Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Connessione HealthOmics dei flussi di lavoro a un VPC
Con Amazon Virtual Private Cloud (Amazon VPC), puoi avviare AWS risorse in una rete virtuale privata che hai definito. Puoi consentire ai HealthOmics flussi di lavoro di accedere alle risorse del tuo VPC configurando le esecuzioni per utilizzare la modalità di rete VPC. Quando la rete VPC è abilitata, le tue corse possono accedere alle risorse all'interno del tuo VPC e connettersi a risorse esterne tramite Internet pubblico se il tuo VPC ha configurato l'accesso a Internet.
**Nota**
Ogni HealthOmics workflow eseguito viene eseguito all'interno di un VPC di proprietà e gestito dal HealthOmics servizio. Questi VPC vengono gestiti automaticamente e non sono visibili ai clienti. La configurazione della corsa per accedere alle risorse in Amazon VPC non ha alcun effetto sul HealthOmics-managed VPC.
## Quando utilizzare la rete VPC
Usa la rete VPC quando le tue esecuzioni devono:
+ Accedi ai set di dati disponibili al pubblico su Internet (ad esempio, set di dati NIH, archivi accademici)
+ Connect a server di licenza di terze parti o API esterne
+ Leggi o scrivi dati dai bucket Amazon S3 in altre regioni AWS
+ Accedi alle risorse locali nella tua rete privata
+ Connect alle risorse AWS all'interno del tuo VPC
**Nota**
Quando colleghi una corsa a un VPC, può accedere solo alle risorse disponibili all'interno di quel VPC. Per consentire alla tua corsa di accedere a Internet, devi anche configurare il tuo VPC per l'accesso a Internet. Per ulteriori informazioni, consulta [Accesso a Internet per i flussi VPC-connected di lavoro](workflows-vpc-internet.md).
**Topics**
+ [Quando utilizzare la rete VPC](#vpc-when-to-use)
+ [Modalità di rete](#vpc-networking-modes)
+ [Nozioni di base](#vpc-getting-started)
+ [Requisiti VPC](#vpc-requirements)
+ [Ruolo collegato ai servizi per la rete VPC](vpc-service-linked-role.md)
+ [Connessione a un VPC in un altro account](workflows-vpc-cross-account.md)
+ [API di configurazione](#vpc-configuration-apis)
+ [Esecuzione di flussi di lavoro con reti VPC](#vpc-running-workflows)
+ [Risoluzione dei problemi di rete VPC](vpc-troubleshooting-guide.md)
+ [Best practice](#vpc-best-practices)
+ [Quote di rete VPC](#vpc-quotas)
## Modalità di rete
HealthOmics Workflows supporta due modalità di rete. Per impostazione predefinita, le esecuzioni del flusso di lavoro funzionano in modalità LIMITATA. È possibile abilitare la rete VPC per esecuzione quando si avvia l'esecuzione del flusso di lavoro.
**LIMITATO (impostazione predefinita)**
Le esecuzioni possono accedere solo alle risorse Amazon S3 e Amazon ECR all'interno della stessa regione. AWS Le esecuzioni non possono accedere ad altri AWS servizi, risorse in diverse AWS regioni o alla rete Internet pubblica.
**VPC**
Il traffico di esecuzione viene instradato tramite interfacce di rete elastiche (ENI) fornite dalle sottoreti HealthOmics VPC. Puoi controllare il routing di rete, i gruppi di sicurezza, gli ACL di rete e l'accesso a Internet tramite i gateway NAT. Questa modalità consente l'accesso a:
+ Risorse Internet pubbliche (richiede la configurazione del gateway NAT)
+ AWS servizi in altre regioni
+ Risorse private nel tuo VPC
+ Accedi alle risorse locali nella tua rete privata
La modalità di rete viene specificata quando si avvia un flusso di lavoro eseguito utilizzando il `networkingMode` parametro nell'`StartRun`API.
## Nozioni di base
Questa sezione ti guida nella configurazione della rete VPC per i HealthOmics flussi di lavoro per la prima volta.
### Prerequisiti
Prima di configurare la rete VPC HealthOmics per i flussi di lavoro, assicurati di disporre di quanto segue:
+ Un VPC esistente con sottoreti e gruppi di sicurezza appropriati. Il VPC deve trovarsi nella stessa regione dei flussi di lavoro.
+ Almeno una sottorete in una zona di disponibilità in cui HealthOmics opera nella vostra regione.
+ Autorizzazioni IAM appropriate per creare e gestire HealthOmics configurazioni.
