View a markdown version of this page

Connessione HealthOmics dei flussi di lavoro a un VPC - AWS HealthOmics
Quando utilizzare la rete VPCModalità di reteNozioni di baseRequisiti VPCAPI di configurazioneEsecuzione di flussi di lavoro con reti VPCBest practiceQuote di rete VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione HealthOmics dei flussi di lavoro a un VPC

Con Amazon Virtual Private Cloud (Amazon VPC), puoi avviare AWS risorse in una rete virtuale privata che hai definito. Puoi consentire ai HealthOmics flussi di lavoro di accedere alle risorse del tuo VPC configurando le esecuzioni per utilizzare la modalità di rete VPC. Quando la rete VPC è abilitata, le tue corse possono accedere alle risorse all'interno del tuo VPC e connettersi a risorse esterne tramite Internet pubblico se il tuo VPC ha configurato l'accesso a Internet.

Nota

Ogni HealthOmics workflow eseguito viene eseguito all'interno di un VPC di proprietà e gestito dal HealthOmics servizio. Questi VPC vengono gestiti automaticamente e non sono visibili ai clienti. La configurazione della corsa per accedere alle risorse in Amazon VPC non ha alcun effetto sul HealthOmics-managed VPC.

Quando utilizzare la rete VPC

Usa la rete VPC quando le tue esecuzioni devono:

  • Accedi ai set di dati disponibili al pubblico su Internet (ad esempio, set di dati NIH, archivi accademici)

  • Connect a server di licenza di terze parti o API esterne

  • Leggi o scrivi dati dai bucket Amazon S3 in altre regioni AWS

  • Accedi alle risorse locali nella tua rete privata

  • Connect alle risorse AWS all'interno del tuo VPC

Nota

Quando colleghi una corsa a un VPC, può accedere solo alle risorse disponibili all'interno di quel VPC. Per consentire alla tua corsa di accedere a Internet, devi anche configurare il tuo VPC per l'accesso a Internet. Per ulteriori informazioni, consulta Accesso a Internet per i flussi VPC-connected di lavoro.

Argomenti

Modalità di rete

HealthOmics Workflows supporta due modalità di rete. Per impostazione predefinita, le esecuzioni del flusso di lavoro funzionano in modalità LIMITATA. È possibile abilitare la rete VPC per esecuzione quando si avvia l'esecuzione del flusso di lavoro.

LIMITATO (impostazione predefinita)

Le esecuzioni possono accedere solo alle risorse Amazon S3 e Amazon ECR all'interno della stessa regione. AWS Le esecuzioni non possono accedere ad altri AWS servizi, risorse in diverse AWS regioni o alla rete Internet pubblica.

VPC

Il traffico di esecuzione viene instradato tramite interfacce di rete elastiche (ENI) fornite dalle sottoreti HealthOmics VPC. Puoi controllare il routing di rete, i gruppi di sicurezza, gli ACL di rete e l'accesso a Internet tramite i gateway NAT. Questa modalità consente l'accesso a:

  • Risorse Internet pubbliche (richiede la configurazione del gateway NAT)

  • AWS servizi in altre regioni

  • Risorse private nel tuo VPC

  • Accedi alle risorse locali nella tua rete privata

La modalità di rete viene specificata quando si avvia un flusso di lavoro eseguito utilizzando il networkingMode parametro nell'StartRunAPI.

Nozioni di base

Questa sezione ti guida nella configurazione della rete VPC per i HealthOmics flussi di lavoro per la prima volta.

Prerequisiti

Prima di configurare la rete VPC HealthOmics per i flussi di lavoro, assicurati di disporre di quanto segue:

  • Un VPC esistente con sottoreti e gruppi di sicurezza appropriati. Il VPC deve trovarsi nella stessa regione dei flussi di lavoro.

  • Almeno una sottorete in una zona di disponibilità in cui HealthOmics opera nella vostra regione.

  • Autorizzazioni IAM appropriate per creare e gestire HealthOmics configurazioni.

  • Comprensione dei concetti di rete VPC (sottoreti, gruppi di sicurezza, tabelle di routing).

