Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Tutorial: configurazione dell'accesso alla rete privata utilizzando un host Linux Bastion
<a name="tutorials-private-network-bastion"></a>

Questo tutorial illustra i passaggi per creare un tunnel SSH dal computer al server web Apache Airflow per l'ambiente Amazon Managed Workflows for Apache Airflow. Si presuppone che tu abbia già creato un ambiente Amazon MWAA. Una volta configurato, un Linux Bastion Host funge da jump server che consente una connessione sicura dal computer alle risorse del VPC. Utilizzerai quindi un componente aggiuntivo di gestione proxy SOCKS per controllare le impostazioni del proxy nel browser per accedere all'interfaccia utente di Apache Airflow.

**Topics**
+ [Rete privata](#private-network-lb-onconsole)
+ [Casi d'uso](#private-network-lb-usecases)
+ [Prima di iniziare](#private-network-lb-prereqs)
+ [Obiettivi](#private-network-lb-objectives)
+ [Fase uno: creare l'istanza bastion](#private-network-lb-create-bastion)
+ [Fase due: creare il tunnel ssh](#private-network-lb-create-test)
+ [Fase tre: configura il bastion security group come regola in entrata](#private-network-lb-create-sgsource)
+ [Fase quattro: Copia l'URL di Apache Airflow](#private-network-lb-view-env)
+ [Fase cinque: configurare le impostazioni del proxy](#private-network-lb-browser-extension)
+ [Fase 6: Aprire l'interfaccia utente di Apache Airflow](#private-network-lb-open)
+ [Fasi successive](#bastion-next-up)

## Rete privata
<a name="private-network-lb-onconsole"></a>

Questo tutorial presuppone che tu abbia scelto la modalità di accesso alla **rete privata** per il tuo server web Apache Airflow.

![\[Questa immagine mostra l'architettura di un ambiente Amazon MWAA con un server web privato.\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/images/mwaa-private-web-server.png)


La modalità di accesso alla rete privata limita l'accesso all'interfaccia utente di Apache Airflow agli utenti del tuo *Amazon VPC a* cui è stato concesso l'accesso alla policy IAM per [il](access-policies.md) tuo ambiente.

Quando crei un ambiente con accesso privato al server web, devi impacchettare tutte le tue dipendenze in un archivio Python wheel (`.whl`), quindi fare riferimento a nel tuo. `.whl` `requirements.txt` Per istruzioni su come impacchettare e installare le dipendenze usando wheel, consulta [Gestire le dipendenze usando Python](best-practices-dependencies.md#best-practices-dependencies-python-wheels) wheel.

L'immagine seguente mostra dove trovare l'opzione **Rete privata** sulla console Amazon MWAA.

![\[Questa immagine mostra dove trovare l'opzione Rete privata sulla console Amazon MWAA.\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/images/mwaa-console-private-network.png)


## Casi d'uso
<a name="private-network-lb-usecases"></a>

Puoi utilizzare questo tutorial dopo aver creato un ambiente Amazon MWAA. È necessario utilizzare lo stesso Amazon VPC, gli stessi gruppi di sicurezza VPC e le stesse sottoreti pubbliche del tuo ambiente.

## Prima di iniziare
<a name="private-network-lb-prereqs"></a>

1. Verifica le autorizzazioni degli utenti. Assicurati che il tuo account in AWS Identity and Access Management (IAM) disponga di autorizzazioni sufficienti per creare e gestire risorse VPC.

1. Usa il tuo Amazon MWAA VPC. Questo tutorial presuppone che tu stia associando l'host bastion a un VPC esistente. Amazon VPC deve trovarsi nella stessa regione dell'ambiente Amazon MWAA e avere due sottoreti private, come definito in. [Crea la rete VPC](vpc-create.md)

1. Crea una chiave SSH. È necessario creare una chiave Amazon EC2 SSH (**.pem**) nella stessa regione dell'ambiente Amazon MWAA per connettersi ai server virtuali. Se non disponi di una chiave SSH, consulta la sezione [Creare o importare una coppia di chiavi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#prepare-key-pair) nella *Amazon EC2 User Guide*.

## Obiettivi
<a name="private-network-lb-objectives"></a>

In questo tutorial, verranno eseguite le operazioni seguenti:

1. Crea un'istanza Linux Bastion Host utilizzando un [CloudFormation modello per un VPC esistente](https://fwd.aws/vWMxm).

