Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Tutorial: Configuración del acceso a la red privada mediante una AWS Client VPN
En este tutorial, se explican los pasos necesarios para crear un túnel de VPN desde su equipo hasta el servidor web de Apache Airflow para su entorno de Amazon Managed Workflows para Apache Airflow. Para conectarse a Internet a través de un túnel de VPN, primero tendrá que crear un punto de conexión de AWS Client VPN. Una vez configurado, un punto de conexión Client VPN actúa como servidor VPN, lo que permite una conexión segura desde el equipo a los recursos de la VPC. A continuación, se conectará a la Client VPN desde su equipo mediante la [AWS Client VPN para escritorio](https://aws.amazon.com/vpn/client-vpn-download/).
**Topics**
+ [Red privada](#private-network-vpn-onconsole)
+ [Casos de uso](#private-network-vpn-usecases)
+ [Antes de empezar](#private-network-vpn-prereqs)
+ [Objetivos](#private-network-vpn-objectives)
+ [(Opcional) Paso uno: identificar la VPC, las reglas de CIDR y la seguridad de la VPC](#private-network-vpn-optional)
+ [Paso dos: crear los certificados de servidor y cliente](#private-network-vpn-certs)
+ [Paso tres: guardar la plantilla de CloudFormation localmente](#private-network-vpn-template)
+ [Paso cuatro: crear la pila CloudFormation de Client VPN](#private-network-vpn-create)
+ [Paso cinco: asociar subredes a su Client VPN](#private-network-vpn-associate)
+ [Paso seis: agregar una regla de entrada de autorizaciones al Client VPN](#private-network-vpn-autho)
+ [Paso siete: descargar el archivo de configuración del punto de conexión de Client VPN](#private-network-vpn-download)
+ [Paso ocho: conectarse a la AWS Client VPN](#private-network-vpn-connect)
+ [Siguientes pasos](#create-vpc-vpn-next-up)
## Red privada
En este tutorial, se asume que ha elegido el modo de acceso **red privada** para su servidor web de Apache Airflow.
El modo de acceso de red privada limita el acceso a la UI de Apache Airflow a los usuarios de *su Amazon VPC* a los que se les ha concedido acceso a [la política de IAM de su entorno](access-policies.md).
Al crear un entorno con acceso mediante red privada al servidor web, debe empaquetar todas sus dependencias en un archivo wheel de Python (`.whl`) y luego hacer referencia al `.whl` en su `requirements.txt`. Para obtener instrucciones sobre cómo empaquetar e instalar sus dependencias mediante el archivo wheel, consulte cómo [administrar dependencias con archivos wheel de Python](best-practices-dependencies.md#best-practices-dependencies-python-wheels).
En la siguiente imagen, se muestra dónde se encuentra la opción de **red privada** en la consola de Amazon MWAA.
## Casos de uso
Puede utilizar este tutorial antes o después de haber creado un entorno Amazon MWAA. Debe usar la misma Amazon VPC, los mismos grupos de seguridad de VPC y las mismas subredes privadas que su entorno. Si usa este tutorial después de haber creado un entorno de Amazon MWAA, una vez que haya completado los pasos, podrá volver a la consola de Amazon MWAA y cambiar el modo de acceso al servidor web Apache Airflow a **red privada**.
## Antes de empezar
1. Compruebe los permisos de usuario. Asegúrese de que su cuenta en AWS Identity and Access Management (IAM) tenga los permisos necesarios para crear y administrar los recursos de VPC.
1. Utilice su VPC de Amazon MWAA. En este tutorial, se asume que está asociando la Client VPN a una VPC existente. La VPC de Amazon debe estar en la misma Región de AWS que un entorno de Amazon MWAA y tener dos subredes privadas. Si no ha creado una Amazon VPC, utilice la plantilla de CloudFormation en [Opción 3: Creación de una red de Amazon VPC *sin* acceso a Internet](vpc-create.md#vpc-create-template-private-only).
## Objetivos
En este tutorial, hará lo siguiente:
1. Crear un punto de conexión AWS Client VPN mediante una plantilla de CloudFormation para una Amazon VPC existente.
1. Generar certificados y claves de servidor y cliente y, a continuación, cargar el certificado y la clave del servidor en AWS Certificate Manager en la misma Región de AWS que un entorno de Amazon MWAA.