+ Comprensione dei concetti di rete VPC (sottoreti, gruppi di sicurezza, tabelle di routing).
+ Capacità ENI sufficiente nel tuo account. AWS HealthOmics ridimensiona e gestisce gli ENI nel tuo VPC utilizzando il ruolo collegato al servizio. Il numero di ENI richiesti dipende dal carico di lavoro. Monitora l'utilizzo dell'ENI nella console Amazon EC2 per assicurarti di avere una capacità sufficiente.
**Importante**
La configurazione del VPC deve includere almeno una sottorete in una zona di disponibilità che HealthOmics opera nella vostra regione per supportare il posizionamento delle attività del flusso di lavoro. Quando utilizzi la modalità di rete VPC, sei responsabile di determinare se è sicuro e conforme trasferire o utilizzare i dati tra le regioni. AWS
### Passaggio 1: crea o configura il tuo VPC
Crea un VPC con sottoreti private, gruppi di sicurezza e gateway NAT (se è necessario l'accesso a Internet). Per istruzioni dettagliate dettagliate, consulta. [Accesso a Internet per i flussi VPC-connected di lavoro](workflows-vpc-internet.md)
### Fase 2: Configurazione dei gruppi di sicurezza
Crea un gruppo di sicurezza che consenta il traffico in uscita verso le destinazioni a cui devono accedere le tue corse. Configura i gruppi di sicurezza per consentire solo il traffico in uscita minimo richiesto seguendo il principio del privilegio minimo.
Per esempi di configurazioni e linee guida dettagliate, consulta la sezione dedicata ai gruppi di sicurezza in. [Accesso a Internet per i flussi VPC-connected di lavoro](workflows-vpc-internet.md)
### Fase 3: Verifica le tabelle delle rotte
Assicurati che le tue sottoreti private dispongano di percorsi verso un gateway NAT per l'accesso a Internet. Per esempio, le configurazioni della tabella delle rotte, consulta la sezione relativa alla tabella delle rotte in. [Accesso a Internet per i flussi VPC-connected di lavoro](workflows-vpc-internet.md)
**Nota**
Il collegamento di una corsa a una sottorete pubblica non le fornisce l'accesso a Internet o un indirizzo IP pubblico. Usa sempre sottoreti private con percorsi NAT Gateway per corse che richiedono connettività Internet.
### Fase 4: Creare una risorsa di configurazione
Crea una risorsa HealthOmics di configurazione che definisca le impostazioni di rete VPC:
```
aws omics create-configuration \
--name {{my-vpc-config}} \
--description "VPC configuration for genomics workflows" \
--run-configurations '{
"vpcConfig": {
"securityGroupIds": ["{{sg-0123456789abcdef0}}"],
"subnetIds": [
"{{subnet-0a1b2c3d4e5f6g7h8}}",
"{{subnet-1a2b3c4d5e6f7g8h9}}"
]
}
}' \
--region {{us-west-2}}
```
La configurazione passerà `ACTIVE` allo stato `CREATING` successivo al provisioning delle risorse di rete. Questa operazione richiede fino a 15 minuti.
### Fase 5: Avvio di un flusso di lavoro eseguito con la rete VPC
Una volta completata la configurazione`ACTIVE`, avvia un flusso di lavoro eseguito con la rete VPC abilitata:
```
aws omics start-run \
--workflow-id {{1234567}} \
--role-arn arn:aws:iam::{{123456789012}}:role/{{OmicsWorkflowRole}} \
--output-uri s3://{{my-bucket}}/outputs/ \
--networking-mode VPC \
--configuration-name {{my-vpc-config}} \
--region {{us-west-2}}
```
### Passaggio 6: verifica della connettività
Monitora l'esecuzione del flusso di lavoro per verificare che possa accedere alle risorse esterne richieste. Controlla i registri del flusso di lavoro in CloudWatch Log per i messaggi di successo o di errore della connessione. Per una guida dettagliata sul test della connettività, consulta. [Test della connettività VPC](workflows-vpc-internet.md#vpc-testing-connectivity)
## Requisiti VPC
Il tuo VPC deve soddisfare i seguenti requisiti:
### Requisiti della sottorete
+ **Minimo:** almeno una sottorete in una zona di disponibilità in cui opera HealthOmics
+ **Massimo:** 16 sottoreti per configurazione
+ **Restrizione:** massimo una sottorete per zona di disponibilità
+ **Raccomandazione:** utilizza sottoreti private con percorsi NAT Gateway per le esecuzioni che richiedono l'accesso a Internet. Sebbene sia possibile specificare una singola sottorete, consigliamo di utilizzare più sottoreti in diverse zone di disponibilità per una migliore disponibilità.