1. Autorizza il traffico in entrata verso il gruppo di sicurezza dell'istanza bastion utilizzando una regola di ingresso sulla porta. `22`

1. Autorizza il traffico in entrata dal gruppo di sicurezza di un ambiente Amazon MWAA al gruppo di sicurezza dell'istanza bastion.

1. Crea un tunnel SSH verso l'istanza bastion.

1. Installa e configura il FoxyProxy componente aggiuntivo per il browser Firefox per accedere all'interfaccia utente Apache Airflow.

## Fase uno: creare l'istanza bastion
<a name="private-network-lb-create-bastion"></a>

La sezione seguente descrive i passaggi per creare l'istanza linux bastion utilizzando un [CloudFormation modello per un VPC esistente](https://fwd.aws/vWMxm) sulla CloudFormation console.

**Per creare Linux Bastion Host**

1. Apri la pagina [Deploy Quick Start](https://fwd.aws/Jwzqv) sulla CloudFormation console.

1. Utilizza il selettore di regione nella barra di navigazione per scegliere lo Regione AWS stesso ambiente Amazon MWAA.

1. Scegli **Next (Successivo)**.

1. Inserisci un nome nel campo di testo **Stack name**, ad esempio. `mwaa-linux-bastion`

1. Nel riquadro **Parametri**, **Configurazione di rete**, scegli le seguenti opzioni:

   1. **Scegli l'ID VPC del tuo ambiente Amazon MWAA.**

   1. Scegli l'ID **Public Subnet** 1 del tuo ambiente Amazon MWAA.

   1. Scegli l'ID **Public Subnet** 2 del tuo ambiente Amazon MWAA.

   1. **Inserisci l'intervallo di indirizzi più ristretto possibile (ad esempio, un intervallo CIDR interno) in Allowed bastion external access CIDR.**
**Nota**  
Il modo più semplice per identificare un intervallo consiste nell'utilizzare lo stesso intervallo CIDR delle sottoreti pubbliche. Ad esempio, le sottoreti pubbliche nel CloudFormation modello sulla pagina sono e. [Crea la rete VPC](vpc-create.md) `10.192.10.0/24` `10.192.11.0/24`

1. Nel riquadro ** EC2 di configurazione di Amazon**, scegli quanto segue:

   1. Scegli la tua chiave SSH nell'elenco a discesa in Nome della **coppia di chiavi**.

   1. Inserisci un nome in **Bastion** Host Name.

   1. Scegli **true per l'inoltro** **TCP**.
**avvertimento**  
**L'inoltro TCP deve essere impostato su true in questo passaggio.** Altrimenti, non sarai in grado di creare un tunnel SSH nel passaggio successivo.

1. Scegli **Avanti**, **Avanti**.

1. **Seleziona la conferma, quindi scegli Crea pila.**

Per saperne di più sull'architettura del tuo Linux Bastion Host, consulta Linux [Bastion Hosts on](https://docs.aws.amazon.com/quickstart/latest/linux-bastion/architecture.html) the Cloud: Architecture. AWS 

## Fase due: creare il tunnel ssh
<a name="private-network-lb-create-test"></a>

I passaggi seguenti descrivono come creare il tunnel ssh per il tuo bastione Linux. Un tunnel SSH riceve la richiesta dal tuo indirizzo IP locale al bastione linux, motivo per cui l'inoltro TCP per il bastione Linux era impostato come nei passaggi precedenti. `true`

------
#### [ macOS/Linux ]

**Per creare un tunnel utilizzando la riga di comando**

1. Apri la pagina [Istanze](https://console.aws.amazon.com/ec2/v2/home#/Instances:) sulla EC2 console Amazon.

1. Scegli un'istanza.

1. Copia l'indirizzo nel ** IPv4 DNS pubblico**. Ad esempio, `ec2-4-82-142-1.compute-1.amazonaws.com`.

1. Nel prompt dei comandi, accedi alla directory in cui è archiviata la tua chiave SSH.

1. Esegui il comando seguente per connetterti all'istanza bastion usando ssh. Sostituisci il valore di esempio con il nome della tua chiave SSH in. `mykeypair.pem`

   ```
   ssh -i mykeypair.pem -N -D 8157 ec2-user@YOUR_PUBLIC_IPV4_DNS
   ```

------
#### [ Windows (PuTTY) ]