1. Descargar y modificar un archivo de configuración de punto de conexión de Client VPN para su Client VPN y utilizar el archivo para crear un perfil de VPN para conectarse mediante Client VPN para escritorio.
## (Opcional) Paso uno: identificar la VPC, las reglas de CIDR y la seguridad de la VPC
En la siguiente sección, se describe cómo encontrar los ID de su Amazon VPC, su grupo de seguridad de VPC y una forma de identificar las reglas de CIDR que necesitará para crear su Client VPN en los pasos siguientes.
### Identificación de las reglas de su CIDR
En la siguiente sección, se muestra cómo identificar las reglas de su CIDR, que necesitará para crear su Client VPN.
**Identificación del CIDR de su Client VPN**
1. Abra la [página Sus Amazon VPC](https://console.aws.amazon.com/vpc/home#/vpcs:) en la consola de Amazon VPC.
1. Use el selector de región de la barra de navegación para elegir la misma Región de AWS que un entorno de Amazon MWAA.
1. Elija su Amazon VPC.
1. Supongamos que los CIDR de sus subredes privadas son:
+ Subred privada 1: 10.192.10.0 `/24`
+ Subred privada 2: 10.192.11.0 `/24`
Si el CIDR de su Amazon VPC es 10.192.0.0`/16`, el **CIDR de IPv4 de cliente** que especificaría para su Client VPN sería 10.192.0.0`/22`.
1. Guarde este valor de CIDR y el valor de su ID de VPC para los pasos siguientes.
### Identifique su VPC y los grupos de seguridad
En la siguiente sección, se muestra cómo encontrar el identificador de VPC de Amazon y de sus grupos de seguridad, que necesitará para crear su Client VPN.
**nota**
Puede que esté usando varios grupos de seguridad. Deberá especificar todos los grupos de seguridad de la VPC en los pasos siguientes.
**Pasos para identificar los grupos de seguridad**
1. Abra la [página Grupos de seguridad](https://console.aws.amazon.com/vpc/home#/securityGroups:) en la consola de Amazon VPC.
1. En la barra de navegación, use el selector de región para elegir la Región de AWS.
1. Busque la VPC de Amazon en el **identificador de la VPC** e identifique los grupos de seguridad asociados a la VPC.
1. Guarde el identificador de sus grupos de seguridad y de la VPC para los pasos siguientes.
## Paso dos: crear los certificados de servidor y cliente
Los puntos de enlace de Client VPN solo admiten claves RSA con un tamaño de 1024 bits y 2048 bits. En la sección siguiente, se explica cómo usar easy-rsa de OpenVPN para generar los certificados y las claves del servidor y el cliente y, luego, cargar los certificados en ACM mediante la AWS Command Line Interface (AWS CLI).
**Creación de certificados de cliente**
1. Siga estos pasos rápidos para crear y cargar los certificados en ACM mediante la AWS CLI en [autenticación y autorización de clientes: autenticación mutua](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/client-authentication.html#mutual).
1. En estos pasos, **debe** especificar la misma Región de AWS que un entorno de Amazon MWAA en el comando de la AWS CLI al cargar los certificados de servidor y cliente. A continuación, se muestran algunos ejemplos de cómo especificar la región en estos comandos:
1.
**Example región para el certificado de servidor**
```
aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt {{--region us-west-2}}
```
1.
**Example región para el certificado de cliente**
```
aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt {{--region us-west-2}}
```
1. Tras estos pasos, guarde el valor devuelto en la respuesta de la AWS CLI para los ARN del certificado de servidor y del certificado de cliente. Deberá especificar estos ARN en la plantilla de CloudFormation para crear la Client VPN.
1. En estos pasos, se guardan un certificado de cliente y una clave privada en su equipo. A continuación, se muestra un ejemplo de dónde encontrar estas credenciales:
1.
**Example en macOS**
En macOS, el contenido se guarda en `/Users/{{your-user}}/custom_folder`. Si incluye todos los contenidos (`ls -a`) de este directorio, debería ver algo parecido a lo siguiente:
```
.
..
ca.crt
client1.domain.tld.crt
client1.domain.tld.key
server.crt
server.key
```
1. Tras estos pasos, guarde el contenido o anote la ubicación del certificado de cliente en `client1.domain.tld.crt` y la clave privada en `client1.domain.tld.key`. Deberá agregar estos valores al archivo de configuración de su Client VPN.
