Termini Cosa è supportato Panoramica dell'infrastruttura VPC Esempi di casi d'uso per una modalità di accesso Amazon VPC e Apache Airflow

Informazioni sulla rete su Amazon MWAA

Un Amazon VPC è una rete virtuale collegata al tuo AWS account. Ti offre sicurezza nel cloud e la possibilità di scalare dinamicamente fornendo un controllo granulare sull'infrastruttura virtuale e sulla segmentazione del traffico di rete. Questa pagina descrive l'infrastruttura Amazon VPC con routing pubblico o routing privato necessaria per supportare un ambiente Amazon Managed Workflows for Apache Airflow.

Indice

Termini

Routing pubblico: Una rete Amazon VPC con accesso a Internet.
Routing privato: Una rete Amazon VPC senza accesso a Internet.

Cosa è supportato

La tabella seguente descrive i tipi di supporti Amazon VPCs Amazon MWAA.

Tipi di Amazon VPC	Supportato
Un Amazon VPC di proprietà dell'account che sta tentando di creare l'ambiente.	Sì
Un Amazon VPC condiviso in cui più AWS account creano le proprie AWS risorse.	Sì

Panoramica dell'infrastruttura VPC

Quando crei un ambiente Amazon MWAA, Amazon MWAA crea da uno a due endpoint VPC per il tuo ambiente in base alla modalità di accesso Apache Airflow che hai scelto per il tuo ambiente. Questi endpoint vengono visualizzati come Interfacce di rete elastiche (ENIs) con accesso privato IPs nel tuo Amazon VPC. Dopo la creazione di questi endpoint, tutto il traffico destinato a tali endpoint IPs viene instradato privatamente o pubblicamente ai servizi corrispondenti utilizzati dall'ambiente. AWS

La sezione seguente descrive l'infrastruttura Amazon VPC necessaria per instradare il traffico pubblicamente su Internet o privatamente all'interno del tuo Amazon VPC.

Routing pubblico su Internet

Questa sezione descrive l'infrastruttura Amazon VPC di un ambiente con routing pubblico. Avrai bisogno della seguente infrastruttura VPC:

Un gruppo di sicurezza VPC. Un gruppo di sicurezza VPC funge da firewall virtuale per controllare il traffico di rete in ingresso (in entrata) e in uscita (in uscita) su un'istanza.
- È possibile specificare fino a 5 gruppi di sicurezza.
- Il gruppo di sicurezza deve specificare a se stesso una regola di ingresso autoreferenziale.
- Il gruppo di sicurezza deve specificare una regola in uscita per tutto il traffico (). 0.0.0.0/0
- Il gruppo di sicurezza deve consentire tutto il traffico nella regola di autoreferenziazione. Ad esempio (Consigliato) Esempio di gruppo di sicurezza autoreferenziato per tutti gli accessi .
- Il gruppo di sicurezza può facoltativamente limitare ulteriormente il traffico specificando l'intervallo di porte per l'intervallo di porte HTTPS 443 e un intervallo di porte TCP. 5432 Ad esempio (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 5432 e (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 443.
Due sottoreti pubbliche. Una sottorete pubblica è una sottorete associata a una tabella di routing con una route a un Internet Gateway.
- Sono necessarie due sottoreti pubbliche. Ciò consente ad Amazon MWAA di creare una nuova immagine del contenitore per il tuo ambiente nell'altra zona di disponibilità, in caso di guasto di un container.
- Le sottoreti devono trovarsi in zone di disponibilità diverse. Ad esempio, us-east-1a, us-east-1b.
- Le sottoreti devono essere instradate verso un gateway NAT (o istanza NAT) con un indirizzo IP elastico (EIP).
- Le sottoreti devono disporre di una tabella di routing che indirizza il traffico collegato a Internet verso un gateway Internet.
Due sottoreti private. Una sottorete privata è una sottorete non associata a una tabella di routing che ha un percorso verso un gateway Internet.
- Sono necessarie due sottoreti private. Ciò consente ad Amazon MWAA di creare una nuova immagine del contenitore per il tuo ambiente nell'altra zona di disponibilità, in caso di guasto di un container.
- Le sottoreti devono trovarsi in zone di disponibilità diverse. Ad esempio, us-east-1a, us-east-1b.
- Le sottoreti devono disporre di una tabella di routing verso un dispositivo NAT (gateway o istanza).
- Le sottoreti non devono essere instradate verso un gateway Internet.
Una lista di controllo degli accessi alla rete (ACL). Un NACL gestisce (mediante regole di autorizzazione o rifiuto) il traffico in entrata e in uscita a livello di sottorete.
- Il NACL deve avere una regola in entrata che consenta tutto il traffico (). 0.0.0.0/0
- Il NACL deve avere una regola in uscita che consenta tutto il traffico (). 0.0.0.0/0
- Ad esempio (Consigliato) Esempio ACLs.
Due gateway NAT (o istanze NAT). Un dispositivo NAT inoltra il traffico dalle istanze della sottorete privata a Internet o ad altri AWS servizi, quindi reindirizza la risposta alle istanze.
- Il dispositivo NAT deve essere collegato a una sottorete pubblica. (Un dispositivo NAT per sottorete pubblica).
- Il dispositivo NAT deve avere un IPv4 indirizzo elastico (EIP) collegato a ciascuna sottorete pubblica.
Un gateway Internet. Un gateway Internet collega un Amazon VPC a Internet e ad altri AWS servizi.
- Un gateway Internet deve essere collegato ad Amazon VPC.