  • Capacità ENI sufficiente nel tuo account. AWS HealthOmics ridimensiona e gestisce gli ENI nel tuo VPC utilizzando il ruolo collegato al servizio. Il numero di ENI richiesti dipende dal carico di lavoro. Monitora l'utilizzo dell'ENI nella console Amazon EC2 per assicurarti di avere una capacità sufficiente.

Importante

La configurazione del VPC deve includere almeno una sottorete in una zona di disponibilità che HealthOmics opera nella vostra regione per supportare il posizionamento delle attività del flusso di lavoro. Quando utilizzi la modalità di rete VPC, sei responsabile di determinare se è sicuro e conforme trasferire o utilizzare i dati tra le regioni. AWS

Passaggio 1: crea o configura il tuo VPC

Crea un VPC con sottoreti private, gruppi di sicurezza e gateway NAT (se è necessario l'accesso a Internet). Per istruzioni dettagliate dettagliate, consulta. Accesso a Internet per i flussi VPC-connected di lavoro

Fase 2: Configurazione dei gruppi di sicurezza

Crea un gruppo di sicurezza che consenta il traffico in uscita verso le destinazioni a cui devono accedere le tue corse. Configura i gruppi di sicurezza per consentire solo il traffico in uscita minimo richiesto seguendo il principio del privilegio minimo.

Per esempi di configurazioni e linee guida dettagliate, consulta la sezione dedicata ai gruppi di sicurezza in. Accesso a Internet per i flussi VPC-connected di lavoro

Fase 3: Verifica le tabelle delle rotte

Assicurati che le tue sottoreti private dispongano di percorsi verso un gateway NAT per l'accesso a Internet. Per esempio, le configurazioni della tabella delle rotte, consulta la sezione relativa alla tabella delle rotte in. Accesso a Internet per i flussi VPC-connected di lavoro

Nota

Il collegamento di una corsa a una sottorete pubblica non le fornisce l'accesso a Internet o un indirizzo IP pubblico. Usa sempre sottoreti private con percorsi NAT Gateway per corse che richiedono connettività Internet.

Fase 4: Creare una risorsa di configurazione

Crea una risorsa HealthOmics di configurazione che definisca le impostazioni di rete VPC:

aws omics create-configuration \
  --name my-vpc-config \
  --description "VPC configuration for genomics workflows" \
  --run-configurations '{
    "vpcConfig": {
      "securityGroupIds": ["sg-0123456789abcdef0"],
      "subnetIds": [
        "subnet-0a1b2c3d4e5f6g7h8",
        "subnet-1a2b3c4d5e6f7g8h9"
      ]
    }
  }' \
  --region us-west-2

La configurazione passerà ACTIVE allo stato CREATING successivo al provisioning delle risorse di rete. Questa operazione richiede fino a 15 minuti.

Fase 5: Avvio di un flusso di lavoro eseguito con la rete VPC

Una volta completata la configurazioneACTIVE, avvia un flusso di lavoro eseguito con la rete VPC abilitata:

aws omics start-run \
  --workflow-id 1234567 \
  --role-arn arn:aws:iam::123456789012:role/OmicsWorkflowRole \
  --output-uri s3://my-bucket/outputs/ \
  --networking-mode VPC \
  --configuration-name my-vpc-config \
  --region us-west-2

Passaggio 6: verifica della connettività

Monitora l'esecuzione del flusso di lavoro per verificare che possa accedere alle risorse esterne richieste. Controlla i registri del flusso di lavoro in CloudWatch Log per i messaggi di successo o di errore della connessione. Per una guida dettagliata sul test della connettività, consulta. Test della connettività VPC

Requisiti VPC

Il tuo VPC deve soddisfare i seguenti requisiti:

Requisiti della sottorete

  • Minimo: almeno una sottorete in una zona di disponibilità in cui opera HealthOmics

  • Massimo: 16 sottoreti per configurazione

  • Restrizione: massimo una sottorete per zona di disponibilità

  • Raccomandazione: utilizza sottoreti private con percorsi NAT Gateway per le esecuzioni che richiedono l'accesso a Internet. Sebbene sia possibile specificare una singola sottorete, consigliamo di utilizzare più sottoreti in diverse zone di disponibilità per una migliore disponibilità.

