Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Connessione a strumenti ospitati privatamente
## Panoramica delle connessioni private
AWS DevOps L'agente può essere esteso con strumenti personalizzati Model Context Protocol (MCP) e altre integrazioni che consentono all'agente di accedere a sistemi interni come registri di pacchetti privati, piattaforme di osservabilità ospitate autonomamente APIs, documentazione interna e istanze di controllo del codice sorgente (vedi:). [Configurazione delle funzionalità per Agent AWS DevOps](configuring-capabilities-for-aws-devops-agent.md) Questi servizi vengono spesso eseguiti all'interno di un [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide) con accesso pubblico a Internet limitato o nullo, il che significa che l' AWS DevOps agente non può raggiungerli per impostazione predefinita.
Le connessioni private per AWS DevOps Agent ti consentono di connettere in modo sicuro il tuo Agent Space ai servizi in esecuzione nel tuo VPC senza esporli alla rete Internet pubblica. Le connessioni private funzionano con qualsiasi integrazione che necessiti di raggiungere un endpoint privato, inclusi server MCP, istanze Grafana o Splunk con hosting autonomo e sistemi di controllo del codice sorgente come Enterprise Server e Self-Managed. GitHub GitLab
**Nota**
**Se i tuoi strumenti ospitati privatamente inviano richieste in uscita all' AWS DevOps agente dall'interno del tuo VPC, questo traffico può essere protetto anche utilizzando un endpoint VPC in modo che rimanga all'interno della rete. AWS Ad esempio, può essere utilizzato con strumenti che attivano l' DevOps agente tramite eventi webhook (vedi:). [Richiamo DevOps dell'agente tramite Webhook](configuring-capabilities-for-aws-devops-agent-invoking-devops-agent-through-webhook.md) Per ulteriori informazioni, consulta [Endpoint VPC (AWS PrivateLink)](aws-devops-agent-security-vpc-endpoints-aws-privatelink.md).
### Come funzionano le connessioni private
Una connessione privata crea un percorso di rete sicuro tra AWS DevOps l'agente e una risorsa di destinazione nel tuo VPC. Sotto il cofano, AWS DevOps Agent utilizza Amazon [VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/) per stabilire questo percorso di connettività privata sicuro. VPC Lattice è un servizio di rete di applicazioni che consente di connettere, proteggere e monitorare la comunicazione tra applicazioni VPCs, account e tipi di elaborazione, senza gestire l'infrastruttura di rete sottostante.
Quando si crea una connessione privata, si verifica quanto segue:
+ Fornisci il VPC, le sottoreti e (facoltativamente) i gruppi di sicurezza che dispongono di connettività di rete al servizio di destinazione.
+ AWS DevOps L'agente crea un [gateway di risorse](https://docs.aws.amazon.com/vpc/latest/privatelink/resource-gateway.html) gestito dai servizi e fornisce le relative interfacce di rete elastiche () ENIs nelle sottoreti specificate.
+ L'agente utilizza il Resource Gateway per indirizzare il traffico verso l'indirizzo IP o il nome DNS del servizio di destinazione tramite il percorso di rete privato.
Il gateway di risorse è completamente gestito dall' AWS DevOps agente e viene visualizzato come risorsa di sola lettura nell'account (denominato). `aidevops-{your-private-connection-name}` Non è necessario configurarlo o gestirlo. Le uniche risorse create nel tuo VPC si trovano ENIs nelle sottoreti specificate. Queste ENIs fungono da punto di ingresso per il traffico privato e sono gestite interamente dal servizio. Non accettano connessioni in entrata da Internet e tu mantieni il pieno controllo sul loro traffico attraverso i tuoi gruppi di sicurezza.
### Sicurezza
Le connessioni private sono progettate con più livelli di sicurezza:
+ **Nessuna esposizione pubblica a Internet**: tutto il traffico tra AWS DevOps Agent e il servizio di destinazione rimane sulla AWS rete. Il tuo servizio non ha mai bisogno di un indirizzo IP pubblico o di un gateway Internet.
