View a markdown version of this page

Conexión de HealthOmics flujos de trabajo a una VPC - AWS HealthOmics
Cuándo utilizar las redes de VPCModos de redesIntroducciónRequisitos de la VPCAPI de configuraciónEjecución de flujos de trabajo con redes de VPCPrácticas recomendadasCuotas de redes de VPC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexión de HealthOmics flujos de trabajo a una VPC

Con Amazon Virtual Private Cloud (Amazon VPC), puede lanzar AWS recursos en una red virtual privada que haya definido. Puede dar a sus HealthOmics flujos de trabajo acceso a los recursos de la VPC configurando las ejecuciones para que usen el modo de red de la VPC. Cuando las redes de VPC están habilitadas, las carreras pueden acceder a los recursos de la VPC y conectarse a recursos externos a través de la Internet pública si la VPC tiene configurado el acceso a Internet.

nota

Cada HealthOmics flujo de trabajo que se ejecuta se ejecuta dentro de una VPC que es propiedad del servicio y está gestionada por HealthOmics él. Estas VPC se mantienen automáticamente y los clientes no las ven. La configuración de la ejecución para acceder a los recursos de la VPC de Amazon no afecta a la HealthOmics-managed VPC.

Cuándo utilizar las redes de VPC

Utilice redes de VPC cuando sus carreras necesiten:

  • Acceda a conjuntos de datos disponibles públicamente a través de Internet (por ejemplo, conjuntos de datos de los NIH o repositorios académicos)

  • Conéctese a servidores de licencias de terceros o API externas

  • Lea o escriba datos de buckets de Amazon S3 en otras regiones AWS

  • Acceda a los recursos locales de su red privada

  • Conéctese a los recursos de AWS de su VPC

nota

Cuando conectas una ejecución a una VPC, solo puede acceder a los recursos disponibles en esa VPC. Para que tu ejecución tenga acceso a Internet, también debes configurar tu VPC para el acceso a Internet. Para obtener más información, consulte Acceso a Internet para VPC-connected flujos de trabajo.

Temas

Modos de redes

HealthOmics Los flujos de trabajo admiten dos modos de red. De forma predeterminada, las ejecuciones del flujo de trabajo funcionan en modo RESTRINGIDO. Puede habilitar las redes de VPC por ejecución al iniciar la ejecución del flujo de trabajo.

RESTRINGIDO (predeterminado)

Las ejecuciones solo pueden acceder a los recursos de Amazon S3 y Amazon ECR dentro de la misma AWS región. Las carreras no pueden acceder a otros AWS servicios, recursos de todas AWS las regiones ni a la Internet pública.

VPC

El tráfico de ejecución se enruta a través de interfaces de red elásticas (ENI) aprovisionadas en las subredes de la HealthOmics VPC. Usted controla el enrutamiento de la red, los grupos de seguridad, las ACL de red y el acceso a Internet a través de las puertas de enlace NAT. Este modo permite el acceso a:

  • Recursos públicos de Internet (requiere la configuración de NAT Gateway)

  • AWS servicios en otras regiones

  • Recursos privados en su VPC

  • Acceda a los recursos locales de su red privada

El modo de red se especifica al iniciar una ejecución de flujo de trabajo mediante el networkingMode parámetro de la StartRun API.

Introducción

En esta sección, se explica cómo configurar las redes de VPC para los HealthOmics flujos de trabajo por primera vez.

Requisitos previos

Antes de configurar las redes de VPC para los HealthOmics flujos de trabajo, asegúrese de tener lo siguiente:

  • Una VPC existente con las subredes y los grupos de seguridad adecuados. La VPC debe estar en la misma región que sus flujos de trabajo.

  • Al menos una subred en una zona de disponibilidad donde HealthOmics opere en su región.

  • Permisos de IAM adecuados para crear y gestionar HealthOmics las configuraciones.

  • Comprensión de los conceptos de redes de VPC (subredes, grupos de seguridad, tablas de enrutamiento).

