Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakan Linux Bastion Host
Tutorial ini memandu Anda melalui langkah-langkah untuk membuat terowongan SSH dari komputer Anda ke server web Apache Airflow untuk Amazon Managed Workflow untuk lingkungan Apache Airflow Anda. Ini mengasumsikan Anda telah membuat lingkungan Amazon MWAA. Setelah diatur, Linux Bastion Host bertindak sebagai server lompat yang memungkinkan koneksi aman dari komputer Anda ke sumber daya di VPC Anda. Anda kemudian akan menggunakan add-on manajemen proxy SOCKS untuk mengontrol pengaturan proxy di browser Anda untuk mengakses UI Apache Airflow Anda.
**Topics**
+ [Jaringan pribadi](#private-network-lb-onconsole)
+ [Kasus penggunaan](#private-network-lb-usecases)
+ [Sebelum Anda mulai](#private-network-lb-prereqs)
+ [Tujuan](#private-network-lb-objectives)
+ [Langkah satu: Buat instance bastion](#private-network-lb-create-bastion)
+ [Langkah kedua: Buat terowongan ssh](#private-network-lb-create-test)
+ [Langkah ketiga: Konfigurasikan grup keamanan bastion sebagai aturan masuk](#private-network-lb-create-sgsource)
+ [Langkah empat: Salin URL Apache Airflow](#private-network-lb-view-env)
+ [Langkah lima: Konfigurasikan pengaturan proxy](#private-network-lb-browser-extension)
+ [Langkah enam: Buka Apache Airflow UI](#private-network-lb-open)
+ [Apa selanjutnya?](#bastion-next-up)
## Jaringan pribadi
Tutorial ini mengasumsikan Anda telah memilih mode akses **jaringan Pribadi** untuk server web Apache Airflow Anda.
[Mode akses jaringan pribadi membatasi akses ke UI Apache Airflow kepada pengguna *dalam VPC Amazon* Anda yang telah diberikan akses ke kebijakan IAM untuk lingkungan Anda.](access-policies.md)
Saat Anda membuat lingkungan dengan akses server web pribadi, Anda harus mengemas semua dependensi Anda dalam arsip roda Python (`.whl`), lalu mereferensikan di file Anda. `.whl` `requirements.txt` Untuk petunjuk tentang pengemasan dan pemasangan dependensi Anda menggunakan roda, lihat [Mengelola dependensi menggunakan](best-practices-dependencies.md#best-practices-dependencies-python-wheels) roda Python.
Gambar berikut menggambarkan di mana menemukan opsi **Jaringan pribadi** di konsol Amazon MWAA.
## Kasus penggunaan
Anda dapat menggunakan tutorial ini setelah Anda membuat lingkungan Amazon MWAA. Anda harus menggunakan VPC Amazon, grup keamanan VPC, dan subnet publik yang sama dengan lingkungan Anda.
## Sebelum Anda mulai
1. Periksa izin pengguna. Pastikan akun Anda di AWS Identity and Access Management (IAM) memiliki izin yang cukup untuk membuat dan mengelola sumber daya VPC.
1. Gunakan VPC Amazon MWAA Anda. Tutorial ini mengasumsikan bahwa Anda mengaitkan host bastion ke VPC yang ada. VPC Amazon harus berada di wilayah yang sama dengan lingkungan Amazon MWAA Anda dan memiliki dua subnet pribadi, seperti yang didefinisikan dalam. [Buat jaringan VPC](vpc-create.md)
1. Buat kunci SSH Anda perlu membuat kunci EC2 SSH Amazon (**.pem**) di Wilayah yang sama dengan lingkungan Amazon MWAA Anda untuk terhubung ke server virtual. Jika Anda tidak memiliki kunci SSH, lihat [Buat atau impor key pair](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#prepare-key-pair) di *Panduan EC2 Pengguna Amazon*.