+ Gateway **di risorse controllato dal servizio: il gateway** di risorse gestito dai servizi è di sola lettura nell'account dell'utente. Può essere utilizzato solo dall' AWS DevOps agente e nessun altro servizio o principale può instradare il traffico attraverso di esso. Puoi verificarlo nei [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)log, che registrano tutte le chiamate API VPC Lattice.
+ I **tuoi gruppi di sicurezza, le tue regole**: sei tu a controllare il traffico in entrata e in uscita verso i gruppi di sicurezza che ENIs possiedi e gestisci. Se non specifichi gruppi di sicurezza, AWS DevOps Agent crea un gruppo di sicurezza predefinito con ambito alle porte che definisci.
+ **Ruoli collegati ai servizi con privilegi minimi**: AWS DevOps l'agente utilizza un [ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) per creare solo le risorse VPC Lattice e Amazon EC2 necessarie. Questo ruolo è limitato alle risorse contrassegnate `AWSAIDevOpsManaged` e non può accedere ad altre risorse del tuo account.
**Nota**
**Se l'organizzazione dispone [di policy di controllo del servizio (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) che limitano le azioni dell'API VPC Lattice, il gateway di risorse gestito dai servizi viene creato tramite un ruolo collegato al servizio. Assicurati di SCPs autorizzare le azioni necessarie per il ruolo collegato al servizio.
### Architecture
Il diagramma seguente mostra il percorso di rete per una connessione privata.
In questa architettura:
+ AWS DevOps L'agente invia una richiesta al servizio di destinazione.
+ Amazon VPC Lattice indirizza la richiesta attraverso il gateway di risorse gestite dai servizi nel tuo VPC. Per configurazioni avanzate che utilizzano le tue risorse VPC Lattice, [consulta Configurazione avanzata utilizzando le risorse VPC Lattice esistenti](#advanced-setup-using-existing-vpc-lattice-resources).
+ Un ENI nel tuo VPC riceve il traffico e lo inoltra all'indirizzo IP o al nome DNS del servizio di destinazione.
+ I tuoi gruppi di sicurezza regolano il traffico consentito attraverso. ENIs
+ Dal punto di vista del servizio di destinazione, la richiesta proviene da indirizzi IP privati ENIs all'interno del VPC.
## Crea una connessione privata
È possibile creare una connessione privata utilizzando la console di AWS gestione o la AWS CLI.
**Nota**
**Le seguenti zone di disponibilità non sono supportate da VPC Lattice:`use1-az3`,,,`usw1-az2`,`apne1-az3`,, `apne2-az2``euc1-az2`,`euw1-az4`. `cac1-az3` `ilc1-az2`
### Prerequisiti
Prima di creare una connessione privata, verifica di disporre di quanto segue:
+ **Uno spazio agente attivo**: è necessario disporre di uno spazio agente esistente nel proprio account. Se non lo hai, consultare [Guida introduttiva a AWS DevOps Agent](getting-started-with-aws-devops-agent.md).
+ **Un servizio di destinazione raggiungibile privatamente**: il server MCP, la piattaforma di osservabilità o un altro servizio devono essere raggiungibili con un indirizzo IP privato o un nome DNS noto dal VPC in cui è distribuito il gateway di risorse. Il servizio può essere eseguito nello stesso VPC, in un VPC peer o in locale, purché sia instradabile dalle sottoreti del Resource Gateway. Il servizio deve servire il traffico HTTPS con una versione TLS minima di 1.2 su una porta specificata al momento della creazione della connessione.
+ **Sottoreti nel tuo VPC**: identifica da 1 a 20 sottoreti in cui verranno create. ENIs Ti consigliamo di selezionare sottoreti in più zone di disponibilità per un'elevata disponibilità. Queste sottoreti devono disporre di connettività di rete al servizio di destinazione. Una sottorete per zona di disponibilità può essere utilizzata da VPC Lattice.
+ **(Facoltativo) Gruppi di sicurezza**: se desideri controllare il traffico con regole specifiche, prepara fino a cinque gruppi di sicurezza IDs da collegare a. ENIs Se ometti i gruppi di sicurezza, AWS DevOps Agent crea un gruppo di sicurezza predefinito.
Le connessioni private sono risorse a livello di account. Dopo aver creato una connessione privata, puoi riutilizzarla su più integrazioni e Agent Spaces che devono raggiungere lo stesso host.
