View a markdown version of this page

Conexión a una VPC de otra cuenta - AWS HealthOmics
Requisitos previosCree una Amazon VPC en la cuenta de su flujo de trabajoCreación de una solicitud de conexión de emparejamiento de VPCPreparación de la cuenta del recursoActualiza la configuración de VPC en la cuenta de tu flujo de trabajoEjecución de flujos de trabajo con acceso a VPC multicuentaResolución de problemasPrácticas recomendadasRecursos adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexión a una VPC de otra cuenta

Puede conceder a las ejecuciones de HealthOmics flujo de trabajo acceso a los recursos de una Amazon VPC gestionada por otra AWS cuenta, sin exponer ninguna de las VPC a Internet. Este patrón de acceso le permite compartir datos con otras organizaciones que utilicen AWS. Con este patrón de acceso, puede compartir datos entre VPC con un mayor nivel de seguridad y rendimiento que a través de Internet. Configure las ejecuciones de su flujo de trabajo para usar una conexión de emparejamiento de VPC para acceder a estos recursos.

aviso

Cuando permita el acceso entre cuentas o VPC, compruebe que su plan cumpla con los requisitos de seguridad de las respectivas organizaciones que administran estas cuentas. Seguir las instrucciones de este documento afectará a la seguridad de sus recursos.

En este tutorial, conectará dos cuentas mediante una conexión de pares mediante IPv4. Configura un recurso HealthOmics de configuración que aún no está conectado a una VPC de otra cuenta. La resolución de DNS se configura para conectar las ejecuciones de su flujo de trabajo a recursos que no proporcionan direcciones IP estáticas. Para adaptar estas instrucciones a otros escenarios de emparejamiento, consulte la Guía de emparejamiento de VPC.

Requisitos previos

Para permitir que una ejecución de HealthOmics flujo de trabajo acceda a un recurso de otra cuenta, debes tener:

  • Un HealthOmics flujo de trabajo configurado para autenticarse con tu recurso y, a continuación, leerlo.

  • Un recurso de otra cuenta, como un clúster de Amazon RDS o un servidor de licencias, disponible a través de Amazon VPC.

  • Credenciales para la cuenta de su flujo de trabajo y la cuenta de su recurso. Si tiene autorización para usar la cuenta de su recurso, contacte con un usuario autorizado para que prepare esa cuenta.

  • Permiso para crear y actualizar una VPC (y los recursos de Amazon VPC compatibles) para asociarla a las ejecuciones de su flujo de trabajo. HealthOmics

  • Permiso para crear recursos de HealthOmics configuración.

  • Permiso para crear una conexión de emparejamiento de VPC en la cuenta de tu flujo de trabajo.

  • Permiso para aceptar una conexión de emparejamiento de VPC en la cuenta de su recurso.

  • Permiso para actualizar la configuración de la VPC de su recurso (y los recursos de Amazon VPC compatibles).

  • Se ejecuta el permiso para iniciar el HealthOmics flujo de trabajo.

Cree una Amazon VPC en la cuenta de su flujo de trabajo

Cree una Amazon VPC, subredes, tablas de enrutamiento y un grupo de seguridad en la cuenta de su HealthOmics flujo de trabajo.

Para crear una VPC, subredes y otros recursos de la VPC mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel, elija Crear VPC.

  3. Para el bloque de CIDR de IPv4, proporcione un bloque de CIDR privado. El bloque de CIDR no se debe solapar con los bloques utilizados en la VPC de su recurso. No elija un bloque que utilice la VPC de su recurso para asignar IP a los recursos ni un bloque ya definido en las tablas de enrutamiento de la VPC de su recurso. Para obtener más información sobre cómo definir los bloques de CIDR adecuados, consulte Bloques de CIDR de VPC.

  4. Elija Personalizar las zonas de disponibilidad.

  5. Seleccione al menos una zona de disponibilidad en la que HealthOmics opere en su región.

  6. En Número de subredes públicas, elija0.

  7. Para los puntos finales de VPC, elija None (puede añadirlos más adelante para optimizar los costes).

  8. Seleccione Creación de VPC.

Creación de una solicitud de conexión de emparejamiento de VPC

Cree una solicitud de conexión de emparejamiento de VPC desde la VPC de su flujo de trabajo (la VPC solicitante) a la VPC de su recurso (la VPC aceptadora).

Para solicitar una conexión de emparejamiento de VPC desde la VPC de su flujo de trabajo

  1. Abra la Consola de Amazon VPC.

  2. En el panel de navegación, elija Peering Connections (Conexiones de emparejamiento).

  3. Elija Create peering connection (Crear conexión de emparejamiento).

  4. Para el ID de VPC (solicitante), selecciona la VPC de tu flujo de trabajo.

  5. En ID de cuenta, ingrese el ID de la cuenta de su recurso.

  6. Para el ID de VPC (aceptador), introduzca el ID de VPC del recurso.

  7. Elija Create peering connection (Crear conexión de emparejamiento).

Preparación de la cuenta del recurso

Para crear la conexión de emparejamiento y preparar la VPC del recurso para usarla, inicie sesión en la cuenta del recurso con un rol que posea los permisos que se indican en los requisitos previos. Los pasos para iniciar sesión pueden variar según la forma en que esté protegida la cuenta. Para obtener más información sobre cómo iniciar sesión en una AWS cuenta, consulta la Guía del AWS Sign-in usuario. En la cuenta de su recurso, lleve a cabo los siguientes procedimientos.