  • Capacidad de ENI suficiente en su cuenta. AWS HealthOmics escala y administra los ENI en su VPC mediante el rol vinculado al servicio. La cantidad de ENI necesarios depende de la carga de trabajo. Supervise su uso de ENI en la consola Amazon EC2 para asegurarse de que tiene suficiente capacidad.

importante

La configuración de su VPC debe incluir al menos una subred en una zona de disponibilidad en la que HealthOmics opere en su región para permitir la colocación de tareas del flujo de trabajo. Al usar el modo de red VPC, usted es responsable de determinar si es seguro y compatible transferir o usar datos entre regiones AWS .

Paso 1: Crear o configurar la VPC

Cree una VPC con subredes privadas, grupos de seguridad y puertas de enlace NAT (si necesita acceso a Internet). Para obtener instrucciones detalladas paso a paso, consulte. Acceso a Internet para VPC-connected flujos de trabajo

Paso 2: Configurar grupos de seguridad

Crea un grupo de seguridad que permita el tráfico saliente a los destinos a los que deben acceder tus carreras. Configure los grupos de seguridad para permitir solo el tráfico saliente mínimo requerido siguiendo el principio de privilegios mínimos.

Para ver ejemplos de configuraciones y una guía detallada, consulte la sección sobre grupos de seguridad enAcceso a Internet para VPC-connected flujos de trabajo.

Paso 3: Verificar las tablas de rutas

Asegúrese de que sus subredes privadas tengan rutas a una puerta de enlace NAT para el acceso a Internet. Para ver ejemplos de configuraciones de tablas de rutas, consulte la sección de tablas de rutas enAcceso a Internet para VPC-connected flujos de trabajo.

nota

La conexión de una pista a una subred pública no le proporciona acceso a Internet ni una dirección IP pública. Utilice siempre subredes privadas con rutas de puerta de enlace NAT para las carreras que requieran conectividad a Internet.

Paso 4: Cree un recurso de configuración

Cree un recurso HealthOmics de configuración que defina los ajustes de red de la VPC:

aws omics create-configuration \
  --name my-vpc-config \
  --description "VPC configuration for genomics workflows" \
  --run-configurations '{
    "vpcConfig": {
      "securityGroupIds": ["sg-0123456789abcdef0"],
      "subnetIds": [
        "subnet-0a1b2c3d4e5f6g7h8",
        "subnet-1a2b3c4d5e6f7g8h9"
      ]
    }
  }' \
  --region us-west-2

La configuración pasará de un ACTIVE estado CREATING a otro una vez que se aprovisionen los recursos de red. Esto puede tardar hasta 15 minutos.

Paso 5: Iniciar una ejecución de flujo de trabajo con redes de VPC

Una vez que esté configuradaACTIVE, inicie una ejecución de flujo de trabajo con las redes de VPC habilitadas:

aws omics start-run \
  --workflow-id 1234567 \
  --role-arn arn:aws:iam::123456789012:role/OmicsWorkflowRole \
  --output-uri s3://my-bucket/outputs/ \
  --networking-mode VPC \
  --configuration-name my-vpc-config \
  --region us-west-2

Paso 6: Verificar la conectividad

Supervise la ejecución del flujo de trabajo para comprobar que puede acceder a los recursos externos necesarios. Comprueba los registros del flujo de trabajo en CloudWatch los registros para ver si hay mensajes de conexión correcta o incorrecta. Para obtener una guía detallada sobre las pruebas de conectividad, consultePrueba de conectividad de VPC.

Requisitos de la VPC

Su VPC debe cumplir los siguientes requisitos:

Requisitos de subred

  • Mínimo: al menos una subred en una zona de disponibilidad en la que opere HealthOmics

  • Máximo: 16 subredes por configuración

  • Restricción: máximo de una subred por zona de disponibilidad

  • Recomendación: utilice subredes privadas con rutas de puerta de enlace NAT para las operaciones que requieran acceso a Internet. Si bien puede especificar una sola subred, le recomendamos usar varias subredes en diferentes zonas de disponibilidad para mejorar la disponibilidad.

