfico (0.0.0.0/0; para IPv6, usar). ::/0
- Por ejemplo, Ejemplo (recomendado) ACLs.
Dos puertas de enlace NAT (o instancias NAT). Un dispositivo NAT reenvía el tráfico de las instancias de la subred privada a Internet u otros AWS servicios y, a continuación, redirige la respuesta a las instancias.
- El dispositivo NAT debe estar conectado a una subred pública. (Un dispositivo NAT para cada subred pública.)
- El dispositivo NAT debe tener una IPv4 dirección elástica (EIP) conectada a cada subred pública.
Una puerta de enlace a Internet. Una pasarela de Internet conecta una Amazon VPC a Internet y a otros AWS servicios.
- Se debe conectar una puerta de enlace a Internet a la Amazon VPC.

Enrutamiento privado sin acceso a Internet

En esta sección se describe la infraestructura de Amazon VPC de un entorno con enrutamiento privado. Para ello, necesitará la siguiente infraestructura de la VPC:

Grupo de seguridad de la VPC. Un grupo de seguridad de VPC funciona como un firewall virtual de para controlar el tráfico entrante y saliente en una instancia.
- Se pueden especificar hasta 5 grupos de seguridad.
- El grupo de seguridad debe especificar una regla de entrada con autorreferencia para sí mismo.
- El grupo de seguridad debe especificar una regla de salida para todo el tráfico (0.0.0.0/0; para IPv6, uso::/0).
- El grupo de seguridad debe permitir todo el tráfico de la regla de autorreferencia. Por ejemplo, (Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos .
- Opcionalmente, el grupo de seguridad puede restringir todavía más el tráfico especificando el rango de puertos para el rango de puertos HTTPS 443 y un rango de puertos TCP 5432. Por ejemplo, (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432 y (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443.
Dos subredes privadas. Una subred privada es una subred que no está asociada a una tabla de enrutamiento que tenga una ruta a una puerta de enlace a Internet.
- Se necesitan dos subredes privadas. Esto permite a Amazon MWAA crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.
- Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo, us-east-1a, us-east-1b.
- Las subredes deben tener una tabla de enrutamiento a los puntos de conexión de la VPC.
- Las subredes deben tener una tabla de enrutamiento a una EIGW para poder descargarlas de Internet como parte de un DAG.
- Las subredes no deben tener una tabla de enrutamiento a un dispositivo NAT (puerta de enlace o instancia) ni a una puerta de enlace de Internet.
Una Lista de control de acceso (ACL) de red. Una NACL gestiona (mediante reglas de permiso o denegación) el tráfico entrante y saliente a nivel de subred.
- La NACL debe tener una regla de entrada que permita todo el tráfico (para 0.0.0.0/0 IPv6, uso). ::/0
- La NACL debe tener una regla de salida que deniegue todo el tráfico (0.0.0.0/0; for IPv6, use). ::/0
- Por ejemplo, Ejemplo (recomendado) ACLs.
Tabla de enrutamiento local. Una tabla de enrutamiento local es una ruta predeterminada para la comunicación dentro de la VPC.
- La tabla de enrutamiento local debe estar asociada a sus subredes privadas.
- La tabla de enrutamiento local debe permitir que las instancias de la VPC se comuniquen con su propia red. Por ejemplo, si utilizas un punto final para acceder AWS Client VPN al punto final de la interfaz de VPC de tu servidor web Apache Airflow, la tabla de enrutamiento debe enrutar al punto final de la VPC.
Puntos de enlace de VPC para cada AWS servicio utilizado por su entorno y puntos de enlace de VPC de Apache Airflow en el mismo entorno y Amazon VPC como su entorno de Amazon MWAA Región de AWS .
- Un punto final de VPC para cada AWS servicio utilizado por el entorno y puntos de enlace de VPC para Apache Airflow. Por ejemplo, (Obligatorio) Puntos de conexión de VPC.
- Los puntos conexión de VPC deben tener habilitado el DNS privado.
- Los puntos de conexión de VPC deben estar asociados a las dos subredes privadas de su entorno.
- Los puntos de conexión de VPC deben estar asociados al grupo de seguridad de su entorno.
- La política de punto final de VPC para cada punto final debe configurarse para permitir el acceso a AWS los servicios utilizados por el entorno. Por ejemplo, (Recomendado) Ejemplo de política de punto de conexión de VPC que permite todos los accesos.
- Se debe configurar una política de puntos de conexión de VPC para Amazon S3 para permitir el acceso a los buckets. Por ejemplo, (Recomendado) Ejemplo de política de puntos de conexión de la puerta de enlace de Amazon S3 que permite el acceso al bucket.

