View a markdown version of this page

Amazon MWAA でのネットワーキングについて - Amazon Managed Workflows for Apache Airflow

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MWAA でのネットワーキングについて

Amazon VPC は、 にリンクされた仮想ネットワークです AWS アカウント。仮想インフラストラクチャとネットワークトラフィックのセグメンテーションをきめ細かく制御できるため、クラウドセキュリティと動的なスケーリングが可能になります。このページでは、Amazon Managed Workflows for Apache Airflow 環境をサポートするために必要なパブリックルーティングプライベートルーティング、またはパブリックルーティングとプライベートルーティングの両方を備えた Amazon VPC インフラストラクチャについて説明します。

用語

パブリックルーティング

インターネットにアクセスできる Amazon VPC ネットワーク。

プライベート・ルーティング

インターネットにアクセス できない Amazon VPC ネットワーク。

サポート対象

次の表では、Amazon MWAA がサポートする Amazon VPC の種類について説明しています。

Amazon VPC タイプ サポート

環境を作成しようとしているアカウントが所有する Amazon VPC。

はい

複数の が AWS リソース AWS アカウント を作成する共有 Amazon VPC。

はい

VPC インフラストラクチャの概要

Amazon MWAA 環境を作成すると、Amazon MWAA は、お客様が環境に合わせて選択した Apache Airflow アクセスモードに基づいて、お客様の環境用に 1 つから 2 つの VPC エンドポイントを作成します。これらのエンドポイントは、Amazon VPC 内の Elastic Network Interface (ENI) とプライベート IP アドレスで表されます。これらのエンドポイントが作成されると、これらの IPs 宛てのトラフィックは、環境で使用される対応する AWS サービスにプライベートまたはパブリックにルーティングされます。

次のセクションでは、トラフィックをインターネット経由でパブリックに、または Amazon VPC 内 でプライベートにルーティングするために必要な Amazon VPC インフラストラクチャについて説明します。

インターネット経由のパブリックルーティング

このセクションでは、パブリックルーティングを使用する環境の Amazon VPC インフラストラクチャについて説明します。次の VPC インフラストラクチャが必要です。

  • 1 つの VPC セキュリティグループ。VPC セキュリティ・グループは仮想ファイアウォールとして機能し、インスタンスのイングレス(受信)とイグレス(送信)のネットワーク・トラフィックを制御します。

  • 2 つのパブリックサブネット。パブリックサブネットは、インターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられているサブネットです。

    • 2 つのパブリックサブネットが必要です。これにより、Amazon MWAA は、一方のコンテナに障害が発生した場合に、もう一方のアベイラビリティーゾーンでお客様の環境用の新しいコンテナイメージを構築できます。

    • サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1aus-east-1b などです。

    • サブネットは Elastic IP アドレス (EIP) を使用して、NAT ゲートウェイ (または NAT インスタンス) にルーティングする必要があります。

    • サブネットは、インターネット行きのトラフィックをインターネットゲートウェイに誘導するルートテーブルを持つ必要があります。

  • 2 つのプライベートサブネット。プライベート・サブネットとは、インターネットゲートウェイへのルートを持つルート・テーブルと関連付けられて いない サブネットのことです。

    • 2 つのプライベートサブネットが必要です。これにより、Amazon MWAA は、一方のコンテナに障害が発生した場合に、もう一方のアベイラビリティーゾーンでお客様の環境用の新しいコンテナイメージを構築できます。

    • サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1aus-east-1b などです。

    • サブネットには NAT デバイス (ゲートウェイまたはインスタンス)へのルートテーブルが 必要 です。

    • サブネットは、インターネットゲートウェイにルーティングしては ならない です。

    • IPv6 サブネットの場合は assignIpV6AddressOnCreationtrue に設定します。

    • IPv6 プライベート サブネットの場合、出力専用インターネットゲートウェイ (EIGW) への接続が必要です。

  • ネットワークアクセス制御リスト(ACL)。NACL は、サブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックを (許可または拒否ルールを使用して) 管理します。