## Paso tres: guardar la plantilla de CloudFormation localmente
La siguiente sección contiene la plantilla de CloudFormation para crear la Client VPN. Debe especificar la misma VPC de Amazon, los mismos grupos de seguridad de VPC y las mismas subredes privadas que su entorno Amazon MWAA.
+ Copie el contenido de la siguiente plantilla y guárdelo localmente como `mwaa_vpn_client.yaml`. También puede [descargar la plantilla](./samples/mwaa_vpn_client.zip).
Sustituya los valores siguientes:
+ **YOUR\_CLIENT\_ROOT\_CERTIFICATE\_ARN**: el ARN de su certificado **client1.domain.tld** en `ClientRootCertificateChainArn`.
+ **YOUR\_SERVER\_CERTIFICATE\_ARN**: el ARN del certificado de su **servidor** en `ServerCertificateArn`.
+ La regla CIDR de IPv4 del cliente en `ClientCidrBlock`. Se proporciona una regla CIDR de `10.192.0.0/22`.
+ Su ID de Amazon VPC en `VpcId`. Se proporciona un VPC de `vpc-010101010101`.
+ Sus identificadores de grupo de seguridad de VPC en `SecurityGroupIds`. Se proporciona un grupo de seguridad de `sg-0101010101`.
```
AWSTemplateFormatVersion: 2010-09-09
Description: This template deploys a VPN Client Endpoint.
Resources:
ClientVpnEndpoint:
Type: 'AWS::EC2::ClientVpnEndpoint'
Properties:
AuthenticationOptions:
- Type: "certificate-authentication"
MutualAuthentication:
ClientRootCertificateChainArn: "YOUR_CLIENT_ROOT_CERTIFICATE_ARN"
ClientCidrBlock: 10.192.0.0/22
ClientConnectOptions:
Enabled: false
ConnectionLogOptions:
Enabled: false
Description: "MWAA Client VPN"
DnsServers: []
SecurityGroupIds:
- sg-0101010101
SelfServicePortal: ''
ServerCertificateArn: "YOUR_SERVER_CERTIFICATE_ARN"
SplitTunnel: true
TagSpecifications:
- ResourceType: "client-vpn-endpoint"
Tags:
- Key: Name
Value: MWAA-Client-VPN
TransportProtocol: udp
VpcId: vpc-010101010101
VpnPort: 443
```
**nota**
Si utiliza más de un grupo de seguridad para su entorno, puede especificar varios grupos de seguridad en el siguiente formato:
```
SecurityGroupIds:
- sg-0112233445566778b
- sg-0223344556677889f
```
## Paso cuatro: crear la pila CloudFormation de Client VPN
**Cómo crear el AWS Client VPN**
1. Abra la [consola de AWS CloudFormation](https://console.aws.amazon.com/cloudformation/home#).
1. Seleccione **La plantilla está lista** y **Cargar un archivo de plantilla**.
1. Seleccione **Elegir archivo** y seleccione su archivo `mwaa_vpn_client.yaml`.
1. Seleccione **Siguiente**, **Siguiente**.
1. Seleccione la casilla de confirmación y, a continuación, **Crear pila**.
## Paso cinco: asociar subredes a su Client VPN
**Cómo asociar subredes privadas a la AWS Client VPN**
1. Abra la [consola de Amazon VPC](https://console.aws.amazon.com/vpc/home#).
1. Seleccione la página **Puntos de enlace de Client VPN**.
1. Seleccione su Client VPN y, a continuación, elija la pestaña **Asociaciones**, **Asociar**.
1. Elija lo siguiente en la lista desplegable:
+ Su Amazon VPC en **VPC**.
+ Una de sus subredes privadas en **Elegir una subred para asociar**.
1. Elija **Asociar**.
**nota**
La VPC y la subred tardan varios minutos en asociarse a Client VPN.
## Paso seis: agregar una regla de entrada de autorizaciones al Client VPN
Debe agregar una regla de entrada de autorización mediante la regla CIDR para su VPC a su Client VPN. Si desea autorizar usuarios o grupos específicos de su grupo de Active Directory o proveedor de identidad (IdP) basado en SAML, consulte [las reglas de autorización](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-rules.html) en la *guía de Client VPN*.
