Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración del acceso a los puntos de conexión de Amazon VPC específicos del servicio en Amazon MWAA
Un punto de conexión de VPC (AWS PrivateLink) permite conectar de forma privada una VPC a los servicios alojados en AWS sin necesidad de una puerta de enlace de Internet, un dispositivo NAT, una VPN ni proxies de firewall. Estos puntos de conexión son dispositivos con escalabilidad horizontal y alta disponibilidad que permiten la comunicación entre las instancias de su VPC y los servicios de AWS. En esta página, se describen los puntos de conexión de VPC creados por Amazon MWAA y cómo acceder al punto de conexión de VPC del servidor web Apache Airflow si ha elegido el modo de acceso de Red privada en Amazon Managed Workflows para Apache Airflow.
Contenido
Precios
Descripción de puntos de conexión de VPC
Cuando crea un entorno Amazon MWAA, Amazon MWAA crea entre uno y dos puntos de conexión de VPC para dicho entorno. Estos puntos de conexión aparecen como interfaces de red elástica (ENI) con IP privadas en Amazon VPC. Una vez creados estos puntos de conexión, todo el tráfico destinado a estas IP se enruta de forma privada o pública a los servicios de AWS correspondientes que utilice su entorno.
Modo de acceso mediante red pública
Si elige el modo de acceso de Red pública para su servidor web Apache Airflow, el tráfico de la red se enruta públicamente a través de Internet.
-
Amazon MWAA crea un punto de conexión de la interfaz de la VPC para su base de datos de metadatos de Amazon Aurora PostgreSQL. El punto de conexión se crea en las zonas de disponibilidad correspondientes a sus subredes privadas y es independiente de las demás Cuentas de AWS.
-
A continuación, Amazon MWAA vincula una dirección IP de sus subredes privadas a los puntos de conexión de la interfaz. Se ha diseñado de esta manera siguiendo la práctica recomendada de vincular una sola IP de cada zona de disponibilidad de la VPC de Amazon.
Modo de acceso mediante red privada
Si elige el modo de acceso de Red privada para su servidor web Apache Airflow, el tráfico de red se enruta de forma privada dentro de Amazon VPC.
-
Amazon MWAA crea un punto de conexión de la interfaz de la VPC para el servidor web Apache Airflow y un punto de conexión de la interfaz para la base de datos de metadatos de Amazon Aurora PostgreSQL. Los puntos de conexión se crean en las zonas de disponibilidad asignadas a sus subredes privadas y son independientes de otras Cuentas de AWS.
-
A continuación, Amazon MWAA vincula una dirección IP de sus subredes privadas a los puntos de conexión de la interfaz. Se ha diseñado de esta manera siguiendo la práctica recomendada de vincular una sola IP de cada zona de disponibilidad de la VPC de Amazon.
Permiso para usar otros servicios de AWS
Los puntos de conexión de la interfaz utilizan el rol de ejecución de su entorno en AWS Identity and Access Management (IAM) para administrar los permisos de los recursos de AWS utilizados por su entorno. Según se vayan habilitando más servicios de AWS para un entorno, será necesario configurar permisos para cada uno de ellos usando el rol de ejecución del entorno. Para agregar permisos, consulte Rol de ejecución de Amazon MWAA.
Si elige el modo de acceso de Red privada para su servidor web Apache Airflow, también debe habilitar el permiso en la política de punto de conexión de VPC para cada punto de conexión. Consulte Políticas de puntos de conexión de VPC (solo enrutamiento privado) para obtener más información.
Acceso a los puntos de conexión de VPC
En esta sección, se describe cómo acceder a los puntos de conexión de VPC creados por Amazon MWAA y cómo identificar las direcciones IP privadas de su punto de conexión de VPC Apache Airflow.
Acceso a puntos de conexión de VPC en la consola de Amazon VPC
En la siguiente sección, se muestran los pasos para acceder a los puntos de conexión de VPC creados por Amazon MWAA y cualquier punto de conexión de VPC que haya creado si usa un enrutamiento privado para Amazon VPC.
Para acceder a los puntos de conexión de VPC
-
Abra la página Puntos de conexión
de la consola de Amazon VPC. -
Seleccione su Región de AWS.
-
Consulte los puntos de conexión de la interfaz de VPC creados por Amazon MWAA y cualquier punto de conexión de VPC que haya creado si usa un enrutamiento privado en Amazon VPC.
Para obtener más información sobre los puntos de conexión del servicio de VPC que se requieren para una Amazon VPC con enrutamiento privado, consulte Creación de los puntos de conexión del servicio de VPC necesarios en una Amazon VPC con enrutamiento privado.
