View a markdown version of this page

Menghubungkan ke alat yang dihosting secara pribadi - AWS DevOps Agen
Ikhtisar koneksi pribadiBuat koneksi pribadiGunakan koneksi pribadi dengan penyedia kemampuanVerifikasi koneksi pribadiHapus koneksi pribadiPengaturan lanjutan menggunakan sumber daya VPC Lattice yang adaTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan ke alat yang dihosting secara pribadi

Ikhtisar koneksi pribadi

AWS DevOps Agen dapat diperluas dengan alat Model Context Protocol (MCP) kustom dan integrasi lain yang memberikan agen akses ke sistem internal seperti registrasi paket pribadi, platform observabilitas yang dihosting sendiri, dokumentasi internal APIs, dan instance kontrol sumber (lihat:). Mengkonfigurasi kemampuan untuk Agen AWS DevOps Layanan ini sering berjalan di dalam Amazon Virtual Private Cloud (Amazon VPC) dengan akses internet publik terbatas atau tidak ada, yang berarti AWS DevOps Agen tidak dapat menjangkau mereka secara default.

Koneksi pribadi untuk AWS DevOps Agen memungkinkan Anda menghubungkan Ruang Agen Anda dengan aman ke layanan yang berjalan di VPC Anda tanpa memaparkannya ke internet publik. Koneksi pribadi bekerja dengan integrasi apa pun yang perlu mencapai titik akhir pribadi, termasuk server MCP, instans Grafana atau Splunk yang dihosting sendiri, dan sistem kontrol sumber seperti Server Perusahaan dan Dikelola Sendiri. GitHub GitLab

catatan

Jika alat yang dihosting secara pribadi Anda membuat permintaan keluar ke AWS DevOps Agen dari dalam VPC Anda, lalu lintas ini juga dapat diamankan dengan menggunakan Titik Akhir VPC sehingga tetap berada di dalam jaringan. AWS Misalnya, ini dapat digunakan dengan alat yang memicu DevOps Agen melalui peristiwa webhook (lihat:Memanggil DevOps Agen melalui Webhook). Untuk informasi selengkapnya, lihat VPC Endpoint (AWS PrivateLink).

Cara kerja koneksi pribadi

Koneksi pribadi menciptakan jalur jaringan yang aman antara AWS DevOps Agen dan sumber daya target di VPC Anda. Di bawah tenda, AWS DevOps Agen menggunakan Amazon VPC Lattice untuk membuat jalur konektivitas pribadi yang aman ini. VPC Lattice adalah layanan jaringan aplikasi yang memungkinkan Anda terhubung, mengamankan, dan memantau komunikasi antara aplikasi di seluruh VPCs, akun, dan jenis komputasi, tanpa mengelola infrastruktur jaringan yang mendasarinya.

Saat Anda membuat koneksi pribadi, hal berikut terjadi:

  • Anda menyediakan VPC, subnet, dan grup keamanan (opsional) yang memiliki konektivitas jaringan ke layanan target Anda.

  • AWS DevOps Agen membuat gateway sumber daya yang dikelola layanan dan menyediakan antarmuka jaringan elastis (ENIs) di subnet yang Anda tentukan.

  • Agen menggunakan gateway sumber daya untuk mengarahkan lalu lintas ke alamat IP atau nama DNS layanan target Anda melalui jalur jaringan pribadi.

Gateway sumber daya sepenuhnya dikelola oleh AWS DevOps Agen dan muncul sebagai sumber daya hanya-baca di akun Anda (bernamaaidevops-{your-private-connection-name}). Anda tidak perlu mengkonfigurasi atau memeliharanya. Satu-satunya sumber daya yang dibuat di VPC Anda ada ENIs di subnet yang Anda tentukan. Ini ENIs berfungsi sebagai titik masuk untuk lalu lintas pribadi dan dikelola sepenuhnya oleh layanan. Mereka tidak menerima koneksi masuk dari internet, dan Anda mempertahankan kontrol penuh atas lalu lintas mereka melalui grup keamanan Anda sendiri.

Keamanan

Koneksi pribadi dirancang dengan beberapa lapisan keamanan:

  • Tidak ada eksposur internet publik — Semua lalu lintas antara AWS DevOps Agen dan layanan target Anda tetap berada di AWS jaringan. Layanan Anda tidak pernah membutuhkan alamat IP publik atau gateway internet.

