View a markdown version of this page

Connessione a un VPC in un altro account - AWS HealthOmics
PrerequisitiCrea un Amazon VPC nell'account del tuo flusso di lavoroCreare una richiesta di connessione peering VPCPreparare l'account della tua risorsaAggiorna la configurazione VPC nell'account del tuo flusso di lavoroEsecuzione di flussi di lavoro con accesso VPC su più accountRisoluzione dei problemiBest practiceRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione a un VPC in un altro account

Puoi consentire ai tuoi HealthOmics flussi di lavoro di accedere alle risorse in un Amazon VPC gestito da un altro AWS account, senza esporre nessuno dei due VPC a Internet. Questo modello di accesso consente di condividere dati con altre organizzazioni tramite AWS. Utilizzando questo modello di accesso, puoi condividere dati tra VPC con un livello di sicurezza e prestazioni maggiore rispetto a Internet. Configura le esecuzioni del flusso di lavoro per utilizzare una connessione peering VPC per accedere a queste risorse.

avvertimento

Quando consenti l'accesso tra account o VPC, verifica che il tuo piano soddisfi i requisiti di sicurezza delle rispettive organizzazioni che gestiscono questi account. Seguire le istruzioni contenute in questo documento influirà sul livello di sicurezza delle risorse.

In questo tutorial, collegherai due account con una connessione peering tramite IPv4. Si configura una risorsa di HealthOmics configurazione che non è già connessa a un VPC in un altro account. La risoluzione DNS viene configurata per connettere le esecuzioni del flusso di lavoro a risorse che non forniscono IP statici. Per adattare queste istruzioni ad altri scenari di peering, consulta la Guida al peering VPC.

Prerequisiti

Per consentire a un HealthOmics workflow di eseguire l'accesso a una risorsa in un altro account, devi disporre di:

  • Un HealthOmics flusso di lavoro configurato per l'autenticazione e la successiva lettura della risorsa.

  • Una risorsa in un altro account, ad esempio un cluster Amazon RDS o un server di licenza, disponibile tramite Amazon VPC.

  • Credenziali per l'account del tuo flusso di lavoro e l'account della tua risorsa. Se non sei autorizzato a utilizzare l'account della tua risorsa, contatta un utente autorizzato per preparare quell'account.

  • Autorizzazione a creare e aggiornare un VPC (e a supportare le risorse Amazon VPC) da associare alle tue esecuzioni di flusso di lavoro. HealthOmics

  • Autorizzazione a creare risorse di HealthOmics configurazione.

  • Autorizzazione a creare una connessione peering VPC nell'account del flusso di lavoro.

  • L'autorizzazione per accettare una connessione peering VPC nell'account della risorsa.

  • L'autorizzazione per aggiornare la configurazione del VPC della risorsa (e le risorse Amazon VPC di supporto).

  • L'autorizzazione all'avvio del HealthOmics flusso di lavoro viene eseguita.

Crea un Amazon VPC nell'account del tuo flusso di lavoro

Crea un Amazon VPC, sottoreti, tabelle di routing e un gruppo di sicurezza nell'account del tuo HealthOmics flusso di lavoro.

Come creare un VPC, sottoreti e altre risorse VPC tramite la console

  1. Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di controllo, scegli Crea VPC.

  3. Per il blocco CIDR IPv4, fornisci un blocco CIDR privato. Il blocco CIDR non deve sovrapporsi ai blocchi utilizzati nel VPC della risorsa. Non scegliere un blocco utilizzato dal VPC della risorsa per assegnare gli IP alle risorse o un blocco già definito nelle tabelle di routing nel VPC della risorsa. Per ulteriori informazioni sulla definizione dei blocchi CIDR appropriati, consulta Blocchi CIDR VPC.

  4. Scegli Personalizza AZ.

  5. Seleziona almeno una zona di disponibilità in cui HealthOmics opera nella tua regione.

  6. Per Numero di sottoreti pubbliche, scegli. 0

  7. Per gli endpoint VPC, scegli None (puoi aggiungerli in un secondo momento per ottimizzare i costi).

  8. Seleziona Crea VPC.

Creare una richiesta di connessione peering VPC

Crea una richiesta di connessione peering VPC dal VPC del flusso di lavoro (il VPC richiedente) al VPC della risorsa (il VPC accettante).

Per richiedere una connessione peering VPC dal VPC del flusso di lavoro

  1. Apri la Console VPC di Amazon.

  2. Nel riquadro di navigazione, seleziona Connessioni peering.

  3. Scegli Create peering connection (Crea connessione peering).

  4. Per ID VPC (Requester), seleziona il VPC del flusso di lavoro.

  5. In ID account immetti l'ID dell'account della risorsa.

  6. Per ID VPC (Accepter), inserisci l'ID VPC della risorsa.

  7. Scegli Create peering connection (Crea connessione peering).

Preparare l'account della tua risorsa

Per creare la connessione peering e preparare il VPC della risorsa all'utilizzo della connessione, accedi all'account della risorsa con un ruolo che detiene le autorizzazioni elencate nei prerequisiti. I passaggi per accedere possono essere diversi in base al modo in cui l'account è protetto. Per ulteriori informazioni su come accedere a un AWS account, consulta la Guida per l'AWS Sign-in utente. Nell'account della risorsa, completa le seguenti procedure.