Requisiti relativi al gruppo di sicurezza

  • Minimo: 1 gruppo di sicurezza

  • Massimo: 5 gruppi di sicurezza per configurazione

  • Requisito: tutti i gruppi di sicurezza devono appartenere allo stesso VPC delle sottoreti

I gruppi di sicurezza controllano il traffico in entrata e in uscita per le tue esecuzioni.

Nota

Tutte le sottoreti e i gruppi di sicurezza devono appartenere allo stesso VPC.

Requisiti dell'interfaccia di rete

HealthOmics fornisce interfacce di rete elastiche (ENI) nel tuo VPC per connettere le corse alla tua rete. Assicurati che il tuo AWS account abbia una capacità ENI sufficiente (limite predefinito: 5.000 ENI per regione).

Gli ENI creati da HealthOmics sono etichettati con i seguenti tag:

"TagSet": [
  {
    "Key": "Service",
    "Value": "HealthOmics"
  },
  {
    "Key": "eniType",
    "Value": "CUSTOMER"
  }
]
Importante

Non modificare o eliminare gli ENI creati da. HealthOmics La modifica di queste interfacce di rete può causare ritardi nel servizio o interruzioni nell'esecuzione del flusso di lavoro.

API di configurazione

HealthOmics fornisce API per creare, gestire ed eliminare configurazioni VPC. È possibile riutilizzare le configurazioni in più esecuzioni del flusso di lavoro.

CreateConfiguration

Crea una nuova risorsa di configurazione con le impostazioni di rete VPC. Per un esempio dettagliato, consultare Fase 4: Creare una risorsa di configurazione.

Sintassi della richiesta:

aws omics create-configuration \
  --name configuration-name \
  --description description \
  --run-configurations '{"vpcConfig":{"securityGroupIds":["security-group-id"],"subnetIds":["subnet-id"]}}' \
  --tags Key=key,Value=value \
  --region region

Parametri:

  • nome (obbligatorio) — Un nome univoco per la configurazione (massimo 50 caratteri).

  • description (opzionale) — Una descrizione della configurazione.

  • run-configurations (opzionale) — Impostazioni di configurazione VPC:

    • vpcConfig.securityGroupIds— Un elenco di 1—5 ID di gruppi di sicurezza.

    • vpcConfig.subnetIds— Un elenco di 1—16 ID di sottorete.

  • tags (opzionale) — Tag di risorse.

Risposta:

{
  "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
  "uuid": "configuration-uuid",
  "name": "configuration-name",
  "runConfigurations": {
    "vpcConfig": {
      "securityGroupIds": ["security-group-id"],
      "subnetIds": ["subnet-id"],
      "vpcId": "vpc-id"
    }
  },
  "status": "CREATING",
  "creationTime": "timestamp",
  "tags": {}
}

Valori dello stato della configurazione:

  • CREAZIONE: la configurazione è in corso di creazione e viene effettuato il provisioning delle risorse di rete (fino a 15 minuti).

  • ATTIVO: la configurazione è pronta per l'uso.

  • ELIMINAZIONE: la configurazione viene eliminata.

  • ELIMINATA: la configurazione è stata eliminata.

GetConfiguration

Recupera i dettagli di una configurazione specifica.

Sintassi della richiesta:

aws omics get-configuration \
  --name configuration-name \
  --region region

Risposta:

{
  "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
  "uuid": "configuration-uuid",
  "name": "configuration-name",
  "runConfigurations": {
    "vpcConfig": {
      "securityGroupIds": ["security-group-id"],
      "subnetIds": ["subnet-id"],
      "vpcId": "vpc-id"
    }
  },
  "status": "ACTIVE",
  "creationTime": "timestamp",
  "tags": {}
}

ListConfigurations

Elenca tutte le configurazioni del tuo account.

