Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakan AWS Client VPN - Amazon Managed Workflows for Apache Airflow
Jaringan pribadiKasus penggunaanSebelum memulaiTujuan(Opsional) Langkah satu: Identifikasi VPC, aturan CIDR, dan keamanan VPC AndaLangkah kedua: Buat server dan sertifikat klienLangkah ketiga: Simpan AWS CloudFormation template secara lokalLangkah empat: Buat AWS CloudFormation tumpukan Client VPNLangkah lima: Kaitkan subnet ke Client VPN AndaLangkah enam: Tambahkan aturan masuknya otorisasi ke Client VPN AndaLangkah tujuh: Unduh file konfigurasi titik akhir Client VPNLangkah delapan: Connect ke AWS Client VPNApa selanjutnya?

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakan AWS Client VPN

Tutorial ini memandu Anda melalui langkah-langkah untuk membuat terowongan VPN dari komputer Anda ke server web Apache Airflow untuk Amazon Managed Workflow untuk lingkungan Apache Airflow Anda. Untuk terhubung ke internet melalui terowongan VPN, Anda harus terlebih dahulu membuat AWS Client VPN titik akhir. Setelah diatur, titik akhir Client VPN bertindak sebagai server VPN yang memungkinkan koneksi aman dari komputer Anda ke sumber daya di VPC Anda. Anda kemudian akan terhubung ke Client VPN dari komputer Anda menggunakan AWS Client VPN for Desktop.

Jaringan pribadi

Tutorial ini mengasumsikan Anda telah memilih mode akses jaringan Pribadi untuk server web Apache Airflow Anda.

Gambar ini menampilkan arsitektur untuk lingkungan Amazon MWAA dengan server web pribadi.

Mode akses jaringan pribadi membatasi akses ke UI Apache Airflow kepada pengguna dalam VPC Amazon Anda yang telah diberikan akses ke kebijakan IAM untuk lingkungan Anda.

Saat Anda membuat lingkungan dengan akses server web pribadi, Anda harus mengemas semua dependensi Anda dalam arsip roda Python (.whl), lalu mereferensikan di file Anda. .whl requirements.txt Untuk petunjuk tentang pengemasan dan pemasangan dependensi Anda menggunakan roda, lihat Mengelola dependensi menggunakan roda Python.

Gambar berikut menggambarkan di mana menemukan opsi Jaringan pribadi di konsol Amazon MWAA.

Gambar ini menggambarkan di mana menemukan opsi Jaringan pribadi di konsol Amazon MWAA.

Kasus penggunaan

Anda dapat menggunakan tutorial ini sebelum atau setelah Anda membuat lingkungan Amazon MWAA. Anda harus menggunakan VPC Amazon, grup keamanan VPC, dan subnet pribadi yang sama dengan lingkungan Anda. Jika Anda menggunakan tutorial ini setelah Anda membuat lingkungan Amazon MWAA, setelah Anda menyelesaikan langkah-langkahnya, Anda dapat kembali ke konsol Amazon MWAA dan mengubah mode akses server web Apache Airflow Anda ke Jaringan pribadi.

Sebelum memulai

  1. Periksa izin pengguna. Pastikan akun Anda di AWS Identity and Access Management (IAM) memiliki izin yang cukup untuk membuat dan mengelola sumber daya VPC.

  2. Gunakan VPC Amazon MWAA Anda. Tutorial ini mengasumsikan bahwa Anda mengaitkan Client VPN ke VPC yang ada. VPC Amazon harus sama Wilayah AWS dengan lingkungan Amazon MWAA dan memiliki dua subnet pribadi. Jika Anda belum membuat VPC Amazon, gunakan AWS CloudFormation template di. Opsi tiga: Membuat jaringan VPC Amazon tanpa akses internet

Tujuan

Dalam tutorial ini, Anda akan melakukan hal berikut:

  1. Buat AWS Client VPN titik akhir menggunakan AWS CloudFormation templat untuk VPC Amazon yang ada.

  2. Hasilkan sertifikat dan kunci server dan klien, lalu unggah sertifikat server dan kunci ke AWS Certificate Manager Wilayah AWS sama dengan lingkungan Amazon MWAA.

