Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tutoriel : Configuration de l'accès au réseau privé à l'aide d'un AWS Client VPN
Ce didacticiel explique les étapes à suivre pour créer un tunnel VPN entre votre ordinateur et le serveur Web Apache Airflow pour votre environnement Amazon Managed Workflows for Apache Airflow. Pour vous connecter à Internet via un tunnel VPN, vous devez d'abord créer un AWS Client VPN point de terminaison. Une fois configuré, un point de terminaison VPN Client agit comme un serveur VPN permettant une connexion sécurisée entre votre ordinateur et les ressources de votre VPC. Vous vous connecterez ensuite au Client VPN depuis votre ordinateur à l'aide de [AWS Client VPN for Desktop](https://aws.amazon.com/vpn/client-vpn-download/).
**Topics**
+ [Réseau privé](#private-network-vpn-onconsole)
+ [Cas d’utilisation](#private-network-vpn-usecases)
+ [Avant de commencer](#private-network-vpn-prereqs)
+ [Objectifs](#private-network-vpn-objectives)
+ [(Facultatif) Première étape : identifier votre VPC, vos règles CIDR et la sécurité de votre VPC](#private-network-vpn-optional)
+ [Deuxième étape : créer les certificats du serveur et du client](#private-network-vpn-certs)
+ [Troisième étape : enregistrer le CloudFormation modèle localement](#private-network-vpn-template)
+ [Quatrième étape : créer la CloudFormation pile VPN du Client](#private-network-vpn-create)
+ [Étape 5 : associer des sous-réseaux à votre Client VPN](#private-network-vpn-associate)
+ [Sixième étape : ajouter une règle d'entrée d'autorisation à votre Client VPN](#private-network-vpn-autho)
+ [Étape 7 : Téléchargez le fichier de configuration du point de terminaison du Client VPN](#private-network-vpn-download)
+ [Huitième étape : Connectez-vous au AWS Client VPN](#private-network-vpn-connect)
+ [Quelle est la prochaine étape ?](#create-vpc-vpn-next-up)
## Réseau privé
Ce didacticiel part du principe que vous avez choisi le mode d'accès au **réseau privé** pour votre serveur Web Apache Airflow.
Le mode d'accès au réseau privé limite l'accès à l'interface utilisateur d'Apache Airflow aux utilisateurs de votre *Amazon VPC* qui ont obtenu l'accès à la politique [IAM](access-policies.md) de votre environnement.
Lorsque vous créez un environnement avec accès privé à un serveur Web, vous devez empaqueter toutes vos dépendances dans une archive Python Wheel (`.whl`), puis y faire référence `.whl` dans votre`requirements.txt`. Pour obtenir des instructions sur l'empaquetage et l'installation de vos dépendances à l'aide de wheel, reportez-vous à [la section Gestion des dépendances à l'aide de Python Wheel](best-practices-dependencies.md#best-practices-dependencies-python-wheels).
L'image suivante indique où trouver l'option **Réseau privé** sur la console Amazon MWAA.
## Cas d’utilisation
Vous pouvez utiliser ce didacticiel avant ou après avoir créé un environnement Amazon MWAA. Vous devez utiliser les mêmes Amazon VPC, les mêmes groupes de sécurité VPC et les mêmes sous-réseaux privés que votre environnement. **Si vous utilisez ce didacticiel après avoir créé un environnement Amazon MWAA, une fois les étapes terminées, vous pouvez revenir à la console Amazon MWAA et changer le mode d'accès de votre serveur Web Apache Airflow en mode réseau privé.**
## Avant de commencer
1. Vérifiez les autorisations des utilisateurs. Assurez-vous que votre compte dans Gestion des identités et des accès AWS (IAM) dispose des autorisations suffisantes pour créer et gérer les ressources VPC.
1. Utilisez votre VPC Amazon MWAA. Ce didacticiel part du principe que vous associez le Client VPN à un VPC existant. Le VPC Amazon doit être Région AWS identique à un environnement Amazon MWAA et disposer de deux sous-réseaux privés. Si vous n'avez pas créé de VPC Amazon, utilisez le CloudFormation modèle dans. [Troisième option : créer un réseau Amazon VPC *sans* accès à Internet](vpc-create.md#vpc-create-template-private-only)
## Objectifs
Dans le cadre de ce didacticiel, vous effectuerez les tâches suivantes :
1. Créez un AWS Client VPN point de terminaison à l'aide d'un CloudFormation modèle pour un Amazon VPC existant.
1. Générez des certificats et des clés de serveur et de client, puis téléchargez le certificat de serveur et la clé AWS Certificate Manager dans un environnement Amazon MWAA Région AWS comme dans un environnement Amazon MWAA.