### Requisiti relativi al gruppo di sicurezza
+ **Minimo: 1 gruppo** di sicurezza
+ **Massimo:** 5 gruppi di sicurezza per configurazione
+ **Requisito:** tutti i gruppi di sicurezza devono appartenere allo stesso VPC delle sottoreti
I gruppi di sicurezza controllano il traffico in entrata e in uscita per le tue esecuzioni.
**Nota**
Tutte le sottoreti e i gruppi di sicurezza devono appartenere allo stesso VPC.
### Requisiti dell'interfaccia di rete
HealthOmics fornisce interfacce di rete elastiche (ENI) nel tuo VPC per connettere le corse alla tua rete. Assicurati che il tuo AWS account abbia una capacità ENI sufficiente (limite predefinito: 5.000 ENI per regione).
Gli ENI creati da HealthOmics sono etichettati con i seguenti tag:
```
"TagSet": [
{
"Key": "Service",
"Value": "HealthOmics"
},
{
"Key": "eniType",
"Value": "CUSTOMER"
}
]
```
**Importante**
Non modificare o eliminare gli ENI creati da. HealthOmics La modifica di queste interfacce di rete può causare ritardi nel servizio o interruzioni nell'esecuzione del flusso di lavoro.
## API di configurazione
HealthOmics fornisce API per creare, gestire ed eliminare configurazioni VPC. È possibile riutilizzare le configurazioni in più esecuzioni del flusso di lavoro.
**Topics**
+ [CreateConfiguration](#vpc-create-configuration)
+ [GetConfiguration](#vpc-get-configuration)
+ [ListConfigurations](#vpc-list-configurations)
+ [DeleteConfiguration](#vpc-delete-configuration)
### CreateConfiguration
Crea una nuova risorsa di configurazione con le impostazioni di rete VPC. Per un esempio dettagliato, consultare [Fase 4: Creare una risorsa di configurazione](#vpc-step-create-configuration).
**Sintassi della richiesta:**
```
aws omics create-configuration \
--name {{configuration-name}} \
--description {{description}} \
--run-configurations '{"vpcConfig":{"securityGroupIds":["{{security-group-id}}"],"subnetIds":["{{subnet-id}}"]}}' \
--tags Key={{key}},Value={{value}} \
--region {{region}}
```
**Parametri:**
+ **nome** (obbligatorio) — Un nome univoco per la configurazione (massimo 50 caratteri).
+ **description** (opzionale) — Una descrizione della configurazione.
+ **run-configurations** (opzionale) — Impostazioni di configurazione VPC:
+ `vpcConfig.securityGroupIds`— Un elenco di 1—5 ID di gruppi di sicurezza.
+ `vpcConfig.subnetIds`— Un elenco di 1—16 ID di sottorete.
+ **tags** (opzionale) — Tag di risorse.
**Risposta:**
```
{
"arn": "arn:aws:omics:{{region}}:{{account-id}}:configuration/{{configuration-name}}",
"uuid": "{{configuration-uuid}}",
"name": "{{configuration-name}}",
"runConfigurations": {
"vpcConfig": {
"securityGroupIds": ["{{security-group-id}}"],
"subnetIds": ["{{subnet-id}}"],
"vpcId": "{{vpc-id}}"
}
},
"status": "CREATING",
"creationTime": "{{timestamp}}",
"tags": {}
}
```
**Valori dello stato della configurazione:**
+ **CREAZIONE**: la configurazione è in corso di creazione e viene effettuato il provisioning delle risorse di rete (fino a 15 minuti).
+ **ATTIVO**: la configurazione è pronta per l'uso.
+ **ELIMINAZIONE**: la configurazione viene eliminata.
+ **ELIMINATA**: la configurazione è stata eliminata.
### GetConfiguration
Recupera i dettagli di una configurazione specifica.
**Sintassi della richiesta:**
```
aws omics get-configuration \
--name {{configuration-name}} \
--region {{region}}
```
**Risposta:**
```
{
"arn": "arn:aws:omics:{{region}}:{{account-id}}:configuration/{{configuration-name}}",
"uuid": "{{configuration-uuid}}",
"name": "{{configuration-name}}",
"runConfigurations": {
"vpcConfig": {
"securityGroupIds": ["{{security-group-id}}"],
"subnetIds": ["{{subnet-id}}"],
"vpcId": "{{vpc-id}}"
}
},
"status": "ACTIVE",
"creationTime": "{{timestamp}}",
"tags": {}
}
```
### ListConfigurations
Elenca tutte le configurazioni del tuo account.