Routing privato senza accesso a Internet

Questa sezione descrive l'infrastruttura Amazon VPC di un ambiente con routing privato. Avrai bisogno della seguente infrastruttura VPC:

Un gruppo di sicurezza VPC. Un gruppo di sicurezza VPC funge da firewall virtuale per controllare il traffico di rete in ingresso (in entrata) e in uscita (in uscita) su un'istanza.
- È possibile specificare fino a 5 gruppi di sicurezza.
- Il gruppo di sicurezza deve specificare a se stesso una regola di ingresso autoreferenziale.
- Il gruppo di sicurezza deve specificare una regola in uscita per tutto il traffico (). 0.0.0.0/0
- Il gruppo di sicurezza deve consentire tutto il traffico nella regola di autoreferenziazione. Ad esempio (Consigliato) Esempio di gruppo di sicurezza autoreferenziato per tutti gli accessi .
- Il gruppo di sicurezza può facoltativamente limitare ulteriormente il traffico specificando l'intervallo di porte per l'intervallo di porte HTTPS 443 e un intervallo di porte TCP. 5432 Ad esempio (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 5432 e (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 443.
Due sottoreti private. Una sottorete privata è una sottorete non associata a una tabella di routing che ha un percorso verso un gateway Internet.
- Sono necessarie due sottoreti private. Ciò consente ad Amazon MWAA di creare una nuova immagine del contenitore per il tuo ambiente nell'altra zona di disponibilità, in caso di guasto di un container.
- Le sottoreti devono trovarsi in zone di disponibilità diverse. Ad esempio, us-east-1a, us-east-1b.
- Le sottoreti devono avere una tabella di routing verso gli endpoint VPC.
- Le sottoreti non devono avere una tabella di routing verso un dispositivo NAT (gateway o istanza), né un gateway Internet.
Una lista di controllo degli accessi alla rete (ACL). Un NACL gestisce (mediante regole di autorizzazione o rifiuto) il traffico in entrata e in uscita a livello di sottorete.
- Il NACL deve avere una regola in entrata che consenta tutto il traffico (). 0.0.0.0/0
- Il NACL deve avere una regola in uscita che neghi tutto il traffico (). 0.0.0.0/0
- Ad esempio (Consigliato) Esempio ACLs.
Una tabella di percorsi locali. Una tabella di routing locale è una route predefinita per la comunicazione all'interno del VPC.
- La tabella delle rotte locali deve essere associata alle sottoreti private.
- La tabella di routing locale deve consentire alle istanze del tuo VPC di comunicare con la tua rete. Ad esempio, se utilizzi un endpoint per accedere AWS Client VPN all'interfaccia VPC per il tuo server Web Apache Airflow, la tabella di routing deve essere indirizzata all'endpoint VPC.
Endpoint VPC per ogni AWS servizio utilizzato dal tuo ambiente e endpoint VPC Apache Airflow AWS nella stessa regione e Amazon VPC dell'ambiente Amazon MWAA.
- Un endpoint VPC per ogni AWS servizio utilizzato dall'ambiente e endpoint VPC per Apache Airflow. Ad esempio (Obbligatori) Endpoint VPC.
- Gli endpoint VPC devono avere il DNS privato abilitato.
- Gli endpoint VPC devono essere associati alle due sottoreti private del tuo ambiente.
- Gli endpoint VPC devono essere associati al gruppo di sicurezza dell'ambiente.
- La policy degli endpoint VPC per ogni endpoint deve essere configurata per consentire l'accesso ai AWS servizi utilizzati dall'ambiente. Ad esempio (Consigliato) Esempio di policy degli endpoint VPC per consentire tutti gli accessi.
- È necessario configurare una policy sugli endpoint VPC per Amazon S3 per consentire l'accesso ai bucket. Ad esempio (Consigliato) Esempio di policy degli endpoint del gateway Amazon S3 per consentire l'accesso ai bucket.