Requisitos del grupo de seguridad

  • Mínimo: 1 grupo de seguridad

  • Máximo: 5 grupos de seguridad por configuración

  • Requisito: todos los grupos de seguridad deben pertenecer a la misma VPC que las subredes

Los grupos de seguridad controlan el tráfico entrante y saliente de tus carreras.

nota

Todas las subredes y grupos de seguridad deben pertenecer a la misma VPC.

Requisitos de la interfaz de red

HealthOmics aprovisiona interfaces de red elásticas (ENI) en la VPC para conectar las carreras a la red. Asegúrese de que su AWS cuenta tenga suficiente capacidad de ENI (límite predeterminado: 5000 ENI por región).

Los ENI creados por HealthOmics se etiquetan con las siguientes etiquetas:

"TagSet": [
  {
    "Key": "Service",
    "Value": "HealthOmics"
  },
  {
    "Key": "eniType",
    "Value": "CUSTOMER"
  }
]
importante

No modifique ni elimine los ENI creados por. HealthOmics La modificación de estas interfaces de red puede provocar retrasos en el servicio o interrupciones en el flujo de trabajo.

API de configuración

HealthOmics proporciona API para crear, administrar y eliminar configuraciones de VPC. Puede reutilizar las configuraciones en varias ejecuciones de flujo de trabajo.

CreateConfiguration

Crea un nuevo recurso de configuración con los ajustes de red de la VPC. Para obtener un ejemplo paso a paso, consulte Paso 4: Cree un recurso de configuración.

Sintaxis de la solicitud:

aws omics create-configuration \
  --name configuration-name \
  --description description \
  --run-configurations '{"vpcConfig":{"securityGroupIds":["security-group-id"],"subnetIds":["subnet-id"]}}' \
  --tags Key=key,Value=value \
  --region region

Parámetros:

  • nombre (obligatorio): un nombre único para la configuración (50 caracteres como máximo).

  • descripción (opcional): descripción de la configuración.

  • configuraciones de ejecución (opcional): ajustes de configuración de VPC:

    • vpcConfig.securityGroupIds— Una lista de 1 a 5 identificadores de grupos de seguridad.

    • vpcConfig.subnetIds— Una lista de 1 a 16 ID de subred.

  • etiquetas (opcional): etiquetas de recursos.

Respuesta:

{
  "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
  "uuid": "configuration-uuid",
  "name": "configuration-name",
  "runConfigurations": {
    "vpcConfig": {
      "securityGroupIds": ["security-group-id"],
      "subnetIds": ["subnet-id"],
      "vpcId": "vpc-id"
    }
  },
  "status": "CREATING",
  "creationTime": "timestamp",
  "tags": {}
}

Valores del estado de la configuración:

  • CREACIÓN: se está creando la configuración y se están aprovisionando los recursos de la red (hasta 15 minutos).

  • ACTIVA: la configuración está lista para usarse.

  • ELIMINAR: se está eliminando la configuración.

  • ELIMINADO: se ha eliminado la configuración.

GetConfiguration

Recupera los detalles de una configuración específica.

Sintaxis de la solicitud:

aws omics get-configuration \
  --name configuration-name \
  --region region

Respuesta:

{
  "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
  "uuid": "configuration-uuid",
  "name": "configuration-name",
  "runConfigurations": {
    "vpcConfig": {
      "securityGroupIds": ["security-group-id"],
      "subnetIds": ["subnet-id"],
      "vpcId": "vpc-id"
    }
  },
  "status": "ACTIVE",
  "creationTime": "timestamp",
  "tags": {}
}

ListConfigurations

Muestra todas las configuraciones de su cuenta.