1. Téléchargez et modifiez un fichier de configuration du point de terminaison Client VPN pour votre Client VPN, puis utilisez-le pour créer un profil VPN afin de vous connecter à l'aide du Client VPN pour ordinateur de bureau.
## (Facultatif) Première étape : identifier votre VPC, vos règles CIDR et la sécurité de votre VPC
La section suivante explique comment IDs rechercher votre Amazon VPC, votre groupe de sécurité VPC et comment identifier les règles CIDR dont vous aurez besoin pour créer votre Client VPN lors des étapes suivantes.
### Identifiez vos règles CIDR
La section suivante explique comment identifier les règles CIDR dont vous aurez besoin pour créer votre Client VPN.
**Pour identifier le CIDR de votre Client VPN**
1. Ouvrez la [ VPCs page Your Amazon](https://console.aws.amazon.com/vpc/home#/vpcs:) sur la console Amazon VPC.
1. Utilisez le sélecteur de région dans la barre de navigation pour choisir un environnement Amazon MWAA Région AWS identique.
1. Choisissez votre Amazon VPC.
1. En supposant que CIDRs les sous-réseaux privés sont les suivants :
+ Sous-réseau privé 1 : 10.192.10.0 `/24`
+ Sous-réseau privé 2 : 10.192.11.0 `/24`
Si le CIDR de votre Amazon VPC est `/16` 10.192.0.0, **le CIDR IPv4 client que vous devez spécifier pour votre VPN client** sera 10.192.0.0. `/22`
1. Enregistrez cette valeur CIDR et la valeur de votre ID VPC pour les étapes suivantes.
### Identifiez votre VPC et vos groupes de sécurité
La section suivante explique comment trouver l'ID de votre Amazon VPC et des groupes de sécurité, dont vous aurez besoin pour créer votre Client VPN.
**Note**
Vous utilisez peut-être plusieurs groupes de sécurité. Vous devrez spécifier tous les groupes de sécurité de votre VPC dans les étapes suivantes.
**Pour identifier les groupes de sécurité**
1. Ouvrez la [page Security Groups](https://console.aws.amazon.com/vpc/home#/securityGroups:) sur la console Amazon VPC.
1. Utilisez le sélecteur de région dans la barre de navigation pour choisir le Région AWS.
1. Recherchez l'Amazon VPC dans l'**ID du VPC** et identifiez les groupes de sécurité associés au VPC.
1. Enregistrez l'ID de vos groupes de sécurité et de votre VPC pour les étapes suivantes.
## Deuxième étape : créer les certificats du serveur et du client
Un point de terminaison VPN Client prend en charge uniquement les tailles de clés RSA 1024-bits et 2048-bits. La section suivante explique comment utiliser OpenVPN easy-rsa pour générer les certificats et clés du serveur et du client, puis télécharger les certificats sur ACM à l'aide de (). AWS Command Line Interface AWS CLI
**Pour créer les certificats clients**
1. Suivez ces étapes rapides pour créer et télécharger les certificats vers ACM via la AWS CLI section [Authentification et autorisation du client : authentification mutuelle](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/client-authentication.html#mutual).
1. Au cours de ces étapes, vous **devez** spécifier la même chose Région AWS qu'un environnement Amazon MWAA dans la AWS CLI commande lors du téléchargement de vos certificats de serveur et de client. Voici quelques exemples de la manière de spécifier la région dans ces commandes :
1.
**Example région pour le certificat de serveur**
```
aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt {{--region us-west-2}}
```
1.
**Example région pour le certificat client**
```
aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt {{--region us-west-2}}
```
1. Après ces étapes, enregistrez la valeur renvoyée dans la AWS CLI réponse pour le certificat de serveur et le certificat client ARNs. Vous allez les spécifier ARNs dans votre CloudFormation modèle pour créer le Client VPN.
1. Au cours de ces étapes, un certificat client et une clé privée sont enregistrés sur votre ordinateur. Voici un exemple où trouver ces informations d'identification :
1.
**Example sur macOS**
Sur macOS, le contenu est enregistré dans`/Users/{{your-user}}/custom_folder`. Si vous listez tout (`ls -a`) le contenu de ce répertoire, vous obtenez quelque chose de similaire à ce qui suit :
```
.