**Cómo añadir el CIDR a la AWS Client VPN**
1. Abra la [consola de Amazon VPC](https://console.aws.amazon.com/vpc/home#).
1. Seleccione la página **Puntos de enlace de Client VPN**.
1. Seleccione su Client VPN y, a continuación, elija la pestaña **Autorización**, **Autorizar entrada**.
1. Especifique lo siguiente:
+ La regla CIDR de su Amazon VPC en **Red de destino que se habilitará**. Por ejemplo:
```
10.192.0.0/16
```
+ En **Conceder acceso a**, elija **Permitir el acceso a todos los usuarios**.
+ En **Descripción**, escriba un nombre descriptivo.
1. Seleccione **Agregar regla de autorización**.
**nota**
Según los componentes de red de su VPC de Amazon, es posible que también necesite esta regla de autorización de entrada a su lista de control de acceso a la red (NACL).
## Paso siete: descargar el archivo de configuración del punto de conexión de Client VPN
**Cómo descargar el archivo de configuración**
1. Siga estos pasos rápidos para descargar el archivo de configuración de Client VPN en [Descargar el archivo de configuración de punto de conexión de Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html#cvpn-getting-started-config).
1. En estos pasos, se le pedirá que añada una cadena al nombre de DNS del punto de conexión de Client VPN. A continuación se muestra un ejemplo:
1.
**Example nombre de DNS del punto de conexión**
Si el nombre de DNS del punto de conexión de Client VPN tiene el siguiente aspecto:
```
remote cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443
```
Puede agregar una cadena para identificar el punto de conexión de Client VPN de la siguiente manera:
```
remote {{mwaavpn}}.cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443
```
1. En estos pasos, se le pide que agregue el contenido del certificado de cliente entre un nuevo conjunto de etiquetas `` y el contenido de la clave privada entre un nuevo conjunto de etiquetas ``. A continuación se muestra un ejemplo:
1. Abra un símbolo del sistema y cambie los directorios a la ubicación del certificado de cliente y la clave privada.
1.
**Example macOS client1.domain.tld.crt**
Para mostrar el contenido del archivo `client1.domain.tld.crt` en macOS, puede usar `cat client1.domain.tld.crt`.
Copie el valor del terminal y péguelo en `downloaded-client-config.ovpn` así:
```
ZZZ1111dddaBBB
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{YOUR client1.domain.tld.crt}}
-----END CERTIFICATE-----
```
1.
**Example macOS client1.domain.tld.key**
Para mostrar el contenido de `client1.domain.tld.key`, puede utilizar `cat client1.domain.tld.key`.
Copie el valor del terminal y péguelo en `downloaded-client-config.ovpn` así:
```
ZZZ1111dddaBBB
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{YOUR client1.domain.tld.crt}}
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{YOUR client1.domain.tld.key}}
-----END CERTIFICATE-----
```
## Paso ocho: conectarse a la AWS Client VPN
El cliente para AWS Client VPN se proporciona de forma gratuita. Puede conectar su equipo directamente a AWS Client VPN para disfrutar de una experiencia de VPN integral.
**Conexión a Client VPN**
1. Descargue e instale [AWS Client VPN para escritorio](https://aws.amazon.com/vpn/client-vpn-download/).
1. Abra la AWS Client VPN.
1. Seleccione **Archivo**, **Perfiles administrados** en el menú del cliente VPN.
1. Seleccione **Agregar perfil** y, a continuación, elija `downloaded-client-config.ovpn`.
1. Introduzca un nombre descriptivo en **Nombre público**.
1. Seleccione **Agregar perfil**, **Listo**.
1. Elija **Conectar**.
Después de conectarse a Client VPN, tendrá que desconectarse de otras VPN para ver cualquiera de los recursos de su VPC de Amazon.
**nota**
Es posible que tenga que salir del cliente y empezar de nuevo antes de poder conectarse.
## Siguientes pasos
+ Obtenga información sobre cómo crear un entorno Amazon MWAA en [Introducción a Amazon Managed Workflows para Apache Airflow](get-started.md). Debe crear un entorno en la misma Región de AWS que Client VPN y usar la misma VPC, las mismas subredes privadas y el mismo grupo de seguridad que Client VPN.