  • Gateway sumber daya yang dikendalikan layanan — Gateway sumber daya yang dikelola layanan hanya dapat dibaca di akun Anda. Ini hanya dapat digunakan oleh AWS DevOps Agen, dan tidak ada layanan atau prinsipal lain yang dapat mengarahkan lalu lintas melaluinya. Anda dapat memverifikasi ini di AWS CloudTraillog, yang merekam semua panggilan VPC Lattice API.

  • Grup keamanan Anda, aturan Anda — Anda mengontrol lalu lintas masuk dan keluar ke grup keamanan ENIs melalui yang Anda miliki dan kelola. Jika Anda tidak menentukan grup keamanan, AWS DevOps Agen akan membuat grup keamanan default yang tercakup ke port yang Anda tentukan.

  • Peran terkait layanan dengan hak istimewa paling sedikit — AWS DevOps Agen menggunakan peran terkait layanan untuk hanya membuat sumber daya VPC Lattice dan Amazon EC2 yang diperlukan. Peran ini tercakup pada sumber daya yang ditandai AWSAIDevOpsManaged dan tidak dapat mengakses sumber daya lain di akun Anda.

catatan

Jika organisasi Anda memiliki kebijakan kontrol layanan (SCPs) yang membatasi tindakan VPC Lattice API, gateway sumber daya yang dikelola layanan dibuat melalui peran terkait layanan. Pastikan Anda SCPs mengizinkan tindakan yang diperlukan untuk peran terkait layanan.

Arsitektur

Diagram berikut menunjukkan jalur jaringan untuk koneksi pribadi.

Dalam arsitektur ini:

  • AWS DevOps Agen memulai permintaan ke layanan target Anda.

  • Amazon VPC Lattice merutekan permintaan melalui gateway sumber daya yang dikelola layanan di VPC Anda. Untuk pengaturan lanjutan yang menggunakan sumber daya VPC Lattice Anda sendiri, lihat Penyiapan lanjutan menggunakan sumber daya VPC Lattice yang ada.

  • ENI di VPC Anda menerima lalu lintas dan meneruskannya ke alamat IP atau nama DNS layanan target Anda.

  • Grup keamanan Anda mengatur lalu lintas mana yang diizinkan melalui. ENIs

  • Dari perspektif layanan target Anda, permintaan berasal dari alamat IP pribadi ENIs dalam VPC Anda.

Buat koneksi pribadi

Anda dapat membuat koneksi pribadi menggunakan Konsol AWS Manajemen atau AWS CLI.

catatan

Availability Zone berikut tidak didukung oleh VPC Lattice:use1-az3,,,usw1-az2,,apne1-az3, apne2-az2euc1-az2,euw1-az4. cac1-az3 ilc1-az2

Prasyarat

Sebelum membuat koneksi pribadi, verifikasi bahwa Anda memiliki yang berikut:

  • Ruang Agen aktif — Anda memerlukan Ruang Agen yang ada di akun Anda. Jika Anda tidak memilikinya, lihat Memulai dengan AWS DevOps Agen.

  • Layanan target yang dapat dijangkau secara pribadi — Server MCP Anda, platform observabilitas, atau layanan lainnya harus dapat dijangkau di alamat IP pribadi atau nama DNS yang diketahui dari VPC tempat gateway sumber daya digunakan. Layanan dapat berjalan di VPC yang sama, VPC peered, atau lokal, asalkan dapat dirutekan dari subnet gateway sumber daya. Layanan harus melayani lalu lintas HTTPS dengan versi TLS minimum 1.2 pada port yang Anda tentukan saat membuat koneksi.

  • Subnet di VPC Anda — Identifikasi 1-20 subnet tempat subnet akan dibuat. ENIs Sebaiknya pilih subnet di beberapa Availability Zone untuk ketersediaan tinggi. Subnet ini harus memiliki konektivitas jaringan ke layanan target Anda. Satu subnet per Availability Zone dapat digunakan oleh VPC Lattice.

  • (Opsional) Grup keamanan — Jika Anda ingin mengontrol lalu lintas dengan aturan tertentu, siapkan hingga lima grup keamanan IDs untuk dilampirkan ke ENIs. Jika Anda menghilangkan grup keamanan, AWS DevOps Agen akan membuat grup keamanan default.