**Sintassi della richiesta:**
```
aws omics list-configurations \
--region {{region}}
```
**Risposta:**
```
{
"items": [
{
"arn": "arn:aws:omics:{{region}}:{{account-id}}:configuration/{{configuration-name}}",
"name": "{{configuration-name}}",
"description": "{{description}}",
"status": "ACTIVE",
"creationTime": "{{timestamp}}"
}
]
}
```
### DeleteConfiguration
Elimina una configurazione. Non è possibile eliminare una configurazione attualmente utilizzata dalle esecuzioni attive del flusso di lavoro.
**Sintassi della richiesta:**
```
aws omics delete-configuration \
--name {{configuration-name}} \
--region {{region}}
```
**Nota**
Lo stato della configurazione passa a ELIMINAZIONE durante la pulizia delle risorse di rete e quindi a ELIMINATA una volta completato il processo.
## Esecuzione di flussi di lavoro con reti VPC
### Avvio di un'esecuzione con una rete VPC
Per utilizzare la rete VPC in un flusso di lavoro, specifica il `networking-mode` parametro e: `configuration-name`
```
aws omics start-run \
--workflow-id {{1234567}} \
--role-arn arn:aws:iam::{{123456789012}}:role/{{OmicsWorkflowRole}} \
--output-uri s3://{{my-bucket}}/outputs/ \
--networking-mode VPC \
--configuration-name {{my-vpc-config}} \
--region {{us-west-2}}
```
**Parametri:**
+ **modalità di rete**: impostata per `VPC` abilitare la rete VPC. Il valore predefinito è `RESTRICTED`.
+ **configuration-name (obbligatorio) — Il nome** della configurazione da utilizzare.
### Visualizzazione della configurazione di rete in esecuzione
Utilizzare `GetRun` per visualizzare la configurazione di rete per una corsa:
```
aws omics get-run \
--id {{run-id}} \
--region {{region}}
```
La risposta include la modalità di rete, i dettagli di configurazione e la configurazione del VPC. L'esempio seguente mostra i VPC-related campi della risposta:
```
{
"arn": "arn:aws:omics:{{region}}:{{account-id}}:run/{{run-id}}",
"id": "{{run-id}}",
"status": "{{status}}",
"workflowId": "{{workflow-id}}",
"networkingMode": "VPC",
"configuration": {
"name": "{{configuration-name}}",
"arn": "arn:aws:omics:{{region}}:{{account-id}}:configuration/{{configuration-name}}",
"uuid": "{{configuration-uuid}}"
},
"vpcConfig": {
"subnets": ["{{subnet-id-1}}", "{{subnet-id-2}}"],
"securityGroupIds": ["{{security-group-id}}"],
"vpcId": "{{vpc-id}}"
}
}
```
### Immutabilità della configurazione
I flussi di lavoro utilizzano un'istantanea della configurazione così com'era all'inizio dell'esecuzione. È possibile modificare o eliminare in sicurezza le configurazioni durante l'esecuzione dell'esecuzione senza influire sulle esecuzioni attive.
### Considerazioni sulla memorizzazione nella cache delle chiamate
Quando utilizzi una rete VPC con caching delle chiamate, assicurati che il motore del flusso di lavoro sia configurato in modo appropriato. Per una guida dettagliata sulla memorizzazione nella cache delle chiamate per motore, consulta. [Engine-specific funzionalità di memorizzazione nella cache](workflow-cache-per-engine.md)
**Importante**
Quando ti connetti a risorse non deterministiche o dinamiche (ad esempio database di terze parti sulla rete Internet pubblica), prendi in considerazione l'utilizzo della funzionalità di disattivazione delle attività di cache nei flussi di lavoro per evitare di memorizzare nella cache set di dati dinamici che potrebbero influire sugli output di esecuzione.
## Best practice
### Sicurezza
1. **Utilizzate gruppi di sicurezza con privilegi minimi.** Consenti solo il traffico in uscita minimo richiesto. Utilizza blocchi CIDR di destinazione specifici anziché 0.0.0. 0/0 quando possibile. Documenta lo scopo di ogni regola del gruppo di sicurezza.
1. **Configurazioni separate per ambiente.** Crea configurazioni separate per lo sviluppo, l'allestimento e la produzione. Usa VPC o sottoreti diversi per ogni ambiente. Applica i tag appropriati alle configurazioni per l'organizzazione.