### Crea una connessione privata utilizzando la console
1. Apri la console AWS DevOps dell'agente.
1. Nel riquadro di navigazione, scegli **Provider di capacità**, quindi scegli **Connessioni private**.
1. Scegli **Crea una nuova connessione**.
1. In **Nome**, inserisci un nome descrittivo per la connessione, ad esempio`my-mcp-tool-connection`.
1. Per **VPC**, seleziona il VPC in cui verrà distribuito il gateway ENIs di risorse.
1. Per **Subnet, seleziona una o più sottoreti** (fino a 20). Consigliamo di scegliere sottoreti in almeno due zone di disponibilità.
1. Per il **tipo di indirizzo IP**, seleziona il tipo di indirizzo IP del servizio di destinazione (`IPv4`,`IPv6`, o`DualStack`).
1. (Facoltativo) Per **Numero di IPv4 indirizzi**, se hai selezionato IPv4 Dualstack per il tipo di indirizzo IP, puoi inserire il numero di IPv4 indirizzi per ENI per il tuo Resource Gateway. L'impostazione predefinita è 16 IPv4 indirizzi per ENI.
1. (Facoltativo) Per **i gruppi** di sicurezza, seleziona i gruppi di sicurezza esistenti (fino a 5) per limitare il traffico consentito per raggiungere il servizio di destinazione. Se non ne selezioni nessuno, viene creato un gruppo di sicurezza predefinito.
1. (Facoltativo) Per gli **intervalli di porte**, specificate le porte TCP su cui l'applicazione di destinazione ascolta (ad esempio `443` o`8080-8090`). È possibile specificare fino a 11 intervalli di porte.
1. Per **Indirizzo host**, inserisci l'indirizzo IP o il nome DNS del servizio di destinazione (ad esempio, `mcp.internal.example.com` o`10.0.1.50`). Il servizio deve essere raggiungibile dal VPC selezionato. Se scegli un nome DNS, deve essere risolvibile dal VPC selezionato.
1. (Facoltativo) Per la **chiave pubblica del certificato**, se l'indirizzo host specificato utilizza certificati TLS emessi da un'autorità di certificazione privata, inserisci la chiave pubblica con codifica PEM del certificato. Ciò consente all' AWS DevOps agente di affidare la connessione TLS al servizio di destinazione.
1. Scegli **Crea connessione**.
Lo stato della connessione cambia in **Creazione in corso**. Questo processo può richiedere fino a 10 minuti. Quando lo stato diventa **Attivo**, il percorso di rete è pronto.
Se la modifica dello stato in **Create non è riuscita**, verifica quanto segue:
+ Le sottoreti specificate hanno indirizzi IP disponibili.
+ Il tuo account non ha raggiunto le quote del servizio VPC Lattice.
+ Nessuna policy IAM restrittiva impedisce al ruolo collegato ai servizi di creare risorse.
**Nota**
**Questi passaggi possono essere eseguiti anche selezionando `Create a new private connection` durante la registrazione di un provider di capacità. Per ulteriori informazioni, consulta [Utilizzare una connessione privata con un provider di funzionalità](#use-a-private-connection-with-a-capability-provider).
### Creare una connessione privata utilizzando la AWS CLI
Esegui il comando seguente per creare una connessione privata. Sostituisci i valori segnaposto con i tuoi.
```
aws devops-agent create-private-connection \
--name my-mcp-tool-connection \
--mode '{
"serviceManaged": {
"hostAddress": "mcp.internal.example.com",
"vpcId": "vpc-0123456789abcdef0",
"subnetIds": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1"
],
"securityGroupIds": [
"sg-0123456789abcdef0"
],
"portRanges": ["443"]
}
}'
```
La risposta include il nome della connessione e lo stato di: `CREATE_IN_PROGRESS`
```
{
"name": "my-mcp-tool-connection",
"status": "CREATE_IN_PROGRESS",
"resourceGatewayId": "rgw-0123456789abcdef0",
"hostAddress": "mcp.internal.example.com",
"vpcId": "vpc-0123456789abcdef0"
}
```
Per verificare lo stato della connessione, utilizzare il `describe-private-connection` comando:
```
aws devops-agent describe-private-connection \
--name my-mcp-tool-connection
```
Quando lo stato è`ACTIVE`, la tua connessione privata è pronta per l'uso.