## Tujuan
Dalam tutorial ini, Anda akan melakukan hal berikut:
1. Buat instance Linux Bastion Host menggunakan [CloudFormation template untuk VPC yang ada](https://fwd.aws/vWMxm).
1. Otorisasi lalu lintas masuk ke grup keamanan instans bastion menggunakan aturan ingress di port. `22`
1. Otorisasi lalu lintas masuk dari grup keamanan lingkungan Amazon MWAA ke grup keamanan instans benteng.
1. Buat terowongan SSH ke instance bastion.
1. Instal dan konfigurasikan FoxyProxy add-on untuk browser Firefox untuk mengakses Apache Airflow UI.
## Langkah satu: Buat instance bastion
Bagian berikut menjelaskan langkah-langkah untuk membuat instance bastion linux menggunakan [CloudFormation template untuk VPC yang ada](https://fwd.aws/vWMxm) di CloudFormation konsol.
**Untuk membuat Linux Bastion Host**
1. Buka halaman [Deploy Quick Start](https://fwd.aws/Jwzqv) di CloudFormation konsol.
1. Gunakan pemilih wilayah di bilah navigasi untuk memilih yang Wilayah AWS sama dengan lingkungan Amazon MWAA Anda.
1. Pilih **Berikutnya**.
1. Masukkan nama di bidang teks **nama Stack**, seperti`mwaa-linux-bastion`.
1. Pada panel **Parameter**, **Konfigurasi jaringan**, pilih opsi berikut:
1. **Pilih ID VPC lingkungan Amazon MWAA Anda.**
1. Pilih ID **subnet 1 Publik** lingkungan Amazon MWAA Anda.
1. Pilih ID **subnet 2 Publik** lingkungan Amazon MWAA Anda.
1. Masukkan rentang alamat yang paling sempit (misalnya, rentang CIDR internal) di CIDR akses **eksternal benteng yang diizinkan**.
**catatan**
Cara termudah untuk mengidentifikasi rentang adalah dengan menggunakan rentang CIDR yang sama dengan subnet publik Anda. Misalnya, subnet publik dalam CloudFormation template pada [Buat jaringan VPC](vpc-create.md) halaman adalah `10.192.10.0/24` dan`10.192.11.0/24`.
1. Pada panel ** EC2 konfigurasi Amazon**, pilih yang berikut ini:
1. Pilih kunci SSH Anda di daftar dropdown di Nama pasangan **kunci**.
1. Masukkan nama di **Nama Host Bastion**.
1. Pilih **true** untuk **penerusan TCP**.
**Awas**
Penerusan TCP harus disetel ke **true** pada langkah ini. Jika tidak, Anda tidak akan dapat membuat terowongan SSH di langkah berikutnya.
1. Pilih **Berikutnya**, **Berikutnya**.
1. Pilih pengakuan, lalu pilih **Buat** tumpukan.
Untuk mempelajari lebih lanjut tentang arsitektur Linux Bastion Host Anda, lihat Linux Bastion [Hosts on the AWS Cloud:](https://docs.aws.amazon.com/quickstart/latest/linux-bastion/architecture.html) Architecture.
## Langkah kedua: Buat terowongan ssh
Langkah-langkah berikut menjelaskan cara membuat terowongan ssh ke bastion linux Anda. Terowongan SSH menerima permintaan dari alamat IP lokal Anda ke bastion linux, itulah sebabnya penerusan TCP untuk benteng linux diatur ke langkah sebelumnya. `true`
------
#### [ macOS/Linux ]
**Untuk membuat terowongan menggunakan baris perintah**
1. Buka halaman [Instans](https://console.aws.amazon.com/ec2/v2/home#/Instances:) di EC2 konsol Amazon.
1. Pilih instans.
1. Salin alamat di ** IPv4 DNS Publik**. Misalnya, `ec2-4-82-142-1.compute-1.amazonaws.com`.
1. Di prompt perintah Anda, arahkan ke direktori tempat kunci SSH Anda disimpan.
1. Jalankan perintah berikut untuk terhubung ke instance bastion menggunakan ssh. Ganti nilai sampel dengan nama kunci SSH Anda di`mykeypair.pem`.