Identificación de direcciones IP privadas del servidor web Apache Airflow y el punto de conexión de VPC
En los siguientes pasos, se describe cómo recuperar el nombre de host del servidor web Apache Airflow y el punto de conexión de la interfaz de VPC, así como las direcciones IP privadas.
-
Use el siguiente comando de la AWS Command Line Interface (AWS CLI) para recuperar el nombre de host del servidor web Apache Airflow.
aws mwaa get-environment --nameYOUR_ENVIRONMENT_NAME--query 'Environment.WebserverUrl'Debería ver algo similar a la siguiente respuesta:
"99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com" -
Ejecute un comando dig en el nombre de host devuelto en la respuesta al comando anterior. Por ejemplo:
dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce---c10---us-west-2---airflow.amazonaws.com.rproxy.govskope.caDebería ver algo similar a la siguiente respuesta:
vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com. -
Use el siguiente comando de la AWS Command Line Interface (AWS CLI) para recuperar el nombre DNS del punto de conexión de VPC devuelto en la respuesta al comando anterior. Por ejemplo:
aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr---vpce-svc-00bb7c2ca2213bc37---us-west-2---vpce.amazonaws.com.rproxy.govskope.ca.Debería ver algo similar a la siguiente respuesta:
"DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com", -
Ejecute un comando nslookup o dig en el nombre de host de Apache Airflow y en el nombre DNS del punto de conexión de VPC para recuperar las direcciones IP. Por ejemplo:
dig +shortYOUR_AIRFLOW_HOST_NAMEYOUR_AIRFLOW_VPC_ENDPOINT_DNSDebería ver algo similar a la siguiente respuesta:
192.0.5.1 192.0.6.1
Acceso al punto de conexión de VPC del servidor web Apache Airflow (acceso mediante red privada)
Si elige el modo de acceso de red privada para su servidor web Apache Airflow, tendrá que crear un mecanismo para acceder al punto de conexión de la interfaz de VPC de su servidor web Apache Airflow. Debe usar la misma Amazon VPC, el mismo grupo de seguridad de VPC y las mismas subredes privadas que su entorno de Amazon MWAA para estos recursos.
Uso de AWS Client VPN
AWS Client VPN es un servicio de VPN basado en cliente administrado que permite obtener acceso de forma segura a sus recursos de AWS y otros recursos en la red local. Proporciona una conexión TLS segura desde cualquier ubicación mediante el cliente OpenVPN.
Recomendamos seguir el tutorial de Amazon MWAA para configurar una Client VPN: Tutorial: Configuración del acceso a la red privada mediante una AWS Client VPN.
Uso de un host bastión de Linux
Un host bastión es un servidor cuya finalidad es proporcionar acceso a una red privada desde una red externa, por ejemplo, a través de Internet desde su equipo. Las instancias de Linux se encuentran en una subred pública y están configuradas con un grupo de seguridad que permite el acceso SSH desde el grupo de seguridad adjunto a la instancia Amazon EC2 subyacente que ejecuta el host bastión.
Recomendamos seguir el tutorial de Amazon MWAA para configurar un host bastión de Linux: Tutorial: Configuración del acceso a la red privada mediante un host bastión de Linux.
Uso de un equilibrador de carga (avanzado)
En la siguiente sección, se muestran las configuraciones que necesitará aplicar a un equilibrador de carga de aplicación.
-
Grupos de destino. Deberá usar grupos de destino que apunten a las direcciones IP privadas de su servidor web Apache Airflow y a su punto de conexión de interfaz de VPC. Le recomendamos que especifique ambas direcciones IP privadas como destinos registrados, ya que usar solo una puede reducir la disponibilidad. Para obtener más información sobre cómo identificar las direcciones IP privadas, consulte Identificación de direcciones IP privadas del servidor web Apache Airflow y el punto de conexión de VPC.
-
Códigos de estado. Le recomendamos que utilice los códigos de estado
200y302en la configuración del grupo de destino. De lo contrario, es posible que los destinos se marquen como en mal estado si el punto de conexión de VPC del servidor web Apache Airflow responde con un error302 Redirect. -
Oyente HTTPS. Deberá especificar el puerto de destino del servidor web Apache Airflow. Por ejemplo:
Protocolo Puerto HTTPS
443
-
Nuevo dominio de ACM. Si quiere asociar un certificado SSL/TLS en AWS Certificate Manager, debe crear un nuevo dominio para el oyente HTTPS del equilibrador de carga.
-
Región de certificado ACM. Si desea asociar un certificado SSL/TLS en AWS Certificate Manager, debe cargarlo en la misma región de Región de AWS que su entorno. Por ejemplo:
-
ejemplo región para cargar el certificado
aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem--region us-west-2
-