  3. Unduh dan modifikasi file konfigurasi titik akhir Client VPN untuk Client VPN Anda, dan gunakan file tersebut untuk membuat profil VPN untuk terhubung menggunakan Client VPN for Desktop.

(Opsional) Langkah satu: Identifikasi VPC, aturan CIDR, dan keamanan VPC Anda

Bagian berikut menjelaskan cara menemukan IDs VPC Amazon Anda, grup keamanan VPC, dan cara untuk mengidentifikasi aturan CIDR yang Anda perlukan untuk membuat Client VPN Anda di langkah selanjutnya.

Identifikasi aturan CIDR Anda

Bagian berikut menjelaskan cara mengidentifikasi aturan CIDR, yang Anda perlukan untuk membuat Client VPN Anda.

Untuk mengidentifikasi CIDR untuk Client VPN Anda

  1. Buka VPCs halaman Amazon Anda di konsol VPC Amazon.

  2. Gunakan pemilih wilayah di bilah navigasi untuk memilih yang Wilayah AWS sama dengan lingkungan Amazon MWAA.

  3. Pilih Amazon VPC Anda.

  4. Dengan asumsi CIDRs untuk subnet pribadi Anda adalah:

    • Subnet Pribadi 1:10.192.10.0 /24

    • Subnet Pribadi 2:10.192.11.0 /24

    Jika CIDR untuk VPC Amazon Anda adalah /16 10.192.0.0, maka CIDR Klien yang akan Anda tentukan untuk IPv4 Client VPN Anda adalah 10.192.0.0. /22

  5. Simpan nilai CIDR ini, dan nilai ID VPC Anda untuk langkah selanjutnya.

Identifikasi VPC dan grup keamanan Anda

Bagian berikut menjelaskan cara menemukan ID VPC Amazon dan grup keamanan Anda, yang Anda perlukan untuk membuat Client VPN Anda.

catatan

Anda mungkin menggunakan lebih dari satu grup keamanan. Anda harus menentukan semua grup keamanan VPC Anda di langkah selanjutnya.

Untuk mengidentifikasi kelompok-kelompok keamanan

  1. Buka halaman Grup Keamanan di konsol VPC Amazon.

  2. Gunakan pemilih wilayah di bilah navigasi untuk memilih. Wilayah AWS

  3. Cari VPC Amazon di ID VPC, dan identifikasi grup keamanan yang terkait dengan VPC.

  4. Simpan ID grup keamanan dan VPC Anda untuk langkah selanjutnya.

Langkah kedua: Buat server dan sertifikat klien

Titik akhir Client VPN mendukung 1024-bit dan 2048-bit RSA kunci ukuran saja. Bagian berikut menjelaskan cara menggunakan OpenVPN easy-rsa untuk menghasilkan sertifikat dan kunci server dan klien, dan kemudian mengunggah sertifikat ke ACM menggunakan (). AWS Command Line Interface AWS CLI

Untuk membuat sertifikat klien

  1. Ikuti langkah-langkah cepat ini untuk membuat dan mengunggah sertifikat ke ACM melalui otentikasi dan otorisasi Klien AWS CLI di: Otentikasi bersama.

  2. Dalam langkah-langkah ini, Anda harus menentukan Wilayah AWS sama dengan lingkungan Amazon MWAA dalam AWS CLI perintah saat mengunggah server dan sertifikat klien Anda. Berikut beberapa contoh cara menentukan wilayah dalam perintah ini:

    1. contoh wilayah untuk sertifikat server
      aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt --region us-west-2
    2. contoh wilayah untuk sertifikat klien
      aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt --region us-west-2

    3. Setelah langkah-langkah ini, simpan nilai yang dikembalikan dalam AWS CLI respons untuk sertifikat server dan sertifikat klien ARNs. Anda akan menentukan ini ARNs di AWS CloudFormation template Anda untuk membuat Client VPN.

