Tutorial: Configuración del acceso a la red privada mediante un host bastión de Linux - Amazon Managed Workflows para Apache Airflow
Red privadaCasos de usoAntes de empezarObjetivosPaso uno: crear la instancia del bastiónPaso dos: crear el túnel SSHPaso tres: configurar el grupo de seguridad del bastión como regla de entradaPaso cuatro: copiar la URL de Apache AirflowPaso cinco: configurar los ajustes del proxyPaso seis: abrir la interfaz de usuario de Apache AirflowSiguientes pasos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Configuración del acceso a la red privada mediante un host bastión de Linux

En este tutorial, se explican los pasos necesarios para crear un túnel SSH desde su equipo hasta el servidor web Apache Airflow para su entorno Amazon Managed Workflows para Apache Airflow. Se asume que ya ha creado un entorno Amazon MWAA. Una vez configurado, un host bastión de Linux actúa como jump server que permite una conexión segura desde el equipo a los recursos de la VPC. A continuación, debe utilizar un complemento de administración de proxy SOCKS para controlar la configuración del proxy en su navegador y acceder a la interfaz de usuario de Apache Airflow.

Red privada

En este tutorial, se asume que ha elegido el modo de acceso Red privada para su servidor web Apache Airflow.

La imagen muestra la arquitectura de un entorno de Amazon MWAA con un servidor web privado.

El modo de acceso de red privada limita el acceso a la interfaz de usuario de Apache Airflow a los usuarios de su Amazon VPC a los que se les ha concedido acceso a la política de IAM de su entorno.

Al crear un entorno con acceso mediante red privada al servidor web, debe empaquetar todas sus dependencias en un archivo wheel de Python (.whl), y luego hacer referencia al .whl en su requirements.txt. Para obtener instrucciones sobre cómo empaquetar e instalar sus dependencias mediante el archivo wheel, consulte Administración de dependencias con archivos wheel de Python.

La imagen siguiente muestra dónde se encuentra la opción de red privada en la consola de Amazon MWAA.

La imagen que muestra dónde se encuentra la opción de red privada en la consola de Amazon MWAA.

Casos de uso

Puede utilizar este tutorial después de haber creado un entorno Amazon MWAA. Debe usar la misma Amazon VPC, los mismos grupos de seguridad de VPC y las mismas subredes públicas que su entorno.

Antes de empezar

  1. Compruebe los permisos de usuario. Asegúrese de que su cuenta en AWS Identity and Access Management (IAM) tenga permisos suficientes para crear y administrar los recursos de VPC.

  2. Utilice su VPC de Amazon MWAA. En este tutorial, se asume que está asociando el host bastión a una VPC existente. La Amazon VPC debe estar en la misma región que su entorno de Amazon MWAA y tener dos subredes privadas, tal y como se define en Creación de la red de VPC.

  3. Cree una clave de SSH. Debe crear una clave EC2 SSH de Amazon (.pem) en la misma región que su entorno de Amazon MWAA para conectarse a los servidores virtuales. Si no tienes una clave SSH, consulta Cómo crear o importar un par de claves en la Guía del EC2 usuario de Amazon.

Objetivos

En este tutorial, hará lo siguiente:

  1. Crear una instancia de host bastión de Linux mediante una plantilla de AWS CloudFormation para una VPC existente.

  2. Autorizar el tráfico entrante al grupo de seguridad de la instancia bastión mediante una regla de entrada en el puerto 22.

  3. Autorizar el tráfico de entrada del grupo de seguridad de un entorno de Amazon MWAA al grupo de seguridad de la instancia de bastión.

  4. Crear un túnel SSH hasta la instancia de bastión.

  5. Instala y configura el FoxyProxy complemento para el navegador Firefox para ver la interfaz de usuario de Apache Airflow.

Paso uno: crear la instancia del bastión

En la siguiente sección, se describen los pasos para crear la instancia de bastión de Linux mediante una AWS CloudFormation plantilla para una VPC existente en la AWS CloudFormation consola.

Creación del host bastión de Linux

  1. Abra la página de inicio rápido de implementación en la AWS CloudFormation consola.

  2. Utilice el selector de regiones de la barra de navegación para elegir la misma AWS región que su entorno de Amazon MWAA.