```
ssh -i {{mykeypair.pem}} -N -D 8157 ec2-user@{{YOUR_PUBLIC_IPV4_DNS}}
```
------
#### [ Windows (PuTTY) ]
**Untuk membuat terowongan menggunakan PuTTY**
1. Buka halaman [Instans](https://console.aws.amazon.com/ec2/v2/home#/Instances:) di EC2 konsol Amazon.
1. Pilih instans.
1. Salin alamat di ** IPv4 DNS Publik**. Misalnya, `ec2-4-82-142-1.compute-1.amazonaws.com`.
1. **Buka [PuTTY](https://www.putty.org/), pilih Session.**
1. **Masukkan nama host di **Nama Host** sebagai ec2-user@ {{YOUR\_PUBLIC\_IPV4\_DNS}} dan port sebagai.** `22`
1. Perluas tab **SSH**, pilih **Auth**. Dalam **file Kunci Pribadi untuk otentikasi**, pilih file “ppk” lokal Anda.
1. Di bawah SSH, pilih tab **Tunnels**, lalu pilih opsi *Dinamis* dan *Otomatis*.
1. Di **Port Sumber**, tambahkan `8157` port (atau port lain yang tidak digunakan), lalu biarkan port **Tujuan** kosong. Pilih **Tambahkan**.
1. Pilih tab **Sesi** dan masukkan nama sesi. Sebagai contoh, `SSH Tunnel`.
1. Pilih **Simpan**, **Buka**.
**catatan**
Anda mungkin perlu memasukkan frasa lulus untuk kunci publik Anda.
------
**catatan**
Jika Anda menerima `Permission denied (publickey)` kesalahan, sebaiknya gunakan [AWSSupport-TroubleshootSSH](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-awssupport-troubleshootssh.html)alat ini, dan pilih **Jalankan Otomasi ini (konsol)** untuk memecahkan masalah pengaturan SSH Anda.
## Langkah ketiga: Konfigurasikan grup keamanan bastion sebagai aturan masuk
Akses ke server dan akses internet reguler dari server diperbolehkan dengan grup keamanan pemeliharaan khusus yang terpasang pada server tersebut. Langkah-langkah berikut menjelaskan cara mengkonfigurasi grup keamanan bastion sebagai sumber lalu lintas masuk ke grup keamanan VPC lingkungan.
1. Buka halaman [Lingkungan](https://console.aws.amazon.com/mwaa/home#/environments) di konsol Amazon MWAA.
1. Pilih lingkungan.
1. Pada panel **Networking**, pilih grup keamanan **VPC**.
1. Pilih **Edit aturan masuk**.
1. Pilih **Tambahkan aturan**.
1. Pilih ID grup keamanan VPC Anda di daftar dropdown **Sumber**.
1. Biarkan opsi yang tersisa kosong, atau atur ke nilai defaultnya.
1. Pilih **Simpan aturan**.
## Langkah empat: Salin URL Apache Airflow
Langkah-langkah berikut menjelaskan cara membuka konsol Amazon MWAA dan menyalin URL ke UI Apache Airflow.
1. Buka halaman [Lingkungan](https://console.aws.amazon.com/mwaa/home#/environments) di konsol Amazon MWAA.
1. Pilih lingkungan.
1. Salin URL di **Airflow UI** untuk langkah selanjutnya.
## Langkah lima: Konfigurasikan pengaturan proxy
Jika Anda menggunakan terowongan SSH dengan penerusan port dinamis, Anda harus menggunakan add-on manajemen proksi SOCKS untuk mengendalikan pengaturan proksi di peramban Anda. Misalnya, Anda dapat menggunakan `--proxy-server` fitur Chromium untuk memulai sesi browser, atau menggunakan FoxyProxy ekstensi di browser Mozilla FireFox .
### Opsi satu: Siapkan Terowongan SSH menggunakan penerusan port lokal
Jika Anda tidak ingin menggunakan proxy SOCKS, Anda dapat mengatur terowongan SSH menggunakan penerusan port lokal. Contoh perintah berikut mengakses antarmuka EC2 *ResourceManager*web Amazon dengan meneruskan lalu lintas pada port lokal 8157.
1. Buka jendela prompt perintah baru.
1. Masukkan perintah berikut untuk membuka terowongan SSH.
```
ssh -i {{mykeypair.pem}} -N -L 8157:{{YOUR_VPC_ENDPOINT_ID}}-vpce.{{us-east-1}}.airflow.amazonaws.com:443 ubuntu@{{YOUR_PUBLIC_IPV4_DNS}}.{{us-east-1}}.compute.amazonaws.com
```
`-L`menandakan penggunaan penerusan port lokal yang dapat Anda gunakan untuk menentukan port lokal yang digunakan untuk meneruskan data ke port jarak jauh yang diidentifikasi pada server web lokal node.