**Per creare un tunnel usando PuTTY**

1. Apri la pagina [Istanze](https://console.aws.amazon.com/ec2/v2/home#/Instances:) sulla EC2 console Amazon.

1. Scegli un'istanza.

1. Copia l'indirizzo nel ** IPv4 DNS pubblico**. Ad esempio, `ec2-4-82-142-1.compute-1.amazonaws.com`.

1. **Apri [PuTTY,](https://www.putty.org/) seleziona Sessione.**

1. **Inserisci il nome host in **Nome host** come ec2-user@ *YOUR\$1PUBLIC\$1IPV4\$1DNS* e la porta come.** `22`

1. **Espandi la scheda **SSH**, seleziona Auth.** Nel **file con chiave privata per l'autenticazione**, scegli il tuo file «ppk» locale.

1. *In SSH, scegli la scheda **Tunnel**, quindi seleziona le opzioni *Dynamic e Auto*.*

1. In **Porta di origine**, aggiungi la `8157` porta (o qualsiasi altra porta inutilizzata), quindi lascia vuota la porta di **destinazione**. Scegli **Aggiungi**.

1. Scegli la scheda **Sessione** e inserisci un nome per la sessione. Ad esempio, `SSH Tunnel`.

1. Scegli **Salva**, **Apri**.
**Nota**  
Potrebbe essere necessario inserire una passphrase per la chiave pubblica.

------

**Nota**  
Se ricevi un `Permission denied (publickey)` errore, ti consigliamo di utilizzare lo [AWSSupport-TroubleshootSSH](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-awssupport-troubleshootssh.html)strumento e di scegliere **Esegui questa automazione (console)** per risolvere i problemi di configurazione SSH.

## Fase tre: configura il bastion security group come regola in entrata
<a name="private-network-lb-create-sgsource"></a>

L'accesso ai server e l'accesso regolare a Internet dai server sono consentiti con uno speciale gruppo di sicurezza di manutenzione collegato a tali server. I passaggi seguenti descrivono come configurare il bastion security group come fonte di traffico in entrata verso il gruppo di sicurezza VPC di un ambiente.

1. Apri la pagina [Ambienti](https://console.aws.amazon.com/mwaa/home#/environments) sulla console Amazon MWAA.

1. Scegli un ambiente.

1. Nel riquadro **Rete**, scegli il gruppo di **sicurezza VPC**.

1. Sceglere **Edit inbound rules (Modifica regole in entrata)**.

1. Scegli **Aggiungi regola**.

1. Scegli l'ID del tuo gruppo di sicurezza VPC nell'elenco a discesa **Source**.

1. Lascia vuote le opzioni rimanenti o imposta i valori predefiniti.

1. Scegliere **Salva regole**.

## Fase quattro: Copia l'URL di Apache Airflow
<a name="private-network-lb-view-env"></a>

I passaggi seguenti descrivono come aprire la console Amazon MWAA e copiare l'URL nell'interfaccia utente di Apache Airflow.

1. Apri la pagina [Ambienti](https://console.aws.amazon.com/mwaa/home#/environments) sulla console Amazon MWAA.

1. Scegli un ambiente.

1. Copia l'URL nell'**interfaccia utente Airflow per i** passaggi successivi.

## Fase cinque: configurare le impostazioni del proxy
<a name="private-network-lb-browser-extension"></a>

Se si utilizza un tunnel SSH con inoltro dinamico delle porte, è necessario utilizzare un add-on per la gestione dei proxy SOCKS per controllare le impostazioni proxy nel browser. Ad esempio, puoi utilizzare la `--proxy-server` funzionalità di Chromium per avviare una sessione del browser o utilizzare l' FoxyProxy estensione nel browser Mozilla. FireFox 

### Opzione uno: configura un tunnel SSH utilizzando il port forwarding locale
<a name="private-network-lb-browser-extension-portforwarding"></a>

Se non desideri utilizzare un proxy SOCKS, puoi configurare un tunnel SSH utilizzando il port forwarding locale. Il seguente comando di esempio accede all'interfaccia EC2 *ResourceManager*web di Amazon inoltrando il traffico sulla porta locale 8157.

1. Aprire il prompt dei comandi in una nuova finestra.

1. Inserisci il seguente comando per aprire un tunnel SSH.

   ```
   ssh -i mykeypair.pem -N -L 8157:YOUR_VPC_ENDPOINT_ID-vpce.us-east-1.airflow.amazonaws.com:443 ubuntu@YOUR_PUBLIC_IPV4_DNS.us-east-1.compute.amazonaws.com
   ```

   `-L`indica l'uso del port forwarding locale che è possibile utilizzare per specificare una porta locale utilizzata per inoltrare i dati alla porta remota identificata sul server web locale del nodo.