Sintaxis de la solicitud:

aws omics list-configurations \
  --region region

Respuesta:

{
  "items": [
    {
      "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
      "name": "configuration-name",
      "description": "description",
      "status": "ACTIVE",
      "creationTime": "timestamp"
    }
  ]
}

DeleteConfiguration

Elimina una configuración. No se puede eliminar una configuración que esté siendo utilizada actualmente por las ejecuciones de flujos de trabajo activas.

Sintaxis de la solicitud:

aws omics delete-configuration \
  --name configuration-name \
  --region region
nota

El estado de la configuración cambia a ELIMINAR mientras se están limpiando los recursos de la red y, a continuación, a ELIMINADO una vez finalizado el proceso.

Ejecución de flujos de trabajo con redes de VPC

Inicio de una ejecución con redes de VPC

Para usar redes de VPC en una ejecución de flujo de trabajo, especifique el networking-mode parámetro y: configuration-name

aws omics start-run \
  --workflow-id 1234567 \
  --role-arn arn:aws:iam::123456789012:role/OmicsWorkflowRole \
  --output-uri s3://my-bucket/outputs/ \
  --networking-mode VPC \
  --configuration-name my-vpc-config \
  --region us-west-2

Parámetros:

  • modo de red: configúrelo VPC para habilitar las redes de VPC. El valor predeterminado es RESTRICTED.

  • nombre-configuración (obligatorio): el nombre de la configuración que se va a utilizar.

Visualización, ejecución, configuración de red

Se utiliza GetRun para ver la configuración de red de una ejecución:

aws omics get-run \
  --id run-id \
  --region region

La respuesta incluye el modo de red, los detalles de configuración y la configuración de la VPC. El siguiente ejemplo muestra los VPC-related campos de la respuesta:

{
  "arn": "arn:aws:omics:region:account-id:run/run-id",
  "id": "run-id",
  "status": "status",
  "workflowId": "workflow-id",
  "networkingMode": "VPC",
  "configuration": {
    "name": "configuration-name",
    "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
    "uuid": "configuration-uuid"
  },
  "vpcConfig": {
    "subnets": ["subnet-id-1", "subnet-id-2"],
    "securityGroupIds": ["security-group-id"],
    "vpcId": "vpc-id"
  }
}

Inmutabilidad de la configuración

Los flujos de trabajo utilizan una instantánea de la configuración tal como estaba cuando se inició la ejecución. Puede modificar o eliminar las configuraciones de forma segura durante la ejecución de la ejecución sin que ello afecte a las ejecuciones activas.

Consideraciones sobre el almacenamiento en caché de llamadas

Cuando utilices redes de VPC con almacenamiento en caché de llamadas, asegúrate de que tu motor de flujo de trabajo esté configurado adecuadamente. Para obtener una guía detallada sobre el almacenamiento de llamadas en caché por motor, consulte. Engine-specific funciones de almacenamiento en caché

importante

Cuando se conecte a recursos dinámicos o no deterministas (por ejemplo, bases de datos de terceros en la Internet pública), considere la posibilidad de utilizar la función de exclusión de tareas de caché en sus flujos de trabajo para evitar almacenar en caché conjuntos de datos dinámicos que podrían afectar a los resultados de la ejecución.

Prácticas recomendadas

Seguridad

  1. Utilice grupos de seguridad con privilegios mínimos. Permita solo el tráfico saliente mínimo requerido. Utilice bloques CIDR de destino específicos en lugar de 0.0.0. 0/0 cuando sea posible. Documente el propósito de cada regla de grupo de seguridad.

  2. Separe las configuraciones por entorno. Cree configuraciones independientes para el desarrollo, la puesta en escena y la producción. Utilice diferentes VPC o subredes para cada entorno. Aplique las etiquetas adecuadas a las configuraciones de la organización.

  3. Implemente la supervisión de la red. Habilite los registros de flujo de VPC para el análisis de seguridad. Configure CloudWatch alarmas para patrones de tráfico inusuales. Revise periódicamente CloudTrail los registros para ver si hay cambios en la configuración.