  3. Dalam langkah-langkah ini, sertifikat klien dan kunci pribadi disimpan ke komputer Anda. Berikut adalah contoh di mana menemukan kredensional ini:

    1. contoh di macOS

      Di macOS, konten disimpan di. /Users/your-user/custom_folder Jika Anda mencantumkan semua (ls -a) isi direktori ini, Anda mendapatkan sesuatu yang mirip dengan berikut ini:

      .
..
ca.crt
client1.domain.tld.crt
client1.domain.tld.key
server.crt
server.key

    2. Setelah langkah-langkah ini, simpan konten atau catat lokasi sertifikat klienclient1.domain.tld.crt, dan kunci pribadi masukclient1.domain.tld.key. Anda akan menambahkan nilai-nilai ini ke file konfigurasi untuk Client VPN Anda.

Langkah ketiga: Simpan AWS CloudFormation template secara lokal

Bagian berikut berisi AWS CloudFormation template untuk membuat Client VPN. Anda harus menentukan VPC Amazon, grup keamanan VPC, dan subnet pribadi yang sama dengan lingkungan Amazon MWAA Anda.

  • Salin isi template berikut dan simpan secara lokal sebagaimwaa_vpn_client.yaml. Anda juga dapat mengunduh template.

    Gantikan nilai-nilai berikut:

    • YOUR_CLIENT_ROOT_CERTIFICATE_ARN— ARN untuk sertifikat client1.domain.tld Anda di. ClientRootCertificateChainArn

    • YOUR_SERVER_CERTIFICATE_ARN— ARN untuk sertifikat server Anda di. ServerCertificateArn

    • Aturan IPv4 CIDR Klien diClientCidrBlock. Aturan CIDR 10.192.0.0/22 disediakan.

    • ID VPC Amazon Anda masuk. VpcId VPC disediakan. vpc-010101010101

    • Grup IDs keamanan VPC Anda masuk. SecurityGroupIds Kelompok keamanan sg-0101010101 disediakan.

    AWSTemplateFormatVersion: 2010-09-09
Description: This template deploys a VPN Client Endpoint.
Resources:
  ClientVpnEndpoint:
    Type: 'AWS::EC2::ClientVpnEndpoint'
    Properties:
      AuthenticationOptions:
        - Type: "certificate-authentication"
          MutualAuthentication:
            ClientRootCertificateChainArn: "YOUR_CLIENT_ROOT_CERTIFICATE_ARN"
      ClientCidrBlock: 10.192.0.0/22
      ClientConnectOptions:
        Enabled: false
      ConnectionLogOptions:
        Enabled: false
      Description: "MWAA Client VPN"
      DnsServers: []
      SecurityGroupIds:
        - sg-0101010101
      SelfServicePortal: ''
      ServerCertificateArn: "YOUR_SERVER_CERTIFICATE_ARN"
      SplitTunnel: true
      TagSpecifications:
        - ResourceType: "client-vpn-endpoint"
          Tags:
          - Key: Name
            Value: MWAA-Client-VPN
      TransportProtocol: udp
      VpcId: vpc-010101010101
      VpnPort: 443
catatan

Jika Anda menggunakan lebih dari satu grup keamanan untuk lingkungan Anda, Anda dapat menentukan beberapa grup keamanan dalam format berikut:

SecurityGroupIds:
 - sg-0112233445566778b
 - sg-0223344556677889f

Langkah empat: Buat AWS CloudFormation tumpukan Client VPN

Untuk membuat AWS Client VPN

  1. Buka konsol AWS CloudFormation.

  2. Pilih Template siap, Upload file template.

  3. Pilih Pilih file, dan pilih mwaa_vpn_client.yaml file Anda.

  4. Pilih Berikutnya, Berikutnya.

  5. Pilih pengakuan, lalu pilih Buat tumpukan.

Langkah lima: Kaitkan subnet ke Client VPN Anda

Untuk mengaitkan subnet pribadi ke AWS Client VPN

  1. Buka konsol Amazon VPC.

  2. Pilih halaman Endpoint Client VPN.

  3. Pilih Client VPN Anda, lalu pilih tab Asosiasi, Associate.

  4. Pilih yang berikut dalam daftar dropdown:

    • VPC Amazon Anda di VPC.

    • Salah satu subnet pribadi Anda di Pilih subnet untuk diasosiasikan.

  5. Pilih Kaitkan.

catatan

Dibutuhkan beberapa menit untuk VPC dan subnet untuk dikaitkan dengan Client VPN.