Sintassi della richiesta:

aws omics list-configurations \
  --region region

Risposta:

{
  "items": [
    {
      "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
      "name": "configuration-name",
      "description": "description",
      "status": "ACTIVE",
      "creationTime": "timestamp"
    }
  ]
}

DeleteConfiguration

Elimina una configurazione. Non è possibile eliminare una configurazione attualmente utilizzata dalle esecuzioni attive del flusso di lavoro.

Sintassi della richiesta:

aws omics delete-configuration \
  --name configuration-name \
  --region region
Nota

Lo stato della configurazione passa a ELIMINAZIONE durante la pulizia delle risorse di rete e quindi a ELIMINATA una volta completato il processo.

Esecuzione di flussi di lavoro con reti VPC

Avvio di un'esecuzione con una rete VPC

Per utilizzare la rete VPC in un flusso di lavoro, specifica il networking-mode parametro e: configuration-name

aws omics start-run \
  --workflow-id 1234567 \
  --role-arn arn:aws:iam::123456789012:role/OmicsWorkflowRole \
  --output-uri s3://my-bucket/outputs/ \
  --networking-mode VPC \
  --configuration-name my-vpc-config \
  --region us-west-2

Parametri:

  • modalità di rete: impostata per VPC abilitare la rete VPC. Il valore predefinito è RESTRICTED.

  • configuration-name (obbligatorio) — Il nome della configurazione da utilizzare.

Visualizzazione della configurazione di rete in esecuzione

Utilizzare GetRun per visualizzare la configurazione di rete per una corsa:

aws omics get-run \
  --id run-id \
  --region region

La risposta include la modalità di rete, i dettagli di configurazione e la configurazione del VPC. L'esempio seguente mostra i VPC-related campi della risposta:

{
  "arn": "arn:aws:omics:region:account-id:run/run-id",
  "id": "run-id",
  "status": "status",
  "workflowId": "workflow-id",
  "networkingMode": "VPC",
  "configuration": {
    "name": "configuration-name",
    "arn": "arn:aws:omics:region:account-id:configuration/configuration-name",
    "uuid": "configuration-uuid"
  },
  "vpcConfig": {
    "subnets": ["subnet-id-1", "subnet-id-2"],
    "securityGroupIds": ["security-group-id"],
    "vpcId": "vpc-id"
  }
}

Immutabilità della configurazione

I flussi di lavoro utilizzano un'istantanea della configurazione così com'era all'inizio dell'esecuzione. È possibile modificare o eliminare in sicurezza le configurazioni durante l'esecuzione dell'esecuzione senza influire sulle esecuzioni attive.

Considerazioni sulla memorizzazione nella cache delle chiamate

Quando utilizzi una rete VPC con caching delle chiamate, assicurati che il motore del flusso di lavoro sia configurato in modo appropriato. Per una guida dettagliata sulla memorizzazione nella cache delle chiamate per motore, consulta. Engine-specific funzionalità di memorizzazione nella cache

Importante

Quando ti connetti a risorse non deterministiche o dinamiche (ad esempio database di terze parti sulla rete Internet pubblica), prendi in considerazione l'utilizzo della funzionalità di disattivazione delle attività di cache nei flussi di lavoro per evitare di memorizzare nella cache set di dati dinamici che potrebbero influire sugli output di esecuzione.

Best practice

Sicurezza

  1. Utilizzate gruppi di sicurezza con privilegi minimi. Consenti solo il traffico in uscita minimo richiesto. Utilizza blocchi CIDR di destinazione specifici anziché 0.0.0. 0/0 quando possibile. Documenta lo scopo di ogni regola del gruppo di sicurezza.

  2. Configurazioni separate per ambiente. Crea configurazioni separate per lo sviluppo, l'allestimento e la produzione. Usa VPC o sottoreti diversi per ogni ambiente. Applica i tag appropriati alle configurazioni per l'organizzazione.

  3. Implementa il monitoraggio della rete. Abilita i log di flusso VPC per l'analisi della sicurezza. Imposta CloudWatch allarmi per schemi di traffico insoliti. Esamina regolarmente CloudTrail i registri per verificare eventuali modifiche alla configurazione.