  4. Utilice puntos finales de VPC para los servicios. AWS Configure los puntos de enlace de VPC para Amazon S3, Amazon ECR y otros servicios. AWS Esto reduce los costos de NAT Gateway, mejora el rendimiento y proporciona seguridad adicional al mantener el tráfico dentro de la red. AWS

Desempeño

  1. Planifique el escalado de la red. El rendimiento de la red comienza en 10 Gbps y se amplía a 100 Gbps con el tiempo. Para necesidades inmediatas de alto rendimiento, planifique con antelación y solicite el precalentamiento. Supervise las métricas de la red para comprender sus requisitos de flujo de trabajo.

  2. Implemente puertas de enlace NAT por zona de disponibilidad. Utilice una puerta de enlace NAT por zona de disponibilidad para las cargas de trabajo de producción. Esto mejora la resiliencia y el rendimiento, y reduce los costos de transferencia de datos entre zonas de disponibilidad.

  3. Reutilice las configuraciones. Cree configuraciones que se puedan compartir en varios flujos de trabajo. Esto reduce la sobrecarga de administración de la configuración y garantiza una configuración de red coherente.

  4. Pruebe las configuraciones antes de usarlas en producción. Valide la conectividad de la red con flujos de trabajo de prueba. Compruebe que las reglas de los grupos de seguridad permitan el tráfico necesario. Pruebe los escenarios de conmutación por error con configuraciones Multi-AZ.

Optimización de costos

  1. Utilice puntos de conexión de VPC en lugar de NAT Gateway. Para acceder AWS al servicio, utilice puntos finales de VPC (sin cargos por procesamiento de datos). Los puntos de enlace Amazon S3 Gateway no tienen costes adicionales. Los puntos de conexión de interfaz se cobran por hora, pero pueden ser más rentables que los de NAT Gateway.

  2. Supervise los costos de transferencia de datos. La transferencia de datos es gratuita. La transferencia de datos a Internet implica tasas de transferencia AWS de datos estándar. Cross-Region la transferencia de datos tiene tasas más altas. Use AWS Cost Explorer para realizar un seguimiento de VPC-related los costos.

  3. Right-size Implementación de NAT Gateway. Para el desarrollo, utilice una puerta de enlace NAT para todas las AZ. Para la producción, utilice una puerta de enlace NAT por zona de disponibilidad para aumentar la resiliencia. Supervise el uso de la puerta de enlace NAT para evitar el sobreaprovisionamiento.

  4. Elimine las configuraciones no utilizadas. Revise y elimine periódicamente las configuraciones que ya no estén en uso. Utilice etiquetas para identificar la propiedad y el propósito de la configuración.

Operational (En funcionamiento)

  1. Utilice nombres de configuración descriptivos. Incluya el entorno, el propósito y el equipo en el nombre (por ejemplo,prod-genomics-vpc,dev-clinical-trials-vpc).

  2. Etiquete todas las configuraciones. Utilice una estrategia de etiquetado coherente en todos los recursos. Incluya etiquetas para el entorno CostCenter, el propietario y el propósito.

  3. Documente los requisitos de la red. Documente a qué servicios externos accede cada configuración. Mantenga un mapa de las reglas de los grupos de seguridad y sus propósitos. Comparta los diagramas de arquitectura de red con su equipo.

Cuotas de redes de VPC

En la siguiente tabla se enumeran las cuotas para las configuraciones de redes de VPC:

Recurso Límite predeterminado Ajustable
Configuraciones máximas por cuenta 10
Número máximo de grupos de seguridad por configuración 5 No
Número máximo de subredes por configuración 16 No
Número máximo de subredes por zona de disponibilidad 1 No
CreateConfiguration API TPS 1
Interfaces de red elásticas por región (VPC del cliente) 5 000

Para solicitar un aumento de cuota, abra la consola Service Quotas, elija AWS los servicios AWS HealthOmics, busque, seleccione la cuota que desee aumentar y elija Solicitar aumento de cuota. Por lo general, las solicitudes de aumento de cuota se procesan en un plazo de 1 a 2 días laborables.