1. **Implementa il monitoraggio della rete.** Abilita i log di flusso VPC per l'analisi della sicurezza. Imposta CloudWatch allarmi per schemi di traffico insoliti. Esamina regolarmente CloudTrail i registri per verificare eventuali modifiche alla configurazione.
1. **Usa gli endpoint VPC per i servizi. AWS ** Configura gli endpoint VPC per Amazon S3, Amazon ECR e altri servizi. AWS Ciò riduce i costi del gateway NAT, migliora le prestazioni e fornisce ulteriore sicurezza mantenendo il traffico all'interno della rete. AWS
### Performance
1. **Pianifica la scalabilità della rete.** La velocità di trasmissione della rete parte da 10 Gbps e nel tempo sale a 100 Gbps. Per esigenze immediate ad alta produttività, pianifica in anticipo e richiedi il preriscaldamento. Monitora le metriche di rete per comprendere i requisiti del flusso di lavoro.
1. **Implementa i gateway NAT per zona di disponibilità.** Utilizza un gateway NAT per AZ per i carichi di lavoro di produzione. Ciò migliora la resilienza e la velocità effettiva e riduce i costi di trasferimento dei dati tra le AZ.
1. **Riutilizza le configurazioni.** Crea configurazioni che possono essere condivise tra più flussi di lavoro. Ciò riduce il sovraccarico di gestione della configurazione e garantisce impostazioni di rete coerenti.
1. **Prova le configurazioni prima dell'uso in produzione.** Convalida la connettività di rete con flussi di lavoro di test. Verifica che le regole del gruppo di sicurezza consentano il traffico richiesto. Testa gli scenari di failover con configurazioni Multi-AZ.
### Ottimizzazione dei costi
1. **Utilizza gli endpoint VPC anziché il gateway NAT.** Per l'accesso al AWS servizio, utilizza gli endpoint VPC (senza costi di elaborazione dei dati). Gli endpoint Amazon S3 Gateway non hanno costi aggiuntivi. Gli endpoint di interfaccia hanno tariffe orarie, ma possono essere più convenienti rispetto a NAT Gateway.
1. **Monitora i costi di trasferimento dei dati.** Il trasferimento dei dati in entrata è gratuito. Il trasferimento dei dati verso Internet prevede velocità di trasferimento AWS dati standard. Cross-Region il trasferimento dei dati ha velocità più elevate. Usa AWS Cost Explorer per tenere traccia VPC-related dei costi.
1. **Right-size Implementazione di NAT Gateway.** Per lo sviluppo, usa un gateway NAT per tutte le AZ. Per la produzione, usa un gateway NAT per AZ per la resilienza. Monitora l'utilizzo del gateway NAT per evitare un eccesso di provisioning.
1. **Eliminare le configurazioni non utilizzate.** Rivedi ed elimina regolarmente le configurazioni non più in uso. Utilizza i tag per identificare la proprietà e lo scopo della configurazione.
### Operational
1. **Usa nomi di configurazione descrittivi.** Includi ambiente, scopo e team nel nome (ad esempio`prod-genomics-vpc`,`dev-clinical-trials-vpc`).
1. **Etichetta tutte le configurazioni.** Utilizza una strategia di etichettatura coerente su tutte le risorse. Includi tag per Ambiente CostCenter, Proprietario e Scopo.
1. **Requisiti di rete dei documenti.** Documenta a quali servizi esterni accede ogni configurazione. Mantieni una mappa delle regole dei gruppi di sicurezza e dei relativi scopi. Condividi i diagrammi dell'architettura di rete con il tuo team.
## Quote di rete VPC
La tabella seguente elenca le quote per le configurazioni di rete VPC:
| Risorsa | Limite predefinito | Regolabile |
| --- | --- | --- |
| Numero massimo di configurazioni per account | 10 | Sì |
| Numero massimo di gruppi di sicurezza per configurazione | 5 | No |
| Numero massimo di sottoreti per configurazione | 16 | No |
| Numero massimo di sottoreti per zona di disponibilità | 1 | No |
| CreateConfiguration SUGGERIMENTI API | 1 | Sì |
| Interfacce di rete elastiche per regione (VPC del cliente) | 5.000 | Sì |
Per richiedere un aumento della quota, apri la [console Service Quotas](https://console.aws.amazon.com/servicequotas/home), scegli **AWS i servizi**, cerca **AWS HealthOmics**, seleziona la quota che desideri aumentare e scegli **Richiedi aumento della quota**. Le richieste di aumento della quota vengono in genere elaborate entro 1-2 giorni lavorativi.