1. Masukkan `http://localhost:8157/` di browser Anda.
**catatan**
Anda mungkin perlu menggunakannya`https://localhost:8157/`.
### Opsi dua: Proxy menggunakan baris perintah
Anda dapat menggunakan sebagian besar browser web untuk mengkonfigurasi proxy menggunakan baris perintah atau parameter konfigurasi. Misalnya, dengan Chromium Anda dapat memulai browser dengan perintah berikut:
```
chromium --proxy-server="socks5://localhost:8157"
```
Ini memulai sesi browser yang menggunakan terowongan ssh yang Anda buat di langkah sebelumnya untuk mem-proxy permintaannya. Anda dapat membuka URL lingkungan Amazon MWAA Pribadi Anda (dengan *https://*) sebagai berikut:
```
https://{{YOUR_VPC_ENDPOINT_ID}}-vpce.{{us-east-1}}.airflow.amazonaws.com/home.
```
### Opsi tiga: Proksi yang digunakan FoxyProxy untuk Mozilla Firefox
Contoh berikut menunjukkan konfigurasi FoxyProxy Standar (versi 7.5.1) untuk Mozilla Firefox. FoxyProxy menyediakan satu set alat manajemen proxy. Ini memungkinkan Anda menggunakan server proxy untuk pola pencocokan URLs yang sesuai dengan domain yang digunakan oleh Apache Airflow UI.
1. Di Firefox, buka halaman ekstensi [FoxyProxy Standar](https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/).
1. Pilih **Tambahkan ke Firefox**.
1. Pilih **Tambahkan**.
1. Pilih FoxyProxy ikon di bilah alat browser Anda, pilih **Opsi**.
1. Salin kode berikut dan simpan secara lokal sebagai`mwaa-proxy.json`. Ganti nilai sampel {{YOUR\_HOST\_NAME}} dengan URL **Apache Airflow** Anda.
```
{
"e0b7kh1606694837384": {
"type": 3,
"color": "#66cc66",
"title": "airflow",
"active": true,
"address": "localhost",
"port": 8157,
"proxyDNS": false,
"username": "",
"password": "",
"whitePatterns": [
{
"title": "airflow-ui",
"pattern": "{{YOUR_HOST_NAME}}",
"type": 1,
"protocols": 1,
"active": true
}
],
"blackPatterns": [],
"pacURL": "",
"index": -1
},
"k20d21508277536715": {
"active": true,
"title": "Default",
"notes": "These are the settings that are used when no patterns match a URL.",
"color": "#0055E5",
"type": 5,
"whitePatterns": [
{
"title": "all URLs",
"active": true,
"pattern": "*",
"type": 1,
"protocols": 1
}
],
"blackPatterns": [],
"index": 9007199254740991
},
"logging": {
"active": true,
"maxSize": 500
},
"mode": "patterns",
"browserVersion": "82.0.3",
"foxyProxyVersion": "7.5.1",
"foxyProxyEdition": "standard"
}
```
1. Pada **Pengaturan Impor dari FoxyProxy 6.0\+** panel, pilih **Pengaturan Impor** dan pilih file. `mwaa-proxy.json`
1. Pilih **OK**.
## Langkah enam: Buka Apache Airflow UI
Langkah-langkah berikut menjelaskan cara membuka UI Apache Airflow Anda.
1. Buka halaman [Lingkungan](https://console.aws.amazon.com/mwaa/home#/environments) di konsol Amazon MWAA.
1. Pilih **Buka UI Aliran Udara**.
## Apa selanjutnya?
+ Pelajari cara menjalankan perintah CLI Airflow di terowongan SSH ke host bastion di. [Referensi perintah CLI Apache Airflow](airflow-cli-command-reference.md)
+ Pelajari cara mengunggah kode DAG ke bucket Amazon S3 Anda. [Menambahkan atau memperbarui DAGs](configuring-dag-folder.md)