Esempi di casi d'uso per una modalità di accesso Amazon VPC e Apache Airflow

Questa sezione descrive i diversi casi d'uso per l'accesso alla rete nel tuo Amazon VPC e la modalità di accesso al server Web Apache Airflow da scegliere sulla console Amazon MWAA.

L'accesso a Internet è consentito: nuova rete Amazon VPC

Se l'accesso a Internet nel tuo VPC è consentito dalla tua organizzazione e desideri che gli utenti accedano al tuo server Web Apache Airflow tramite Internet:

Crea una rete Amazon VPC con accesso a Internet.
Crea un ambiente con la modalità di accesso alla rete pubblica per il tuo server Web Apache Airflow.
Cosa consigliamo: ti consigliamo di utilizzare il modello di AWS CloudFormation avvio rapido che crea contemporaneamente l'infrastruttura Amazon VPC, un bucket Amazon S3 e un ambiente Amazon MWAA. Per ulteriori informazioni, consulta Tutorial di avvio rapido per Amazon Managed Workflows for Apache Airflow.

Se l'accesso a Internet nel tuo VPC è consentito dalla tua organizzazione e desideri limitare l'accesso al server Web Apache Airflow agli utenti all'interno del tuo VPC:

Crea una rete Amazon VPC con accesso a Internet.
Crea un meccanismo per accedere all'endpoint dell'interfaccia VPC per il tuo server Web Apache Airflow dal tuo computer.
Crea un ambiente con la modalità di accesso alla rete privata per il tuo server Web Apache Airflow.
Cosa consigliamo:
1. Ti consigliamo di utilizzare la console Amazon MWAA in o Opzione 1: creazione della rete VPC sulla console Amazon MWAA il AWS CloudFormation modello in. Opzione due: creazione di una rete Amazon VPC con accesso a Internet
2. Ti consigliamo di configurare l'accesso utilizzando un AWS Client VPN al tuo server Web Apache Airflow in. Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN

L'accesso a Internet non è consentito: nuova rete Amazon VPC

Se l'accesso a Internet nel tuo VPC non è consentito dalla tua organizzazione:

Crea una rete Amazon VPC senza accesso a Internet.
Crea un meccanismo per accedere all'endpoint dell'interfaccia VPC per il tuo server Web Apache Airflow dal tuo computer.
Crea endpoint VPC per ogni AWS servizio utilizzato dal tuo ambiente.
Crea un ambiente con la modalità di accesso alla rete privata per il tuo server Web Apache Airflow.
Cosa consigliamo:
1. Consigliamo di utilizzare il AWS CloudFormation modello per creare un Amazon VPC senza accesso a Internet e gli endpoint VPC per ogni servizio AWS utilizzato da Amazon MWAA in. Opzione tre: creazione di una rete Amazon VPC senza accesso a Internet
2. Ti consigliamo di configurare l'accesso utilizzando un al tuo server Web AWS Client VPN Apache Airflow in. Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN

L'accesso a Internet non è consentito: rete Amazon VPC esistente

Se l'accesso a Internet nel tuo VPC non è consentito dalla tua organizzazione e disponi già della rete Amazon VPC richiesta senza accesso a Internet:

Crea endpoint VPC per ogni AWS servizio utilizzato dal tuo ambiente.
Crea endpoint VPC per Apache Airflow.
Crea un meccanismo per accedere all'endpoint dell'interfaccia VPC per il tuo server Web Apache Airflow dal tuo computer.
Crea un ambiente con la modalità di accesso alla rete privata per il tuo server Web Apache Airflow.
Cosa consigliamo:
1. Consigliamo di creare e collegare gli endpoint VPC necessari per AWS ogni servizio utilizzato da Amazon MWAA e gli endpoint VPC necessari per Apache Airflow in. Creazione degli endpoint del servizio VPC richiesti in un Amazon VPC con routing privato
2. Ti consigliamo di configurare l'accesso utilizzando un al tuo server Web Apache Airflow in. AWS Client VPN Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Rete

Sicurezza nel tuo VPC