Koneksi pribadi adalah sumber daya tingkat akun. Setelah membuat koneksi pribadi, Anda dapat menggunakannya kembali di beberapa integrasi dan Ruang Agen yang perlu menjangkau host yang sama.

Buat koneksi pribadi menggunakan konsol

  1. Buka konsol AWS DevOps Agen.

  2. Di panel navigasi, pilih Penyedia kemampuan, lalu pilih Koneksi pribadi.

  3. Pilih Buat koneksi baru.

  4. Untuk Nama, masukkan nama deskriptif untuk koneksi, sepertimy-mcp-tool-connection.

  5. Untuk VPC, pilih VPC tempat gateway ENIs sumber daya akan digunakan.

  6. Untuk Subnet, pilih satu atau lebih subnet (hingga 20). Sebaiknya pilih subnet di setidaknya dua Availability Zone.

  7. Untuk jenis alamat IP, pilih jenis alamat IP dari layanan target Anda (IPv4,IPv6, atauDualStack).

  8. (Opsional) Untuk Jumlah IPv4 alamat, jika Anda memilih IPv4 atau Dualstack untuk jenis alamat IP, Anda dapat memasukkan jumlah IPv4 alamat per ENI untuk gateway sumber daya Anda. Standarnya adalah 16 IPv4 alamat per ENI.

  9. (Opsional) Untuk grup Keamanan, pilih grup keamanan yang ada (hingga 5) untuk membatasi lalu lintas apa yang diizinkan untuk mencapai layanan target Anda. Jika Anda tidak memilih salah satu, grup keamanan default akan dibuat.

  10. (Opsional) Untuk rentang Port, tentukan port TCP yang didengarkan aplikasi target Anda (misalnya, 443 atau8080-8090). Anda dapat menentukan hingga 11 rentang port.

  11. Untuk alamat Host, masukkan alamat IP atau nama DNS dari layanan target Anda (misalnya, mcp.internal.example.com atau10.0.1.50). Layanan harus dapat dijangkau dari VPC yang dipilih. Jika Anda memilih nama DNS, itu harus dapat diselesaikan dari VPC yang dipilih.

  12. (Opsional) Untuk kunci publik Sertifikat, jika alamat host yang Anda tentukan menggunakan sertifikat TLS yang dikeluarkan oleh otoritas sertifikat pribadi, masukkan kunci publik sertifikat yang dikodekan PEM. Hal ini memungkinkan AWS DevOps Agen untuk mempercayai koneksi TLS ke layanan target Anda.

  13. Pilih Buat koneksi.

Status koneksi berubah menjadi Create in progress. Proses ini bisa memakan waktu hingga 10 menit. Ketika status berubah menjadi Aktif, jalur jaringan siap.

Jika status berubah menjadi Create gagal, verifikasi hal berikut:

  • Subnet yang Anda tentukan memiliki alamat IP yang tersedia.

  • Akun Anda belum mencapai kuota layanan VPC Lattice.

  • Tidak ada kebijakan IAM yang membatasi yang mencegah peran terkait layanan menciptakan sumber daya.

catatan

Langkah-langkah ini juga dapat dilakukan dengan memilih Create a new private connection selama pendaftaran penyedia kemampuan. Untuk informasi selengkapnya, lihat Menggunakan koneksi pribadi dengan penyedia kemampuan.

Buat koneksi pribadi menggunakan AWS CLI

Jalankan perintah berikut untuk membuat koneksi pribadi. Ganti nilai placeholder dengan milik Anda sendiri.

aws devops-agent create-private-connection \
    --name my-mcp-tool-connection \
    --mode '{
        "serviceManaged": {
            "hostAddress": "mcp.internal.example.com",
            "vpcId": "vpc-0123456789abcdef0",
            "subnetIds": [
                "subnet-0123456789abcdef0",
                "subnet-0123456789abcdef1"
            ],
            "securityGroupIds": [
                "sg-0123456789abcdef0"
            ],
            "portRanges": ["443"]
        }
    }'

Tanggapan tersebut mencakup nama koneksi dan statusCREATE_IN_PROGRESS:

{
    "name": "my-mcp-tool-connection",
    "status": "CREATE_IN_PROGRESS",
    "resourceGatewayId": "rgw-0123456789abcdef0",
    "hostAddress": "mcp.internal.example.com",
    "vpcId": "vpc-0123456789abcdef0"
}

Untuk memeriksa status koneksi, gunakan describe-private-connection perintah:

aws devops-agent describe-private-connection \
    --name my-mcp-tool-connection

Ketika statusnyaACTIVE, koneksi pribadi Anda siap digunakan.