Per accettare una richiesta di connessione peering VPC.

  1. Apri la Console VPC di Amazon.

  2. Nel riquadro di navigazione, seleziona Connessioni peering.

  3. Seleziona la connessione peering VPC in attesa (lo stato è pending-acceptance).

  4. Scegli Azioni.

  5. Dal menù a discesa, scegli Accetta richiesta.

  6. Quando viene chiesta la conferma, seleziona Accetta richiesta.

  7. Scegli Modifica subito le tabelle di routing per aggiungere una route alla tabella di routing principale del VPC in modo da poter inviare e ricevere traffico attraverso la connessione peering.

Ispeziona le tabelle di routing per il VPC della risorsa. Il percorso generato da Amazon VPC potrebbe non stabilire la connettività a seconda di come è configurato il VPC della risorsa. Verifica la presenza di conflitti tra la nuova route e la configurazione esistente per il VPC. Per ulteriori informazioni sulla risoluzione dei problemi, consulta Risoluzione dei problemi di una connessione peering VPC nella Amazon VPC Peering Guide.

Per aggiornare la tabella delle rotte per il VPC della risorsa

  1. Apri la Console VPC di Amazon.

  2. Nel riquadro di navigazione, seleziona Tabelle di routing.

  3. Seleziona la casella di controllo accanto al nome della tabella delle rotte per la sottorete associata alla risorsa.

  4. Scegli Azioni.

  5. Selezionare Modifica route.

  6. Seleziona Aggiungi route.

  7. Per Destinazione, inserisci il blocco CIDR per il VPC del tuo flusso di lavoro.

  8. Per Destinazione seleziona la connessione peering VPC.

  9. Scegli Save changes (Salva modifiche).

Per ulteriori informazioni sulle considerazioni che potresti incontrare durante l'aggiornamento delle tabelle di routing, consulta Aggiornamento delle tabelle di routing per una connessione peering VPC.

Per aggiornare il gruppo di sicurezza per la risorsa

  1. Apri la Console VPC di Amazon.

  2. Nel pannello di navigazione, seleziona Gruppi di sicurezza.

  3. Seleziona il gruppo di sicurezza per la tua risorsa.

  4. Scegli Azioni.

  5. Dall'elenco a discesa, scegli Modifica regole in entrata.

  6. Scegli Aggiungi regola.

  7. Per Tipo, seleziona il protocollo utilizzato dalla risorsa (ad esempio MySQL/Aurora, HTTPS o TCP personalizzato).

  8. In Intervallo di porte, inserisci la porta su cui la risorsa è in ascolto.

  9. Per Source, inserisci il blocco VPC CIDR del flusso di lavoro (ad esempio, 10.0.0. 0/16).

  10. Scegliere Salva regole.

  11. Scegli Edit outbound rules (Modifica regole in uscita).

  12. Verifica se il traffico in uscita è limitato. Le impostazioni VPC predefinite autorizzano tutto il traffico in uscita. Se il traffico in uscita è limitato, continua con il passaggio successivo.

  13. Scegli Aggiungi regola.

  14. Per Tipo, seleziona All traffic o il protocollo specifico necessario.

  15. In Destinazione, inserisci il blocco VPC CIDR del flusso di lavoro (ad esempio, 10.0.0. 0/16).

  16. Scegliere Salva regole.

Per abilitare la risoluzione DNS per la connessione peering

  1. Apri la Console VPC di Amazon.

  2. Nel riquadro di navigazione, seleziona Connessioni peering.

  3. Seleziona la connessione peering.

  4. Scegli Azioni.

  5. Seleziona Modifica impostazioni DNS.

  6. In Risoluzione DNS accettante, seleziona Consenti al VPC richiedente di risolvere il DNS degli host VPC accettanti su IP privato.

  7. Scegli Save changes (Salva modifiche).

Aggiorna la configurazione VPC nell'account del tuo flusso di lavoro

Accedi all'account del tuo flusso di lavoro, quindi aggiorna la configurazione del VPC.

Per aggiungere una route per la connessione peering VPC

  1. Apri la Console VPC di Amazon.

  2. Nel riquadro di navigazione, seleziona Tabelle di routing.

  3. Seleziona la casella di controllo accanto al nome della tabella di routing per la sottorete che assocerai alla tua HealthOmics configurazione.

  4. Scegli Azioni.

  5. Selezionare Modifica route.

  6. Seleziona Aggiungi route.

  7. Per Destinazione, inserisci il blocco CIDR per il VPC della risorsa.

  8. Per Destinazione seleziona la connessione peering VPC.

  9. Scegli Save changes (Salva modifiche).

Per ulteriori informazioni sulle considerazioni che potresti incontrare durante l'aggiornamento delle tabelle di routing, consulta Aggiornamento delle tabelle di routing per una connessione peering VPC.