  3. Elija Next (Siguiente).

  4. Escriba un nombre en el campo de texto Nombre de pila, como mwaa-linux-bastion.

  5. En el panel Parámetros, Configuración de red, elija las siguientes opciones:

    1. Elija el ID de VPC de su entorno de Amazon MWAA.

    2. Elija el ID de subred pública 1 de su entorno de Amazon MWAA.

    3. Elija el ID de subred pública 2 de su entorno de Amazon MWAA.

    4. Introduzca el rango de direcciones más acotado posible (por ejemplo, un rango CIDR interno) en CIDR de acceso externo al bastión permitido.

      nota

      La forma más sencilla de identificar un rango es usar el mismo rango de CIDR que las subredes públicas. Por ejemplo, las subredes públicas de la AWS CloudFormation plantilla de la Creación de la red de VPC página son y. 10.192.10.0/24 10.192.11.0/24

  6. En el panel EC2 de configuración de Amazon, elige lo siguiente:

    1. Elija su clave SSH en la lista desplegable Nombre del par de claves.

    2. Introduzca un nombre en Nombre del host bastión.

    3. En Reenvío de TCP, elija verdadero.

      aviso

      En este paso, el reenvío de TCP debe establecerse como verdadero. De lo contrario, no podrá crear un túnel SSH en el siguiente paso.

  7. Seleccione Siguiente, Siguiente.

  8. Seleccione la casilla de confirmación y, a continuación, Crear pila.

Para obtener más información sobre la arquitectura de su host Linux Bastion, consulte Linux Bastion Hosts on the AWS Cloud: Architecture.

Paso dos: crear el túnel SSH

Los siguientes pasos describen cómo crear el túnel SSH en el bastión de Linux. Un túnel SSH recibe la solicitud de su dirección IP local al bastión de Linux, que es por lo que en los pasos anteriores el reenvío TCP para el bastión de Linux se configuró como true.

macOS/Linux
Creación de un túnel mediante la línea de comandos

  1. Abre la página de instancias en la EC2 consola de Amazon.

  2. Elija una instancia.

  3. Copia la dirección en el IPv4 DNS público. Por ejemplo, ec2-4-82-142-1.compute-1.amazonaws.com.

  4. En el símbolo del sistema, vaya hasta el directorio en el que está guardada la clave SSH.

  5. Ejecute el comando siguiente para conectarse a la instancia del bastión mediante SSH. Sustituya el valor de muestra por el nombre de la clave SSH en mykeypair.pem.

    ssh -i mykeypair.pem -N -D 8157 ec2-user@YOUR_PUBLIC_IPV4_DNS
Windows (PuTTY)
Creación de un túnel con PuTTY

  1. Abre la página de instancias en la EC2 consola de Amazon.

  2. Elija una instancia.

  3. Copia la dirección en el IPv4 DNS público. Por ejemplo, ec2-4-82-142-1.compute-1.amazonaws.com.

  4. Abra PuTTY y seleccione Sesión.

  5. Introduzca el nombre de host en Nombre de host como ec2-user@ YOUR_PUBLIC_IPV4_DNS y el puerto como. 22

  6. Expanda la pestaña SSH y seleccione Autent. En Archivo de clave privada para la autenticación, elija su archivo “ppk” local.

  7. En SSH, seleccione la pestaña Túneles y, a continuación, seleccione las opciones Dinámico y Autom.

  8. En Puerto de origen, agregue el puerto 8157 (o cualquier otro puerto que no se utilice) y, a continuación, deje el puerto Destino en blanco. Elija Agregar.

  9. Seleccione la pestaña Sesión e introduzca un nombre de sesión. Por ejemplo, SSH Tunnel.

  10. Elija Guardar y Abrir.

    nota

    Puede que tenga que introducir una contraseña para la clave pública.
nota

Si recibe un Permission denied (publickey) error, le recomendamos que utilice la AWSSupport-TroubleshootSSHherramienta y seleccione Ejecutar esta automatización (consola) para solucionar los problemas de la configuración de SSH.

Paso tres: configurar el grupo de seguridad del bastión como regla de entrada

El acceso a los servidores y el acceso regular a Internet desde los servidores se permite con un grupo de seguridad de mantenimiento especial adjunto a esos servidores. Los siguientes pasos describen cómo configurar el grupo de seguridad bastión como fuente de tráfico entrante al grupo de seguridad de VPC de un entorno.

  1. Abra la página Entornos en la consola de Amazon MWAA.

  2. Seleccione un entorno.

  3. En el panel Redes, elija Grupo de seguridad de VPC.

  4. Elija Editar reglas de entrada.

  5. Seleccione Agregar regla.

  6. Elija el ID del grupo de seguridad de la lista desplegable Origen.

  7. Deje las opciones restantes en blanco o establézcalas en sus valores predeterminados.

  8. Seleccione Guardar reglas.

Paso cuatro: copiar la URL de Apache Airflow

En los siguientes pasos, se describe cómo abrir la consola de Amazon MWAA y copiar la URL en la interfaz de usuario de Apache Airflow.