..
ca.crt
client1.domain.tld.crt
client1.domain.tld.key
server.crt
server.key
```
1. Après ces étapes, enregistrez le contenu ou notez l'emplacement du certificat client dans `client1.domain.tld.crt` et de la clé privée`client1.domain.tld.key`. Vous allez ajouter ces valeurs au fichier de configuration de votre Client VPN.
## Troisième étape : enregistrer le CloudFormation modèle localement
La section suivante contient le CloudFormation modèle pour créer le Client VPN. Vous devez spécifier les mêmes Amazon VPC, les mêmes groupes de sécurité VPC et les mêmes sous-réseaux privés que votre environnement Amazon MWAA.
+ Copiez le contenu du modèle suivant et enregistrez-le localement sous`mwaa_vpn_client.yaml`. Vous pouvez également [télécharger le modèle](./samples/mwaa_vpn_client.zip).
Remplacez les valeurs suivantes :
+ **YOUR\_CLIENT\_ROOT\_CERTIFICATE\_ARN**— L'ARN de votre certificat **client1.domain.tld** dans. `ClientRootCertificateChainArn`
+ **YOUR\_SERVER\_CERTIFICATE\_ARN**— L'ARN de votre certificat de **serveur** dans`ServerCertificateArn`.
+ La règle IPv4 CIDR du client dans. `ClientCidrBlock` Une règle CIDR de `10.192.0.0/22` est fournie.
+ Votre identifiant Amazon VPC dans. `VpcId` Un VPC de `vpc-010101010101` est fourni.
+ Votre groupe IDs de sécurité VPC dans. `SecurityGroupIds` Un groupe de sécurité de `sg-0101010101` est fourni.
```
AWSTemplateFormatVersion: 2010-09-09
Description: This template deploys a VPN Client Endpoint.
Resources:
ClientVpnEndpoint:
Type: 'AWS::EC2::ClientVpnEndpoint'
Properties:
AuthenticationOptions:
- Type: "certificate-authentication"
MutualAuthentication:
ClientRootCertificateChainArn: "YOUR_CLIENT_ROOT_CERTIFICATE_ARN"
ClientCidrBlock: 10.192.0.0/22
ClientConnectOptions:
Enabled: false
ConnectionLogOptions:
Enabled: false
Description: "MWAA Client VPN"
DnsServers: []
SecurityGroupIds:
- sg-0101010101
SelfServicePortal: ''
ServerCertificateArn: "YOUR_SERVER_CERTIFICATE_ARN"
SplitTunnel: true
TagSpecifications:
- ResourceType: "client-vpn-endpoint"
Tags:
- Key: Name
Value: MWAA-Client-VPN
TransportProtocol: udp
VpcId: vpc-010101010101
VpnPort: 443
```
**Note**
Si vous utilisez plusieurs groupes de sécurité pour votre environnement, vous pouvez spécifier plusieurs groupes de sécurité au format suivant :
```
SecurityGroupIds:
- sg-0112233445566778b
- sg-0223344556677889f
```
## Quatrième étape : créer la CloudFormation pile VPN du Client
**Pour créer le AWS Client VPN**
1. Ouvrez la [AWS CloudFormation console](https://console.aws.amazon.com/cloudformation/home#).
1. Choisissez **Le modèle est prêt**, puis **chargez un fichier modèle**.
1. Choisissez **Choisir un fichier**, puis sélectionnez votre `mwaa_vpn_client.yaml` fichier.
1. Appuyez sur **Suivant**, **Suivant**.
1. Sélectionnez l'accusé de réception, puis choisissez **Create stack**.
## Étape 5 : associer des sous-réseaux à votre Client VPN
**Pour associer des sous-réseaux privés au AWS Client VPN**
1. Ouvrez la [console VPC Amazon](https://console.aws.amazon.com/vpc/home#).
1. Choisissez la page **Points de terminaison du Client VPN**.
1. Sélectionnez votre Client VPN, puis cliquez sur l'onglet **Associations**, **Associer**.
1. Choisissez ce qui suit dans la liste déroulante :
+ **Votre Amazon VPC en VPC.**
+ L'un de vos sous-réseaux privés dans **Choisissez un sous-réseau à associer**.
1. Choisissez **Associer**.
**Note**
Plusieurs minutes sont nécessaires pour que le VPC et le sous-réseau soient associés au Client VPN.