## Utilizza una connessione privata con un provider di funzionalità
Per utilizzare una connessione privata, è possibile collegarsi ad essa durante la registrazione di un provider di funzionalità. Le funzionalità supportate che possono essere utilizzate con connessioni private includono: `GitHub``GitLab`,`MCP Server`, e`Grafana`. È possibile eseguire questo passaggio utilizzando la console di AWS gestione o la AWS CLI.
**Nota**
**Al momento della registrazione di un provider di funzionalità, AWS DevOps Agent verifica che l'endpoint sia raggiungibile e risponda. Assicurati che il servizio di destinazione sia in esecuzione e accetti le connessioni prima di completare la registrazione.
### Utilizza una connessione privata con un provider di funzionalità tramite la console
Nella console dell' AWS DevOps agente, le connessioni private possono essere collegate a una funzionalità durante la registrazione selezionando l'opzione «Connetti all'endpoint utilizzando una connessione privata».
1. Apri la console dell' AWS DevOps agente e accedi al tuo Agent Space.
1. Nella sezione **Provider di capacità**, scegli **Registrazione**.
1. Seleziona **Registra** per il tipo di funzionalità che desideri utilizzare con la connessione privata.
1. Nella visualizzazione dei dettagli della registrazione, inserisci l'URL dell'endpoint a cui desideri connetterti utilizzando la connessione privata (ad esempio,`https://mcp.internal.example.com`).
1. Seleziona **Connetti all'endpoint usando una connessione privata.**
1. Seleziona una connessione privata esistente che corrisponde all'URL dell'endpoint a cui desideri connetterti oppure seleziona **Crea una nuova connessione privata** per crearne una.
1. Completa il processo di registrazione per il provider di funzionalità.
**Nota**
**Quando si seleziona una connessione privata per un provider di funzionalità che utilizza OAuth l'autenticazione (credenziali client o 3LO), la connessione privata si applica sia all'endpoint del provider di capacità che all'endpoint di scambio di token. Assicurati che la connessione privata sia configurata con un indirizzo host in grado di indirizzare il traffico verso entrambi gli endpoint.
### Utilizza una connessione privata con un provider di funzionalità utilizzando la AWS CLI
È possibile registrare le funzionalità con una connessione privata includendo l'`private-connection-name`argomento. Di seguito è riportato un esempio di registrazione di un server MCP con autorizzazione API Key utilizzando la connessione `my-mcp-tool-connection` privata. Sostituite i valori segnaposto con i vostri.
```
aws devops-agent register-service \
--service mcpserver \
--private-connection-name my-mcp-tool-connection \
--service-details '{
"mcpserver": {
"name": "my-mcp-tool",
"endpoint": "https://mcp.internal.example.com",
"authorizationConfig": {
"apiKey": {
"apiKeyName": "api-key",
"apiKeyValue": "secret-value",
"apiKeyHeader": "x-api-key"
}
}
}
}' \
--region us-east-1
```
## Verifica una connessione privata
Dopo che la connessione privata ha raggiunto lo stato **Attivo** ed è stata utilizzata da un provider di funzionalità, verifica che AWS DevOps Agent sia in grado di raggiungere il servizio di destinazione:
1. Apri la console dell' AWS DevOps agente e accedi al tuo Agent Space.
1. Inizia una nuova sessione di chat.
1. Invoca un comando che utilizza l'integrazione supportata dalla tua connessione privata. Ad esempio, se lo strumento MCP fornisce l'accesso a una knowledge base interna, poni all'agente una domanda che richieda tale base di conoscenza.
1. Verifica che l'agente restituisca i risultati del servizio privato.
Se la connessione fallisce, controlla quanto segue:
+ [Limiti di **VPC Lattice: verifica di non aver raggiunto alcun gateway di risorse o altri limiti** di quota VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html)
+ **Regole del gruppo di sicurezza**: verifica che i gruppi di sicurezza collegati al sistema ENIs consentano il traffico in uscita sulla porta su cui il servizio è in ascolto. Verifica inoltre che il gruppo di sicurezza del servizio consenta il traffico in entrata sulla porta di destinazione. Il traffico arriva dal piano dati VPC Lattice all'interno dell'intervallo IPs VPC CIDR. È possibile utilizzare il riferimento al gruppo di sicurezza (che consente il gruppo di sicurezza ENI come fonte) o consentire l'ingresso dal VPC CIDR.