Langkah enam: Tambahkan aturan masuknya otorisasi ke Client VPN Anda

Anda perlu menambahkan aturan masuknya otorisasi menggunakan aturan CIDR untuk VPC Anda ke Client VPN Anda. Jika Anda ingin mengotorisasi pengguna atau grup tertentu dari Grup Direktori Aktif atau Penyedia Identitas berbasis SAML (IDP), lihat aturan Otorisasi dalam panduan Client VPN.

Untuk menambahkan CIDR ke AWS Client VPN

  1. Buka konsol Amazon VPC.

  2. Pilih halaman Endpoint Client VPN.

  3. Pilih Client VPN Anda, lalu pilih tab Otorisasi, Otorisasi Ingress.

  4. Tentukan hal berikut:

    • Aturan CIDR Amazon VPC Anda di jaringan Tujuan untuk mengaktifkan. Misalnya:

      10.192.0.0/16

    • Pilih Izinkan akses ke semua pengguna di Akses hibah ke.

    • Masukkan nama deskriptif di Deskripsi.

  5. Pilih Tambahkan aturan Otorisasi.

catatan

Bergantung pada komponen jaringan untuk VPC Amazon Anda, Anda mungkin juga perlu aturan masuknya otorisasi ini ke daftar kontrol akses jaringan (NACL) Anda.

Langkah tujuh: Unduh file konfigurasi titik akhir Client VPN

Untuk mengunduh file konfigurasi

  1. Ikuti langkah-langkah cepat ini untuk mengunduh file konfigurasi Client VPN di Unduh file konfigurasi titik akhir Client VPN.

  2. Dalam langkah-langkah ini, Anda diminta untuk menambahkan string ke nama DNS endpoint Client VPN Anda. Inilah contohnya:

    1. contoh nama DNS titik akhir

      Jika nama DNS titik akhir Client VPN Anda adalah:

      remote cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443

      Anda dapat menambahkan string untuk mengidentifikasi titik akhir Client VPN Anda seperti ini:

      remote mwaavpn.cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443

  3. Dalam langkah-langkah ini, Anda diminta untuk menambahkan konten sertifikat klien antara kumpulan <cert></cert> tag baru dan isi kunci pribadi di antara kumpulan <key></key> tag baru. Inilah contohnya:

    1. Buka prompt perintah dan ubah direktori ke lokasi sertifikat klien dan kunci pribadi Anda.

    2. contoh macOS client1.domain.tld.crt

      Untuk menampilkan konten client1.domain.tld.crt file di macOS, Anda dapat menggunakan. cat client1.domain.tld.crt

      Salin nilai dari terminal dan tempel downloaded-client-config.ovpn seperti ini:

      ZZZ1111dddaBBB
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.crt
-----END CERTIFICATE-----                
</cert>
    3. contoh macOS client1.domain.tld.key

      Untuk menampilkan isiclient1.domain.tld.key, Anda dapat menggunakancat client1.domain.tld.key.

      Salin nilai dari terminal dan tempel downloaded-client-config.ovpn seperti ini:

      ZZZ1111dddaBBB
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.crt
-----END CERTIFICATE-----                
</cert>
<key>
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.key
-----END CERTIFICATE-----                
</key>

Langkah delapan: Connect ke AWS Client VPN

Klien untuk AWS Client VPN disediakan secara gratis. Anda dapat menghubungkan komputer Anda secara langsung AWS Client VPN untuk pengalaman end-to-end VPN.

Untuk terhubung ke Client VPN

  1. Unduh dan instal AWS Client VPN untuk Desktop.

  2. Buka AWS Client VPN.

  3. Pilih File, Profil terkelola di menu klien VPN.

  4. Pilih Tambahkan profil, lalu pilihdownloaded-client-config.ovpn.

  5. Masukkan nama deskriptif di Nama Tampilan.

  6. Pilih Tambahkan profil, Selesai.

  7. Pilih Hubungkan.

Setelah terhubung ke Client VPN, Anda harus memutuskan sambungan dari yang lain VPNs untuk mengakses sumber daya apa pun di VPC Amazon Anda.

catatan

Anda mungkin harus keluar dari klien, dan mulai lagi sebelum Anda dapat terhubung.

Apa selanjutnya?