Aceptación de una solicitud de conexión de emparejamiento de VPC

  1. Abra la Consola de Amazon VPC.

  2. En el panel de navegación, elija Peering Connections (Conexiones de emparejamiento).

  3. Seleccione la conexión de emparejamiento de VPC pendiente (con el estado aceptación pendiente).

  4. Elija Acciones.

  5. En la lista desplegable, elija Aceptar solicitud.

  6. Cuando se le pida confirmación, elija Aceptar solicitud.

  7. Elija Modificar mis tablas de ruteo ahora para agregar una ruta a la tabla de enrutamiento principal de la VPC y, así, poder enviar y recibir tráfico a través de la conexión de emparejamiento.

Inspeccione las tablas de enrutamiento de la VPC del recurso. Es posible que la ruta generada por Amazon VPC no establezca la conectividad en función de cómo esté configurada la VPC de su recurso. Compruebe si hay conflictos entre la nueva ruta y la configuración existente de la VPC. Para obtener más información sobre la solución de problemas, consulte Solución de problemas de una conexión de emparejamiento de VPC en la Guía de emparejamiento de Amazon VPC.

Para actualizar la tabla de enrutamiento de la VPC de su recurso

  1. Abra la Consola de Amazon VPC.

  2. En el panel de navegación, elija Tablas de enrutamiento.

  3. Seleccione la casilla de verificación situada junto al nombre de la tabla de rutas de la subred asociada a su recurso.

  4. Elija Acciones.

  5. Elija Edit routes (Editar rutas).

  6. Seleccione Añadir ruta.

  7. En Destination, introduce el bloque CIDR de la VPC de tu flujo de trabajo.

  8. En Objetivo, seleccione la conexión de emparejamiento de VPC.

  9. Seleccione Save changes (Guardar cambios).

Para obtener más información sobre las consideraciones que pueden surgir al actualizar las tablas de enrutamiento, consulte Actualice sus tablas de enrutamiento para interconexiones de VPC.

Actualización del grupo de seguridad de su recurso

  1. Abra la Consola de Amazon VPC.

  2. En el panel de navegación, elija Grupos de seguridad.

  3. Seleccione el grupo de seguridad de su recurso.

  4. Elija Acciones.

  5. En la lista desplegable, elija Editar reglas de entrada.

  6. Seleccione Agregar regla.

  7. En Tipo, seleccione el protocolo que utiliza su recurso (por ejemplo MySQL/Aurora, HTTPS o TCP personalizado).

  8. En Rango de puertos, ingresa el puerto en el que escucha tu recurso.

  9. En Source, introduce el bloque CIDR de VPC del flujo de trabajo (por ejemplo, 10.0.0). 0/16).

  10. Seleccione Guardar reglas.

  11. Elija Edit outbound rules.

  12. Compruebe si el tráfico saliente está restringido. La configuración de VPC predeterminada permite todo el tráfico saliente. Si el tráfico saliente está restringido, continúe con el siguiente paso.

  13. Seleccione Agregar regla.

  14. En Tipo, seleccione All traffic el protocolo específico que necesite.

  15. En Destination, introduce el bloque CIDR de VPC del flujo de trabajo (por ejemplo, 10.0.0). 0/16).

  16. Seleccione Guardar reglas.

Habilitación de la resolución de DNS para la interconexión

  1. Abra la Consola de Amazon VPC.

  2. En el panel de navegación, elija Peering Connections (Conexiones de emparejamiento).

  3. Seleccione la conexión de emparejamiento.

  4. Elija Acciones.

  5. Elija Editar configuración de DNS.

  6. En la sección Resolución de DNS de receptora, seleccione Permitir al VPC solicitante resolver el DNS de los host de VPC receptores a una IP privada.

  7. Seleccione Save changes (Guardar cambios).

Actualiza la configuración de VPC en la cuenta de tu flujo de trabajo

Inicie sesión en la cuenta de su flujo de trabajo y, a continuación, actualice la configuración de la VPC.

Adición de una ruta para su conexión de emparejamiento de VPC

  1. Abra la Consola de Amazon VPC.

  2. En el panel de navegación, elija Tablas de enrutamiento.

  3. Seleccione la casilla de verificación situada junto al nombre de la tabla de rutas de la subred que asociará a su HealthOmics configuración.

  4. Elija Acciones.

  5. Elija Edit routes (Editar rutas).

  6. Seleccione Añadir ruta.

  7. En Destino, ingrese el bloque de CIDR de la VPC de su recurso.

  8. En Objetivo, seleccione la conexión de emparejamiento de VPC.

  9. Seleccione Save changes (Guardar cambios).

Para obtener más información sobre las consideraciones que pueden surgir al actualizar las tablas de enrutamiento, consulte Actualice sus tablas de enrutamiento para interconexiones de VPC.

