Como gerenciar o acesso a endpoints da Amazon VPC específicos do serviço no Amazon MWAA - Amazon Managed Workflows for Apache Airflow
PreçosVisão geral do endpoint da VPCPermissão para usar outros AWS serviçosAcessando endpoints de VPCAcessando o VPC endpoint para seu servidor web Apache Airflow (acesso à rede privada)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como gerenciar o acesso a endpoints da Amazon VPC específicos do serviço no Amazon MWAA

Um VPC endpoint (AWS PrivateLink) permite que você conecte sua VPC de forma privada a serviços hospedados em AWS sem precisar de um gateway de internet, um dispositivo NAT, VPN ou proxies de firewall. Esses endpoints são dispositivos virtuais horizontalmente escaláveis e altamente disponíveis que permitem a comunicação entre instâncias em sua VPC e serviços. AWS Esta página descreve os endpoints de VPC criados pelo Amazon MWAA e como acessar o endpoint de VPC para seu servidor web Apache Airflow se você tiver escolhido o modo de acesso à rede privada no Amazon Managed Workflows para Apache Airflow.

Preços

Visão geral do endpoint da VPC

Ao criar um ambiente Amazon MWAA, o Amazon MWAA cria entre um a dois endpoints da VPC para seu ambiente. Esses endpoints são mostrados como Elastic Network Interfaces (ENIs) com privacidade IPs em sua Amazon VPC. Depois que esses endpoints são criados, qualquer tráfego destinado a eles IPs é roteado de forma privada ou pública para os AWS serviços correspondentes usados pelo seu ambiente.

Modo de acesso à rede pública

Se você escolheu o modo de acesso à rede pública para seu servidor web Apache Airflow, o tráfego de rede será roteado publicamente pela Internet.

  • O Amazon MWAA cria um endpoint de interface VPC para seu banco de dados de metadados Amazon Aurora PostgreSQL. O endpoint é criado nas zonas de disponibilidade mapeadas para suas sub-redes privadas e é independente de outras. Contas da AWS

  • Em seguida, o Amazon MWAA vincula um endereço IP de suas sub-redes privadas aos endpoints da interface. Isso foi projetado para apoiar a prática recomendada de vincular um único IP de cada zona de disponibilidade do Amazon VPC.

Modo de acesso à rede privada

Se você escolheu o modo de acesso à rede privada para seu servidor web Apache Airflow, o tráfego de rede será roteado de forma privada dentro do seu Amazon VPC.

  • O Amazon MWAA cria um endpoint de interface VPC para seu servidor web Apache Airflow e um endpoint de interface para seu banco de dados de metadados Amazon Aurora PostgreSQL. Os endpoints são criados nas zonas de disponibilidade mapeadas para suas sub-redes privadas e são independentes de outras. Contas da AWS

  • Em seguida, o Amazon MWAA vincula um endereço IP de suas sub-redes privadas aos endpoints da interface. Isso foi projetado para apoiar a prática recomendada de vincular um único IP de cada zona de disponibilidade do Amazon VPC.

Permissão para usar outros AWS serviços

Os endpoints da interface usam a função de execução do seu ambiente no AWS Identity and Access Management (IAM) para gerenciar a permissão para AWS os recursos usados pelo seu ambiente. À medida que mais AWS serviços são habilitados para um ambiente, cada serviço exigirá que você configure a permissão usando a função de execução do seu ambiente. Para adicionar permissões, consultePerfil de execução do Amazon MWAA.

Se você escolheu o modo de acesso à rede privada para seu servidor web Apache Airflow, você também deve permitir permissão na política de VPC endpoint para cada endpoint. Para saber mais, consultePolíticas de endpoint da VPC (somente roteamento privado).

Acessando endpoints de VPC

Esta seção descreve como acessar os endpoints VPC criados pelo Amazon MWAA e como identificar os endereços IP privados do seu endpoint VPC Apache Airflow.

Acessando endpoints de VPC no console Amazon VPC

A seção a seguir exibe as etapas para acessar os endpoints de VPC criados pelo Amazon MWAA e quaisquer endpoints de VPC que você possa ter criado se estiver usando roteamento privado para sua Amazon VPC.

Para acessar os VPC endpoints

  1. Abra a página Endpoints no console da Amazon VPC.

  2. Selecione seu Região da AWS.

  3. Consulte os endpoints da interface VPC criados pelo Amazon MWAA e quaisquer endpoints de VPC que você possa ter criado se estiver usando roteamento privado em sua Amazon VPC.