Per aggiornare il gruppo di sicurezza per il HealthOmics flusso di lavoro viene eseguito

  1. Apri la Console VPC di Amazon.

  2. Nel pannello di navigazione, seleziona Gruppi di sicurezza.

  3. Seleziona il gruppo di sicurezza che utilizzerai per la HealthOmics configurazione.

  4. Scegli Azioni.

  5. Scegli Edit outbound rules (Modifica regole in uscita).

  6. Scegli Aggiungi regola.

  7. Per Tipo, seleziona il protocollo utilizzato dalla risorsa (ad esempio MySQL/Aurora, HTTPS o TCP personalizzato).

  8. In Intervallo di porte, inserisci la porta su cui la risorsa è in ascolto.

  9. Per Destinazione, inserisci il blocco VPC CIDR della risorsa (ad esempio, 10.1.0. 0/16).

  10. Scegliere Salva regole.

  11. Sceglere Edit inbound rules (Modifica regole in entrata).

  12. Controlla se esistono le regole del traffico in entrata. Se la tua risorsa deve riavviare le connessioni per ripristinare il flusso di lavoro, vai al passaggio successivo. Altrimenti, vai alla fase di risoluzione del DNS.

  13. Scegli Aggiungi regola.

  14. Per Tipo, seleziona il protocollo appropriato.

  15. Per Source, inserisci il blocco VPC CIDR della risorsa (ad esempio, 10.1.0. 0/16).

  16. Scegliere Salva regole.

Per abilitare la risoluzione DNS per la connessione peering

  1. Apri la Console VPC di Amazon.

  2. Nel riquadro di navigazione, seleziona Connessioni peering.

  3. Seleziona la connessione peering.

  4. Scegli Azioni.

  5. Seleziona Modifica impostazioni DNS.

  6. In Risoluzione DNS richiedente, seleziona Consenti al VPC accettante di risolvere il DNS degli host VPC richiedenti su IP privato.

  7. Scegli Save changes (Salva modifiche).

Esecuzione di flussi di lavoro con accesso VPC su più account

Quando avvii l'esecuzione di un flusso di lavoro, utilizza le sottoreti e i gruppi di sicurezza del VPC nell'account del flusso di lavoro. Il traffico proveniente dalle esecuzioni del flusso di lavoro verrà indirizzato al VPC dell'altro account tramite la connessione peering VPC.

Per informazioni sulla creazione di risorse HealthOmics di configurazione e sull'avvio dei flussi di lavoro eseguiti con la rete VPC, vedere. Connessione HealthOmics dei flussi di lavoro a un VPC

Importante

Ti consigliamo di abilitare i log di flusso VPC su entrambi i VPC per verificare il flusso di traffico tra di loro e risolvere i problemi di connettività. Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l’utente di Amazon VPC.

Risoluzione dei problemi

Se l'esecuzione del flusso di lavoro non riesce a connettersi alle risorse nel VPC peerizzato:

  1. Verifica le tabelle di routing: assicurati che entrambi i VPC abbiano percorsi bidirezionali che puntano alla connessione peering VPC.

  2. Controlla i gruppi di sicurezza: verifica che i gruppi di sicurezza in entrambi i VPC consentano il traffico richiesto (in entrata nel VPC delle risorse, in uscita nel VPC del flusso di lavoro).

  3. Verifica la risoluzione DNS: assicurati che la risoluzione DNS sia abilitata in entrambe le direzioni sulla connessione peering se utilizzi nomi DNS.

  4. Controlla i blocchi CIDR: verifica che i blocchi CIDR non si sovrappongano tra i due VPC.

  5. Rivedi i log di flusso VPC: abilita i log di flusso VPC in entrambi i VPC per diagnosticare i problemi di flusso del traffico.

  6. Verifica lo stato della connessione peering: assicurati che lo stato della connessione peering sia in entrambi gli account. active

Per ulteriori indicazioni sulla risoluzione dei problemi, consulta Risoluzione dei problemi di una connessione peering VPC nella Amazon VPC Peering Guide.

Best practice

  1. Usa gruppi di sicurezza con privilegi minimi: consenti l'accesso alla risorsa solo alle porte e ai protocolli specifici necessari per il tuo flusso di lavoro.

  2. Documenta la relazione di peering: mantieni la documentazione su quali VPC vengono sottoposti a peering e per quale scopo.

  3. Monitora il traffico tra account: utilizza i log di flusso e le metriche VPC per monitorare i modelli di traffico CloudWatch e rilevare anomalie.

  4. Pianifica attentamente i blocchi CIDR: assicurati che i blocchi CIDR non si sovrappongano e lascino spazio per future espansioni.

  5. Esegui test approfonditi: convalida la connettività con i flussi di lavoro di test prima di eseguire carichi di lavoro di produzione.

  6. Coordinatevi con i proprietari degli account di risorse: stabilite canali di comunicazione chiari con il team che gestisce l'account di risorse per la risoluzione dei problemi e la manutenzione.

  7. Usa i tag: tagga le connessioni peering VPC, le tabelle di routing e i gruppi di sicurezza per identificarne lo scopo e la proprietà.

Risorse aggiuntive