Para actualizar el grupo de seguridad de su HealthOmics flujo de trabajo, ejecute

  1. Abra la Consola de Amazon VPC.

  2. En el panel de navegación, elija Grupos de seguridad.

  3. Seleccione el grupo de seguridad que utilizará para la HealthOmics configuración.

  4. Elija Acciones.

  5. Elija Edit outbound rules.

  6. Seleccione Agregar regla.

  7. En Tipo, seleccione el protocolo que utiliza su recurso (por ejemplo MySQL/Aurora, HTTPS o TCP personalizado).

  8. En Rango de puertos, ingresa el puerto en el que escucha tu recurso.

  9. En Destination, introduce el bloque CIDR de VPC del recurso (por ejemplo, 10.1.0). 0/16).

  10. Seleccione Guardar reglas.

  11. Elija Editar reglas de entrada.

  12. Compruebe si existen normas de tráfico entrante. Si su recurso necesita iniciar las conexiones para volver a ejecutar su flujo de trabajo, continúe con el siguiente paso. De lo contrario, vaya al paso de resolución de DNS.

  13. Seleccione Agregar regla.

  14. En Tipo, seleccione el protocolo correspondiente.

  15. En Source, introduzca el bloque CIDR de VPC del recurso (por ejemplo, 10.1.0). 0/16).

  16. Seleccione Guardar reglas.

Habilitación de la resolución de DNS para la interconexión

  1. Abra la Consola de Amazon VPC.

  2. En el panel de navegación, elija Peering Connections (Conexiones de emparejamiento).

  3. Seleccione la conexión de emparejamiento.

  4. Elija Acciones.

  5. Elija Editar configuración de DNS.

  6. En la sección Resolución de DNS de solicitante, seleccione Permitir al VPC receptor resolver el DNS de los host de VPC solicitantes a una IP privada.

  7. Seleccione Save changes (Guardar cambios).

Ejecución de flujos de trabajo con acceso a VPC multicuenta

Al iniciar la ejecución de un flujo de trabajo, utilice las subredes y los grupos de seguridad de la VPC de la cuenta del flujo de trabajo. El tráfico de las ejecuciones de su flujo de trabajo se enrutará a la VPC de la otra cuenta a través de la conexión de emparejamiento de la VPC.

Para obtener información sobre la creación de recursos HealthOmics de configuración y el inicio de las ejecuciones de flujos de trabajo con redes de VPC, consulte. Conexión de HealthOmics flujos de trabajo a una VPC

importante

Recomendamos habilitar los registros de flujo de VPC en ambas VPC para verificar el flujo de tráfico entre ellas y solucionar problemas de conectividad. Para obtener más información, consulte Logs de flujo de VPC en la Guía del usuario de Amazon VPC.

Resolución de problemas

Si la ejecución del flujo de trabajo no puede conectarse a los recursos de la VPC interconectada:

  1. Verifique las tablas de enrutamiento: asegúrese de que ambas VPC tengan rutas bidireccionales que apunten a la conexión de emparejamiento de la VPC.

  2. Compruebe los grupos de seguridad: confirme que los grupos de seguridad de ambas VPC permiten el tráfico necesario (entrante en la VPC de recursos, saliente en la VPC de flujo de trabajo).

  3. Compruebe la resolución de DNS: asegúrese de que la resolución de DNS esté habilitada en ambas direcciones en la conexión de interconexión si utiliza nombres de DNS.

  4. Compruebe los bloques CIDR: compruebe que los bloques CIDR no se superpongan entre las dos VPC.

  5. Revise los registros de flujo de VPC: habilite los registros de flujo de VPC en ambas VPC para diagnosticar problemas de flujo de tráfico.

  6. Verifique el estado de la conexión de emparejamiento: asegúrese de que el estado de la conexión de emparejamiento esté en ambas cuentas. active

Para obtener más información sobre la solución de problemas, consulte Solución de problemas de una conexión de emparejamiento de VPC en la Guía de emparejamiento de Amazon VPC.

Prácticas recomendadas

  1. Utilice grupos de seguridad con privilegios mínimos: permita que solo los puertos y protocolos específicos necesarios para su flujo de trabajo accedan al recurso.

  2. Documente la relación de interconexión: mantenga la documentación sobre qué VPC están interconectadas y con qué finalidad.

  3. Supervise el tráfico entre cuentas: utilice métricas CloudWatch y registros de flujo de VPC para supervisar los patrones de tráfico y detectar anomalías.

  4. Planifique los bloques de CIDR con cuidado: asegúrese de que los bloques de CIDR no se superpongan y dejen espacio para futuras expansiones.

  5. Realice pruebas exhaustivas: valide la conectividad con los flujos de trabajo de prueba antes de ejecutar las cargas de trabajo de producción.

  6. Coordínese con los propietarios de las cuentas de recursos: establezca canales de comunicación claros con el equipo que gestiona la cuenta de recursos para la solución de problemas y el mantenimiento.

  7. Use etiquetas: etiquete las conexiones de emparejamiento de VPC, las tablas de enrutamiento y los grupos de seguridad para identificar su propósito y propiedad.

Recursos adicionales