Para saber mais sobre os endpoints de serviço de VPC que são necessários para uma Amazon VPC com roteamento privado, consulte. Como criar endpoints de serviço de VPC necessários em um Amazon VPC com roteamento privado

Identificar os endereços IP privados do seu servidor web Apache Airflow e seu VPC endpoint

As etapas a seguir descrevem como recuperar o nome do host do seu servidor web Apache Airflow e seu endpoint de interface VPC e seus endereços IP privados.

  1. Use o comando a seguir AWS Command Line Interface (AWS CLI) para recuperar o nome do host do seu servidor web Apache Airflow.

    aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME --query 'Environment.WebserverUrl'

    Você recebe algo semelhante à seguinte resposta:

    "99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com"

  2. Execute um comando dig no nome do host retornado na resposta do comando anterior. Por exemplo:

    dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com

    Você recebe algo semelhante à seguinte resposta:

    vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

  3. Use o comando a seguir AWS Command Line Interface (AWS CLI) para recuperar o nome DNS do VPC endpoint retornado na resposta do comando anterior. Por exemplo:

    aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

    Você recebe algo semelhante à seguinte resposta:

    "DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com",

  4. Execute um comando nslookup ou dig no nome do host do Apache Airflow e no nome DNS do endpoint da VPC para recuperar os endereços IP. Por exemplo:

    dig +short YOUR_AIRFLOW_HOST_NAME YOUR_AIRFLOW_VPC_ENDPOINT_DNS

    Você recebe algo semelhante à seguinte resposta:

    192.0.5.1
192.0.6.1

Acessando o VPC endpoint para seu servidor web Apache Airflow (acesso à rede privada)

Se você escolheu o modo de acesso à rede privada para seu servidor web Apache Airflow, precisará criar um mecanismo para acessar o endpoint da interface VPC para seu servidor web Apache Airflow. Você deve usar o mesmo Amazon VPC, grupo de segurança VPC e sub-redes privadas do seu ambiente do Amazon MWAA para esses recursos.

Usando um AWS Client VPN

AWS Client VPN é um serviço VPN gerenciado baseado em cliente que permite acessar com segurança seus AWS recursos e recursos em sua rede local. É fornecida uma conexão TLS segura de qualquer local usando o cliente OpenVPN.

Recomendamos o seguinte tutorial do Amazon MWAA para configurar um Client VPN: Tutorial: Configurando o acesso à rede privada usando um AWS Client VPN.

Como usar um Linux Bastion Host

Um bastion host é um servidor cujo objetivo é fornecer acesso a uma rede privada a partir de uma rede externa, como pela Internet a partir do seu computador. As instâncias Linux estão em uma sub-rede pública e são configuradas com um grupo de segurança que permite acesso SSH a partir do grupo de segurança anexado à EC2 instância subjacente da Amazon que executa o bastion host.

Recomendamos o seguinte tutorial do Amazon MWAA para configurar um Linux Bastion Host: Tutorial: Como configurar o acesso à rede privada usando um Linux Bastion Host.

Como usar um balanceador de carga (avançado)

A seção a seguir mostra as configurações que você precisará aplicar a um Application Load Balancer.

  1. Grupos de destino. Você precisará usar grupos-alvo que apontem para os endereços IP privados do seu servidor web Apache Airflow e seu endpoint de interface VPC. Recomendamos especificar endereços IP privados como destinos registrados, pois usar apenas um pode reduzir a disponibilidade. Para obter mais informações sobre como identificar os endereços IP privados, consulteIdentificar os endereços IP privados do seu servidor web Apache Airflow e seu VPC endpoint.

  2. Códigos de status. Recomendamos o uso dos códigos de status 200 e 302 nas configurações do seu grupo de destino. Caso contrário, os destinos podem ser sinalizados como não íntegros se o endpoint VPC do servidor web Apache Airflow responder com um erro. 302 Redirect

  3. Receptor HTTPS. Você precisará especificar a porta de destino para o servidor web Apache Airflow. Por exemplo:

    Protocolo Porta

    HTTPS

    443

  4. Novo domínio do ACM. Se você quiser associar um SSL/TLS certificado em AWS Certificate Manager, precisará criar um novo domínio para o ouvinte HTTPS do seu balanceador de carga.

  5. Região do certificado ACM. Se quiser associar um SSL/TLS certificado AWS Certificate Manager, você precisará fazer o upload para o Região da AWS mesmo ambiente. Por exemplo:

    1. exemplo região para fazer o upload do certificado
      aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem --region us-west-2