Gunakan koneksi pribadi dengan penyedia kemampuan

Untuk menggunakan koneksi pribadi, Anda dapat menautkannya selama pendaftaran penyedia kemampuan. Kemampuan yang didukung yang dapat digunakan dengan koneksi pribadi meliputi:GitHub,GitLab,MCP Server, danGrafana. Anda dapat melakukan langkah ini menggunakan AWS Management Console atau AWS CLI.

catatan

Saat mendaftarkan penyedia kemampuan, AWS DevOps Agen memvalidasi bahwa titik akhir dapat dijangkau dan merespons. Pastikan layanan target Anda berjalan dan menerima koneksi sebelum menyelesaikan pendaftaran.

Gunakan koneksi pribadi dengan penyedia kemampuan menggunakan konsol

Di konsol AWS DevOps Agen, koneksi pribadi dapat ditautkan ke kemampuan saat pendaftaran dengan memilih opsi “Connect to endpoint using a private connection”.

  1. Buka konsol AWS DevOps Agen dan arahkan ke Ruang Agen Anda.

  2. Di bagian Penyedia Kemampuan, pilih Registrasi.

  3. Pilih Daftar untuk jenis kemampuan yang ingin Anda gunakan dengan koneksi pribadi.

  4. Pada tampilan detail pendaftaran, masukkan URL Titik Akhir yang ingin Anda sambungkan menggunakan koneksi pribadi (misalnya,https://mcp.internal.example.com).

  5. Pilih Connect to endpoint menggunakan koneksi pribadi.

  6. Pilih koneksi pribadi yang ada yang sesuai dengan URL Titik Akhir yang ingin Anda sambungkan, atau pilih Buat koneksi pribadi baru untuk membuatnya.

  7. Selesaikan proses pendaftaran untuk penyedia kemampuan.

catatan

Saat Anda memilih koneksi pribadi untuk penyedia kemampuan yang menggunakan OAuth otentikasi (Client Credentials atau 3LO), koneksi pribadi berlaku untuk titik akhir penyedia kemampuan dan titik akhir pertukaran token. Pastikan koneksi pribadi dikonfigurasi dengan alamat host yang dapat merutekan lalu lintas ke kedua titik akhir.

Gunakan koneksi pribadi dengan penyedia kemampuan menggunakan AWS CLI

Anda dapat mendaftarkan kemampuan dengan koneksi pribadi dengan memasukkan private-connection-name argumen. Di bawah ini adalah contoh mendaftarkan Server MCP dengan otorisasi API Key menggunakan koneksi my-mcp-tool-connection pribadi. Ganti nilai placeholder dengan milik Anda sendiri.

aws devops-agent register-service \
    --service mcpserver \
    --private-connection-name my-mcp-tool-connection \
    --service-details '{
        "mcpserver": {
            "name": "my-mcp-tool",
            "endpoint": "https://mcp.internal.example.com",
            "authorizationConfig": {
                "apiKey": {
                    "apiKeyName": "api-key",
                    "apiKeyValue": "secret-value",
                    "apiKeyHeader": "x-api-key"
                }
            }
        }
    }' \
    --region us-east-1

Verifikasi koneksi pribadi

Setelah koneksi pribadi mencapai status Aktif dan telah digunakan oleh penyedia kemampuan, verifikasi bahwa AWS DevOps Agen dapat mencapai layanan target Anda:

  1. Buka konsol AWS DevOps Agen dan arahkan ke Ruang Agen Anda.

  2. Mulai sesi obrolan baru.

  3. Memanggil perintah yang menggunakan integrasi yang didukung oleh koneksi pribadi Anda. Misalnya, jika alat MCP Anda menyediakan akses ke basis pengetahuan internal, ajukan pertanyaan kepada agen yang memerlukan basis pengetahuan tersebut.