## Sixième étape : ajouter une règle d'entrée d'autorisation à votre Client VPN
Vous devez ajouter une règle d'entrée d'autorisation à l'aide de la règle CIDR de votre VPC à votre Client VPN. *Si vous souhaitez autoriser des utilisateurs ou des groupes spécifiques à partir de votre groupe Active Directory ou de votre fournisseur d'identité (IdP) basé sur SAML, reportez-vous aux [règles d'autorisation du guide](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-rules.html) Client VPN.*
**Pour ajouter le CIDR au AWS Client VPN**
1. Ouvrez la [console VPC Amazon](https://console.aws.amazon.com/vpc/home#).
1. Choisissez la page **Points de terminaison du Client VPN**.
1. Sélectionnez votre Client VPN, puis cliquez sur l'onglet **Autorisation**, **Autoriser l'entrée**.
1. Spécifiez les paramètres suivants :
+ La règle CIDR de votre Amazon VPC dans le **réseau de destination doit être activée**. Exemples :
```
10.192.0.0/16
```
+ Choisissez **Autoriser l'accès à tous les utilisateurs** dans **Accorder l'accès à**.
+ Entrez un nom descriptif dans **Description**.
1. Choisissez **Ajouter une règle d'autorisation**.
**Note**
En fonction des composants réseau de votre Amazon VPC, vous pouvez également avoir besoin de cette règle d'entrée d'autorisation dans votre liste de contrôle d'accès réseau (NACL).
## Étape 7 : Téléchargez le fichier de configuration du point de terminaison du Client VPN
**Pour télécharger le fichier de configuration :**
1. Suivez ces étapes rapides pour télécharger le fichier de configuration du VPN client sur [Télécharger le fichier de configuration du point de terminaison du VPN client](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html#cvpn-getting-started-config).
1. Au cours de ces étapes, il vous est demandé d'ajouter une chaîne au nom DNS de votre point de terminaison VPN Client. Voici un exemple :
1.
**Example nom DNS du point de terminaison**
Si le nom DNS du point de terminaison de votre Client VPN est :
```
remote cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443
```
Vous pouvez ajouter une chaîne pour identifier le point de terminaison de votre Client VPN comme suit :
```
remote {{mwaavpn}}.cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443
```
1. Au cours de ces étapes, il vous est demandé d'ajouter le contenu du certificat client entre un nouvel ensemble de `` balises et le contenu de la clé privée entre un nouvel ensemble de `` balises. Voici un exemple :
1. Ouvrez une invite de commande et remplacez les répertoires par l'emplacement de votre certificat client et de votre clé privée.
1.
**Example macOS client1.domain.tld.crt**
Pour afficher le contenu du `client1.domain.tld.crt` fichier sur macOS, vous pouvez utiliser`cat client1.domain.tld.crt`.
Copiez la valeur depuis le terminal et collez-la `downloaded-client-config.ovpn` comme ceci :
```
ZZZ1111dddaBBB
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{YOUR client1.domain.tld.crt}}
-----END CERTIFICATE-----
```
1.
**Example macOS client1.domain.tld.key**
Pour afficher le contenu du`client1.domain.tld.key`, vous pouvez utiliser`cat client1.domain.tld.key`.
Copiez la valeur depuis le terminal et collez-la `downloaded-client-config.ovpn` comme ceci :
```
ZZZ1111dddaBBB
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{YOUR client1.domain.tld.crt}}
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{YOUR client1.domain.tld.key}}
-----END CERTIFICATE-----
```
## Huitième étape : Connectez-vous au AWS Client VPN
Le formulaire client AWS Client VPN est fourni gratuitement. Vous pouvez connecter directement votre ordinateur AWS Client VPN pour bénéficier d'une expérience end-to-end VPN.
**Pour vous connecter au Client VPN**
1. Téléchargez et installez le [AWS Client VPN pour ordinateur de bureau](https://aws.amazon.com/vpn/client-vpn-download/).
1. Ouvrez le AWS Client VPN.
1. Choisissez **Fichier**, **Profils gérés** dans le menu du client VPN.
1. Choisissez **Ajouter un profil**, puis sélectionnez le`downloaded-client-config.ovpn`.
1. Entrez un nom descriptif dans **Nom d'affichage**.
1. Choisissez **Ajouter un profil**, **OK**.
1. Choisissez **Se connecter**.
Une fois connecté au Client VPN, vous devez vous déconnecter des autres VPNs pour accéder aux ressources de votre Amazon VPC.
**Note**
Il se peut que vous deviez quitter le client et recommencer avant de pouvoir vous connecter.
## Quelle est la prochaine étape ?
+ Découvrez comment créer un environnement Amazon MWAA dans[Commencez avec Amazon Managed Workflows for Apache Airflow](get-started.md). Vous devez créer un environnement Région AWS identique à celui du VPN client et utiliser le même VPC, les mêmes sous-réseaux privés et le même groupe de sécurité que le VPN client.