1. Entra nel tuo browser`http://localhost:8157/`.
**Nota**  
Potrebbe essere necessario utilizzare`https://localhost:8157/`.

### Opzione due: proxy che utilizzano la riga di comando
<a name="private-network-lb-browser-extension-foxyp"></a>

È possibile utilizzare la maggior parte dei browser Web per configurare i proxy utilizzando una riga di comando o un parametro di configurazione. Ad esempio, con Chromium puoi avviare il browser con il seguente comando:

```
chromium --proxy-server="socks5://localhost:8157"
```

Questo avvia una sessione del browser che utilizza il tunnel ssh creato nei passaggi precedenti per inoltrare le sue richieste. Puoi aprire l'URL dell'ambiente Amazon MWAA privato (con *https://*) nel modo seguente:

```
https://YOUR_VPC_ENDPOINT_ID-vpce.us-east-1.airflow.amazonaws.com/home.
```

### Opzione tre: utilizzo di proxy per Mozilla Firefox FoxyProxy
<a name="private-network-lb-browser-extension-foxyp"></a>

L'esempio seguente mostra una configurazione FoxyProxy Standard (versione 7.5.1) per Mozilla Firefox. FoxyProxy fornisce una serie di strumenti di gestione dei proxy. Consente di utilizzare un server proxy per i pattern di corrispondenza corrispondenti ai domini utilizzati dall'interfaccia utente di URLs Apache Airflow.

1. In Firefox, apri la pagina dell'estensione [FoxyProxy Standard](https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/).

1. Scegli **Aggiungi a Firefox**.

1. Scegli **Aggiungi**.

1. Scegli l' FoxyProxy icona nella barra degli strumenti del browser, scegli **Opzioni**.

1. Copia il codice seguente e salvalo localmente con nome. `mwaa-proxy.json` Sostituisci il valore di esempio *YOUR\$1HOST\$1NAME* con il tuo URL **Apache Airflow**.

   ```
   {
     "e0b7kh1606694837384": {
       "type": 3,
       "color": "#66cc66",
       "title": "airflow",
       "active": true,
       "address": "localhost",
       "port": 8157,
       "proxyDNS": false,
       "username": "",
       "password": "",
       "whitePatterns": [
         {
           "title": "airflow-ui",
           "pattern": "YOUR_HOST_NAME",
           "type": 1,
           "protocols": 1,
           "active": true
         }
       ],
       "blackPatterns": [],
       "pacURL": "",
       "index": -1
     },
     "k20d21508277536715": {
       "active": true,
       "title": "Default",
       "notes": "These are the settings that are used when no patterns match a URL.",
       "color": "#0055E5",
       "type": 5,
       "whitePatterns": [
         {
           "title": "all URLs",
           "active": true,
           "pattern": "*",
           "type": 1,
           "protocols": 1
         }
       ],
       "blackPatterns": [],
         "index": 9007199254740991
     },
     "logging": {
       "active": true,
       "maxSize": 500
     },
     "mode": "patterns",
     "browserVersion": "82.0.3",
     "foxyProxyVersion": "7.5.1",
     "foxyProxyEdition": "standard"
   }
   ```

1. Nel riquadro **Importa impostazioni da FoxyProxy 6.0\$1**, scegli **Importa impostazioni** e seleziona il file. `mwaa-proxy.json`

1. Scegli **OK**.

## Fase 6: Aprire l'interfaccia utente di Apache Airflow
<a name="private-network-lb-open"></a>

I passaggi seguenti descrivono come aprire l'interfaccia utente di Apache Airflow.

1. Apri la pagina [Ambienti](https://console.aws.amazon.com/mwaa/home#/environments) sulla console Amazon MWAA.

1. Scegli **Open Airflow UI**.

## Fasi successive
<a name="bastion-next-up"></a>
+ Scopri come eseguire i comandi CLI Airflow su un tunnel SSH verso un host bastion in. [Riferimento ai comandi CLI Apache Airflow](airflow-cli-command-reference.md)
+ Scopri come caricare il codice DAG nel tuo bucket Amazon S3 in. [Aggiungere o aggiornare DAGs](configuring-dag-folder.md)