    • NACL には、すべてのトラフィックを許可するインバウンドルールが必要です (0.0.0.0/0; IPv6 の場合は ::/0 を使用)。

    • NACL には、すべてのトラフィックを許可する送信ルールが必要です (0.0.0.0/0; IPv6 の場合は ::/0 を使用)。

    • 例えば、(推奨) ACL の例 です。

  • 2 つの NAT ゲートウェイ (または NAT インスタンス)。NAT デバイスは、プライベートサブネット内のインスタンスからインターネットまたは他の AWS サービスにトラフィックを転送し、レスポンスをインスタンスにルーティングします。

    • NAT デバイスはパブリックサブネットに接続する必要があります。(パブリックサブネットごとに 1 つの NAT デバイス)

    • NAT デバイスには、各パブリックサブネットに Elastic IPv4 アドレス (EIP) がアタッチされている必要があります。

  • インターネットゲートウェイ。インターネットゲートウェイは、Amazon VPC をインターネットやその他の AWS サービスに接続します。

    • インターネットゲートウェイが Amazon VPC に接続されていなければならなりません。

インターネットにアクセスできないプライベートルーティング

このセクションでは、プライベートルーティング を使用する環境の Amazon VPC インフラストラクチャについて説明します。次の VPC インフラストラクチャが必要です。

  • 1 つの VPC セキュリティグループ。VPC セキュリティ・グループは仮想ファイアウォールとして機能し、インスタンスのイングレス(受信)とイグレス(送信)のネットワーク・トラフィックを制御します。

  • 2 つのプライベートサブネット。プライベート・サブネットとは、インターネットゲートウェイへのルートを持つルート・テーブルと関連付けられて いない サブネットのことです。

    • 2 つのプライベートサブネットが必要です。これにより、Amazon MWAA は、一方のコンテナに障害が発生した場合に、もう一方のアベイラビリティーゾーンでお客様の環境用の新しいコンテナイメージを構築できます。

    • サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1aus-east-1b などです。

    • サブネットには VPC エンドポイントへのルートテーブルが必要です。

    • サブネットには、DAG の一部としてインターネットからダウンロードする EIGW へのルートテーブルが必要です。

    • サブネットには NAT デバイス (ゲートウェイ または インスタンス) へのルートテーブルやインターネットゲートウェイがあっては なりません

  • ネットワークアクセス制御リスト(ACL)。NACL は、サブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックを (許可または拒否ルールを使用して) 管理します。

    • NACL には、すべてのトラフィックを許可するインバウンドルールが必要です (0.0.0.0/0; IPv6 の場合は ::/0 を使用)。

    • NACL には、すべてのトラフィックを拒否するアウトバウンドルールが必要です(0.0.0.0/0; IPv6 の場合は ::/0 を使用)。

    • 例えば、(推奨) ACL の例 です。

  • ローカルルートテーブル。ローカル・ルート・テーブルは、VPC 内の通信のためのデフォルト・ルートです。

    • ローカルルートテーブルはプライベートサブネットに関連付けられている必要があります。

    • ローカルルートテーブルを使用して、VPC 内のインスタンスが自ネットワークと通信できるようにする必要があります。たとえば、 を使用して Apache Airflow ウェブサーバーの VPC インターフェイスエンドポイント AWS Client VPN にアクセスする場合、ルートテーブルは VPC エンドポイントにルーティングする必要があります。

  • 環境で使用される各 AWS サービスの VPC エンドポイント、および Amazon MWAA 環境と同じ AWS リージョン と Amazon VPC 内の Apache Airflow VPC エンドポイント。

Amazon VPC と Apache エアフローアクセスモードのユースケース例

このセクションでは、Amazon VPC でのネットワークアクセスのさまざまなユースケースと、Amazon MWAA コンソールで選択する Apache Airflow ウェブサーバーアクセスモードについて説明します。

インターネットアクセスが許可されている-新しい Amazon VPC ネットワーク

VPC 内のインターネットアクセスが組織で許可されており、ユーザーがインターネット経由で Apache Airflow ウェブサーバーにアクセスできるようにしたい場合:

  1. インターネットにアクセスできる Amazon VPC ネットワークを作成します。

  2. Apache Airflow ウェブサーバー用の パブリックネットワーク アクセスモードの環境を作成します。

  3. 推奨事項: Amazon VPC インフラストラクチャ、Amazon S3 バケット、Amazon MWAA 環境を同時に作成する CloudFormation クイックスタートテンプレートを使用することをお勧めします。詳細については、Amazon Managed Workflows for Apache Airflow のクイックスタートチュートリアル を参照してください。