+ **Connettività alla sottorete**: verifica che le sottoreti selezionate siano in grado di indirizzare il traffico verso il servizio. Se il servizio viene eseguito in una sottorete diversa, verifica che le tabelle di routing consentano il traffico tra di esse.
+ **Disponibilità del servizio**: verifica che il servizio sia in esecuzione e accetti connessioni sulla porta prevista.
+ **Zona di disponibilità non supportata**: verifica che le sottoreti si trovino nelle zone di disponibilità supportate. Esegui `aws ec2 describe-subnets --subnet-ids --query 'Subnets[*].[SubnetId,AvailabilityZoneId]'` e verifica le zone di disponibilità non supportate elencate sopra.
## Eliminare una connessione privata
È possibile eliminare le connessioni private non utilizzate utilizzando la console di AWS gestione o la AWS CLI.
### Eliminare una connessione privata utilizzando la console
1. Apri la console AWS DevOps dell'agente.
1. Nel riquadro di navigazione, scegli **Provider di capacità**, quindi scegli **Connessioni private**.
1. Seleziona il menu **Azioni** per la connessione privata che desideri eliminare e seleziona **Rimuovi**.
La connessione privata verrà visualizzata con lo stato «Rimozione della connessione» mentre l' AWS DevOps agente rimuove il gateway di risorse gestite e ENIs dal tuo VPC. Una volta completata l'eliminazione, la connessione non viene più visualizzata nell'elenco delle connessioni private.
### Eliminare una connessione privata utilizzando la AWS CLI
```
aws devops-agent delete-private-connection \
--name my-mcp-tool-connection
```
La risposta restituisce uno stato di. `DELETE_IN_PROGRESS` AWS DevOps L'agente rimuove il gateway di risorse gestite e lo rimuove ENIs dal tuo VPC. Una volta completata l'eliminazione, la connessione non viene più visualizzata nell'elenco delle connessioni private.
## Configurazione avanzata utilizzando le risorse VPC Lattice esistenti
Se la tua organizzazione utilizza già Amazon VPC Lattice e gestisce le configurazioni delle risorse, puoi creare una connessione privata in modalità autogestita. Invece di fare in modo che AWS DevOps Agent crei un gateway di risorse per te, fornisci l'Amazon Resource Name (ARN) di una configurazione di risorse esistente che punta al servizio di destinazione.
Questo approccio è utile quando:
+ Desideri il pieno controllo sul Resource Gateway e sul ciclo di vita della configurazione delle risorse.
+ È necessario condividere le configurazioni delle risorse tra più AWS account o servizi.
+ Richiedi i log di accesso VPC Lattice per un monitoraggio dettagliato del traffico.
+ Esegui un'architettura di hub-and-spoke rete.
Per creare una connessione privata autogestita con la AWS CLI:
```
aws devops-agent create-private-connection \
--name my-advanced-connection \
--mode '{
"selfManaged": {
"resourceConfigurationId": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0123456789abcdef0"
}
}'
```
Per ulteriori dettagli sulla configurazione dei gateway di risorse VPC Lattice e sulle configurazioni delle risorse, consulta la Amazon [VPC](https://docs.aws.amazon.com/vpc-lattice/latest/ug/) Lattice User Guide.
## Argomenti correlati
+ [Endpoint VPC (AWS PrivateLink)](aws-devops-agent-security-vpc-endpoints-aws-privatelink.md)
+ [Connessione dei server MCP](configuring-capabilities-for-aws-devops-agent-connecting-mcp-servers.md)
+ [Configurazione delle funzionalità per Agent AWS DevOps](configuring-capabilities-for-aws-devops-agent.md)
+ [AWS DevOps Sicurezza degli agenti](aws-devops-agent-security.md)
+ [DevOps Autorizzazioni Agent IAM](aws-devops-agent-security-devops-agent-iam-permissions.md)