  1. Abra la página Entornos en la consola de Amazon MWAA.

  2. Seleccione un entorno.

  3. Copie la URL en la interfaz de usuario de Airflow para los pasos siguientes.

Paso cinco: configurar los ajustes del proxy

Si utiliza un túnel de SSH con enrutamiento de puertos dinámico, debe utilizar un complemento de administración de proxy de SOCKS para controlar los ajustes del proxy en el navegador. Por ejemplo, puedes usar la --proxy-server función de Chromium para iniciar una sesión de navegador o usar la FoxyProxy extensión en el navegador Mozilla FireFox .

Opción uno: configurar un túnel SSH utilizando el enrutamiento de puertos local

Si no desea utilizar un proxy SOCKS, puede configurar un túnel SSH al a través del enrutamiento de puertos local. El siguiente comando de ejemplo accede a la interfaz EC2 ResourceManagerweb de Amazon reenviando el tráfico por el puerto local 8157.

  1. Abra una nueva ventana del símbolo del sistema.

  2. Escriba el siguiente comando para abrir un túnel SSH.

    ssh -i mykeypair.pem -N -L 8157:YOUR_VPC_ENDPOINT_ID-vpce.YOUR_REGION.airflow.amazonaws.com:443 ubuntu@YOUR_PUBLIC_IPV4_DNS.YOUR_REGION.compute.amazonaws.com

    -L hace referencia al uso de enrutamiento de puertos local que le permite especificar un puerto local utilizado para reenviar datos al puerto remoto identificado en el servidor web local del nodo.

  3. Escriba http://localhost:8157/ en su navegador.

    nota

    Es posible que necesite utilizar https://localhost:8157/.

Opción dos: proxies a través de la línea de comandos

La mayoría de los navegadores web permiten configurar los proxies mediante una línea de comandos o un parámetro de configuración. Por ejemplo, con Chromium puede iniciar el navegador con el comando siguiente:

chromium --proxy-server="socks5://localhost:8157"

Esto inicia una sesión de navegador que utiliza el túnel SSH creado en los pasos anteriores para enviar sus solicitudes por proxy. Puede abrir la URL de su entorno privado de Amazon MWAA (con https://) de la siguiente manera:

https://YOUR_VPC_ENDPOINT_ID-vpce.YOUR_REGION.airflow.amazonaws.com/home.

Opción tres: uso de proxies para Mozilla Firefox FoxyProxy

El siguiente ejemplo muestra una configuración FoxyProxy estándar (versión 7.5.1) para Mozilla Firefox. FoxyProxy proporciona un conjunto de herramientas de administración de proxy. Le permite utilizar un servidor proxy para hacer coincidir URLs los patrones correspondientes a los dominios utilizados por la interfaz de usuario de Apache Airflow.

  1. En Firefox, abre la página de extensiones FoxyProxy estándar.

  2. Seleccione Agregar a Firefox.

  3. Elija Agregar.

  4. Elige el FoxyProxy icono en la barra de herramientas del navegador y selecciona Opciones.

  5. Copie el siguiente código y guárdelo localmente como mwaa-proxy.json. Sustituya el valor de YOUR_HOST_NAME muestra por la URL de Apache Airflow.

    {
  "e0b7kh1606694837384": {
    "type": 3,
    "color": "#66cc66",
    "title": "airflow",
    "active": true,
    "address": "localhost",
    "port": 8157,
    "proxyDNS": false,
    "username": "",
    "password": "",
    "whitePatterns": [
      {
        "title": "airflow-ui",
        "pattern": "YOUR_HOST_NAME",
        "type": 1,
        "protocols": 1,
        "active": true
      }
    ],
    "blackPatterns": [],
    "pacURL": "",
    "index": -1
  },
  "k20d21508277536715": {
    "active": true,
    "title": "Default",
    "notes": "These are the settings that are used when no patterns match a URL.",
    "color": "#0055E5",
    "type": 5,
    "whitePatterns": [
      {
        "title": "all URLs",
        "active": true,
        "pattern": "*",
        "type": 1,
        "protocols": 1
      }
    ],
    "blackPatterns": [],
    "index": 9007199254740991
  },
  "logging": {
    "active": true,
    "maxSize": 500
  },
  "mode": "patterns",
  "browserVersion": "82.0.3",
  "foxyProxyVersion": "7.5.1",
  "foxyProxyEdition": "standard"
}

  6. En el panel Importar ajustes desde FoxyProxy versiones 6.0+, selecciona Importar ajustes y selecciona el mwaa-proxy.json archivo.

  7. Seleccione OK.

Paso seis: abrir la interfaz de usuario de Apache Airflow

Los siguientes pasos describen cómo abrir la interfaz de usuario de Apache Airflow.

  1. Abra la página Entornos en la consola de Amazon MWAA.

  2. Elija Abrir interfaz de usuario de Airflow.

Siguientes pasos