  4. Konfirmasikan bahwa agen mengembalikan hasil dari layanan pribadi.

Jika koneksi gagal, periksa hal berikut:

  • Batas Kisi VPC - Verifikasi bahwa Anda belum mencapai gateway sumber daya atau batas kuota VPC Lattice lainnya

  • Aturan grup keamanan — Verifikasi bahwa grup keamanan yang dilampirkan pada ENIs mengizinkan lalu lintas keluar di port yang didengarkan layanan Anda. Juga verifikasi bahwa grup keamanan layanan Anda memungkinkan lalu lintas masuk pada port target. Lalu lintas tiba dari pesawat data VPC Lattice dalam jangkauan VPC IPs CIDR Anda. Anda dapat menggunakan referensi grup keamanan (mengizinkan grup keamanan ENI sebagai sumber) atau mengizinkan masuk dari CIDR VPC.

  • Konektivitas subnet — Verifikasi bahwa subnet yang Anda pilih dapat merutekan lalu lintas ke layanan Anda. Jika layanan berjalan di subnet yang berbeda, konfirmasikan bahwa tabel rute memungkinkan lalu lintas di antara mereka.

  • Ketersediaan layanan — Konfirmasikan bahwa layanan Anda berjalan dan menerima koneksi pada port yang diharapkan.

  • Zona Ketersediaan Tidak Didukung - Verifikasi subnet Anda berada di Availability Zone yang didukung. Jalankan aws ec2 describe-subnets --subnet-ids <your-subnet-ids> --query 'Subnets[*].[SubnetId,AvailabilityZoneId]' dan periksa Availability Zone yang tidak didukung yang tercantum di atas.

Hapus koneksi pribadi

Anda dapat menghapus koneksi pribadi yang tidak digunakan menggunakan Konsol AWS Manajemen atau AWS CLI.

Hapus koneksi pribadi menggunakan konsol

  1. Buka konsol AWS DevOps Agen.

  2. Di panel navigasi, pilih Penyedia kemampuan, lalu pilih Koneksi pribadi.

  3. Pilih menu Tindakan untuk koneksi pribadi yang ingin Anda hapus, dan pilih Hapus.

Koneksi pribadi akan ditampilkan dengan status “Menghapus koneksi” sementara AWS DevOps Agen menghapus gateway sumber daya terkelola dan ENIs dari VPC Anda. Setelah penghapusan selesai, koneksi tidak lagi muncul di daftar koneksi pribadi Anda.

Hapus koneksi pribadi menggunakan AWS CLI

aws devops-agent delete-private-connection \
    --name my-mcp-tool-connection

Respons mengembalikan statusDELETE_IN_PROGRESS. AWS DevOps Agen menghapus gateway sumber daya terkelola dan ENIs dari VPC Anda. Setelah penghapusan selesai, koneksi tidak lagi muncul di daftar koneksi pribadi Anda.

Pengaturan lanjutan menggunakan sumber daya VPC Lattice yang ada

Jika organisasi Anda sudah menggunakan Amazon VPC Lattice dan mengelola konfigurasi sumber daya Anda sendiri, Anda dapat membuat sambungan pribadi dalam mode yang dikelola sendiri. Alih-alih meminta AWS DevOps Agen membuat gateway sumber daya untuk Anda, Anda memberikan Nama Sumber Daya Amazon (ARN) dari konfigurasi sumber daya yang ada yang mengarah ke layanan target Anda.

Pendekatan ini berguna ketika Anda:

  • Ingin kontrol penuh atas gateway sumber daya dan siklus hidup konfigurasi sumber daya.

  • Perlu berbagi konfigurasi sumber daya di beberapa AWS akun atau layanan.

  • Memerlukan log akses VPC Lattice untuk pemantauan lalu lintas terperinci.

  • Jalankan arsitektur hub-and-spoke jaringan.

Untuk membuat koneksi pribadi yang dikelola sendiri dengan AWS CLI:

aws devops-agent create-private-connection \
    --name my-advanced-connection \
    --mode '{
        "selfManaged": {
            "resourceConfigurationId": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0123456789abcdef0"
        }
    }'

Untuk detail selengkapnya tentang menyiapkan gateway sumber daya VPC Lattice dan konfigurasi sumber daya, lihat Panduan Pengguna Amazon VPC Lattice.