Ejemplos de casos de uso para un modo de acceso a Amazon VPC y Apache Airflow

En esta sección se describen los diferentes casos de uso para el acceso a la red en su Amazon VPC y el modo de acceso al servidor web Apache Airflow elegido en la consola de Amazon MWAA.

Se permite el acceso a Internet: nueva red de Amazon VPC

Si su organización permite el acceso a Internet en su VPC y desea que los usuarios accedan a su servidor web Apache Airflow a través de Internet:

Cree una red Amazon VPC con acceso a Internet.
Cree un entorno con el modo de acceso a la red pública para su servidor web Apache Airflow.
Lo que recomendamos: recomendamos utilizar la plantilla de AWS CloudFormation inicio rápido que crea la infraestructura de Amazon VPC, un bucket de Amazon S3 y un entorno de Amazon MWAA al mismo tiempo. Para obtener más información, consulte. Tutorial de inicio rápido de Amazon Managed Workflows para Apache Airflow

Si su organización permite el acceso a Internet en su VPC y desea limitar el acceso al servidor web Apache Airflow a los usuarios de su VPC:

Cree una red Amazon VPC con acceso a Internet.
Cree un mecanismo para acceder al punto final de la interfaz de VPC de su servidor web Apache Airflow desde su ordenador.
Cree un entorno con el modo de acceso a la red privada para su servidor web Apache Airflow.
Recomendaciones:
1. Recomendamos utilizar la consola de Amazon MWAA enOpción 1: crear la red de VPC en la consola de Amazon MWAA, o la AWS CloudFormation plantilla en. Segunda opción: crear una red Amazon VPC con acceso a Internet
2. Le recomendamos configurar el acceso mediante una AWS Client VPN a su servidor web Apache Airflow en. Tutorial: Configuración del acceso a la red privada mediante un AWS Client VPN

No se permite el acceso a Internet: nueva red de Amazon VPC

Si su organización no permite el acceso a Internet en su VPC:

Cree una red Amazon VPC sin acceso a Internet.
Cree un mecanismo para acceder al punto final de la interfaz de VPC de su servidor web Apache Airflow desde su ordenador.
Cree puntos de enlace de VPC para cada AWS servicio que utilice su entorno.
Cree un entorno con el modo de acceso a la red privada para su servidor web Apache Airflow.
Recomendaciones:
1. Recomendamos utilizar la AWS CloudFormation plantilla para crear una Amazon VPC sin acceso a Internet y los puntos de enlace de la VPC para cada servicio AWS utilizado por Amazon MWAA en. Opción 3: Crear una red Amazon VPC sin acceso a Internet
2. Le recomendamos configurar el acceso mediante una AWS Client VPN a su servidor web Apache Airflow en. Tutorial: Configuración del acceso a la red privada mediante un AWS Client VPN

No se permite el acceso a Internet: red de Amazon VPC existente

Si su organización no permite el acceso a Internet en su VPC y ya dispone de la red de Amazon VPC necesaria sin acceso a Internet:

Cree puntos de enlace de VPC para cada AWS servicio que utilice su entorno.
Cree puntos de conexión de VPC para Apache Airflow.
Cree un mecanismo para acceder al punto final de la interfaz de VPC de su servidor web Apache Airflow desde su ordenador.
Cree un entorno con el modo de acceso a la red privada para su servidor web Apache Airflow.
Recomendaciones:
1. Recomendamos crear y adjuntar los puntos de enlace de VPC necesarios para AWS cada servicio que utilice Amazon MWAA y los puntos de enlace de VPC necesarios para Apache Airflow in. Creación de los puntos de conexión del servicio de VPC necesarios en una Amazon VPC con enrutamiento privado
2. Le recomendamos configurar el acceso mediante una AWS Client VPN a su servidor web Apache Airflow en. Tutorial: Configuración del acceso a la red privada mediante un AWS Client VPN

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Redes

Seguridad en la VPC