  4. Usa gli endpoint VPC per i servizi. AWS Configura gli endpoint VPC per Amazon S3, Amazon ECR e altri servizi. AWS Ciò riduce i costi del gateway NAT, migliora le prestazioni e fornisce ulteriore sicurezza mantenendo il traffico all'interno della rete. AWS

Performance

  1. Pianifica la scalabilità della rete. La velocità di trasmissione della rete parte da 10 Gbps e nel tempo sale a 100 Gbps. Per esigenze immediate ad alta produttività, pianifica in anticipo e richiedi il preriscaldamento. Monitora le metriche di rete per comprendere i requisiti del flusso di lavoro.

  2. Implementa i gateway NAT per zona di disponibilità. Utilizza un gateway NAT per AZ per i carichi di lavoro di produzione. Ciò migliora la resilienza e la velocità effettiva e riduce i costi di trasferimento dei dati tra le AZ.

  3. Riutilizza le configurazioni. Crea configurazioni che possono essere condivise tra più flussi di lavoro. Ciò riduce il sovraccarico di gestione della configurazione e garantisce impostazioni di rete coerenti.

  4. Prova le configurazioni prima dell'uso in produzione. Convalida la connettività di rete con flussi di lavoro di test. Verifica che le regole del gruppo di sicurezza consentano il traffico richiesto. Testa gli scenari di failover con configurazioni Multi-AZ.

Ottimizzazione dei costi

  1. Utilizza gli endpoint VPC anziché il gateway NAT. Per l'accesso al AWS servizio, utilizza gli endpoint VPC (senza costi di elaborazione dei dati). Gli endpoint Amazon S3 Gateway non hanno costi aggiuntivi. Gli endpoint di interfaccia hanno tariffe orarie, ma possono essere più convenienti rispetto a NAT Gateway.

  2. Monitora i costi di trasferimento dei dati. Il trasferimento dei dati in entrata è gratuito. Il trasferimento dei dati verso Internet prevede velocità di trasferimento AWS dati standard. Cross-Region il trasferimento dei dati ha velocità più elevate. Usa AWS Cost Explorer per tenere traccia VPC-related dei costi.

  3. Right-size Implementazione di NAT Gateway. Per lo sviluppo, usa un gateway NAT per tutte le AZ. Per la produzione, usa un gateway NAT per AZ per la resilienza. Monitora l'utilizzo del gateway NAT per evitare un eccesso di provisioning.

  4. Eliminare le configurazioni non utilizzate. Rivedi ed elimina regolarmente le configurazioni non più in uso. Utilizza i tag per identificare la proprietà e lo scopo della configurazione.

Operational

  1. Usa nomi di configurazione descrittivi. Includi ambiente, scopo e team nel nome (ad esempioprod-genomics-vpc,dev-clinical-trials-vpc).

  2. Etichetta tutte le configurazioni. Utilizza una strategia di etichettatura coerente su tutte le risorse. Includi tag per Ambiente CostCenter, Proprietario e Scopo.

  3. Requisiti di rete dei documenti. Documenta a quali servizi esterni accede ogni configurazione. Mantieni una mappa delle regole dei gruppi di sicurezza e dei relativi scopi. Condividi i diagrammi dell'architettura di rete con il tuo team.

Quote di rete VPC

La tabella seguente elenca le quote per le configurazioni di rete VPC:

Risorsa Limite predefinito Regolabile
Numero massimo di configurazioni per account 10
Numero massimo di gruppi di sicurezza per configurazione 5 No
Numero massimo di sottoreti per configurazione 16 No
Numero massimo di sottoreti per zona di disponibilità 1 No
CreateConfiguration SUGGERIMENTI API 1
Interfacce di rete elastiche per regione (VPC del cliente) 5.000

Per richiedere un aumento della quota, apri la console Service Quotas, scegli AWS i servizi, cerca AWS HealthOmics, seleziona la quota che desideri aumentare e scegli Richiedi aumento della quota. Le richieste di aumento della quota vengono in genere elaborate entro 1-2 giorni lavorativi.