VPC 内のインターネットアクセスが組織で許可されており、Apache Airflow ウェブサーバーへのアクセスを VPC 内のユーザーに制限したい場合:

  1. インターネットにアクセスできる Amazon VPC ネットワークを作成します。

  2. Apache Airflow ウェブサーバーの VPC インターフェースエンドポイントにコンピューターからアクセスするメカニズムを作成します。

  3. Apache Airflow ウェブサーバー用の プライベートネットワーク アクセスモードの環境を作成します。

  4. 推奨事項:

    1. で Amazon MWAA コンソールを使用するかオプション 1: Amazon MWAA コンソールで VPC ネットワークを作成する、 で CloudFormation テンプレートを使用することをお勧めしますオプション 2: インターネットにアクセス 可能な Amazon VPC ネットワークの作成

    2. で Apache Airflow ウェブサーバー AWS Client VPN へのアクセスを を使用して設定することをお勧めしますチュートリアル: を使用したプライベートネットワークアクセスの設定 AWS Client VPN

インターネットアクセスは許可されていません-新しい Amazon VPC ネットワーク

VPC 内のインターネットアクセスが組織で許可されておらず、Apache Airflow ウェブサーバーにインターネット経由でアクセスさせたい場合:

  1. インターネットにアクセスせずに Amazon VPC ネットワークを作成します。

  2. Apache Airflow ウェブサーバー用のパブリックネットワークアクセスモードとプライベートネットワークアクセスモードの両方を使用して環境を作成します。このオプションは、Apache Airflow バージョン 3.2.1 以降で使用できます。

  3. 推奨事項: CloudFormation テンプレートを使用して、インターネットアクセスのない Amazon VPC と、 で Amazon MWAA が使用する各 AWS サービスの VPC エンドポイントを作成することをお勧めしますオプション 3: インターネットにアクセス せずに Amazon VPC ネットワークを作成する

VPC 内のインターネットアクセスが組織で許可されておらず、Apache Airflow ウェブサーバーへのアクセスを VPC 内のユーザーに制限する場合:

  1. インターネットにアクセスせずに Amazon VPC ネットワークを作成します。

  2. Apache Airflow ウェブサーバーの VPC インターフェースエンドポイントにコンピューターからアクセスするメカニズムを作成します。

  3. 環境で使用される AWS サービスごとに VPC エンドポイントを作成します。

  4. Apache Airflow ウェブサーバー用の プライベートネットワーク アクセスモードの環境を作成します。

  5. 推奨事項:

    1. CloudFormation テンプレートを使用して、インターネットアクセスのない Amazon VPC と、 で Amazon MWAA が使用する各 AWS サービスの VPC エンドポイントを作成することをお勧めしますオプション 3: インターネットにアクセス せずに Amazon VPC ネットワークを作成する

    2. で Apache Airflow ウェブサーバー AWS Client VPN へのアクセスを を使用して設定することをお勧めしますチュートリアル: を使用したプライベートネットワークアクセスの設定 AWS Client VPN

インターネットアクセスは許可されていません-既存の Amazon VPC ネットワーク

もし組織があなたの VPC でのインターネットアクセスを 許可していない場合かつ 既に必要な Amazon VPC ネットワークがインターネットアクセスなしに設定されている場合:

  1. 環境で使用される AWS サービスごとに VPC エンドポイントを作成します。

  2. Apache エアフロー用の VPC エンドポイントを作成します。

  3. Apache Airflow ウェブサーバーの VPC インターフェースエンドポイントにコンピューターからアクセスするメカニズムを作成します。

  4. Apache Airflow ウェブサーバー用の プライベートネットワーク アクセスモードの環境を作成します。

  5. 推奨事項:

    1. Amazon MWAA で使用される各 AWS サービスに必要な VPC エンドポイントと、 の Apache Airflow に必要な VPC エンドポイントを作成してアタッチすることをお勧めしますAmazon VPC に必要な VPC サービスエンドポイントをプライベートルーティングで作成する

    2. で Apache Airflow ウェブサーバー AWS Client VPN へのアクセスを を使用して設定することをお勧めしますチュートリアル: を使用したプライベートネットワークアクセスの設定 AWS Client VPN