Como gerenciar o acesso a endpoints da Amazon VPC específicos do serviço no Amazon MWAA - Amazon Managed Workflows for Apache Airflow
PreçosVisão geral do endpoint da VPCPermissão para usar outros serviços da AWSAcessar endpoints da VPCComo acessar o endpoint da VPC para seu servidor Web do Apache Airflow (acesso à rede privada)

Como gerenciar o acesso a endpoints da Amazon VPC específicos do serviço no Amazon MWAA

Um endpoint da VPC (AWS PrivateLink) que você pode usar para conectar de forma privada sua VPC aos serviços hospedados na AWS sem exigir um gateway da internet, um dispositivo NAT, VPN ou proxies de firewall. Esses endpoints são dispositivos virtuais de alta disponibilidade e escalabilidade horizontal que permitem a comunicação entre instâncias na sua VPC e nos serviços AWS. Esta página descreve os endpoints da VPC criados pelo Amazon MWAA e como acessar o endpoint da VPC de seu servidor Web do Apache Airflow, se você tiver escolhido o modo de acesso à rede privada no Amazon Managed Workflows para Apache Airflow.

Preços

Visão geral do endpoint da VPC

Ao criar um ambiente Amazon MWAA, o Amazon MWAA cria entre um a dois endpoints da VPC para seu ambiente. Esses endpoints aparecem como interfaces de rede elástica (ENIs) com IPs privados em sua Amazon VPC. Depois que esses endpoints são criados, qualquer tráfego destinado a esses IPs é roteado de forma privada ou pública para os serviços correspondentes da AWS usados pelo seu ambiente.

Modo de acesso à rede pública

Se você escolher o modo de acesso à rede pública para seu servidor Web do Apache Airflow, o tráfego de rede será roteado publicamente pela internet.

  • O Amazon MWAA cria um endpoint de interface VPC para seu banco de dados de metadados Amazon Aurora PostgreSQL. O endpoint é criado nas zonas de disponibilidade mapeadas para suas sub-redes privadas e é independente de outras Contas da AWS.

  • Em seguida, o Amazon MWAA vincula um endereço IP de suas sub-redes privadas aos endpoints da interface. Isso foi projetado para apoiar a prática recomendada de vincular um único IP de cada zona de disponibilidade do Amazon VPC.

Modo de acesso à rede privada

Se você escolheu o modo de acesso à rede privada para seu servidor Web do Apache Airflow, o tráfego de rede será roteado de forma privada dentro da Amazon VPC.

  • O Amazon MWAA cria um endpoint de interface da VPC para seu servidor Web do Apache Airflow e um endpoint de interface para seu banco de dados de metadados Amazon Aurora PostgreSQL. Os endpoints são criados nas zonas de disponibilidade mapeadas para suas sub-redes privadas e são independentes de outras Contas da AWS.

  • Em seguida, o Amazon MWAA vincula um endereço IP de suas sub-redes privadas aos endpoints da interface. Isso foi projetado para apoiar a prática recomendada de vincular um único IP de cada zona de disponibilidade do Amazon VPC.

Permissão para usar outros serviços da AWS

Os endpoints da interface usam o perfil de execução do seu ambiente no AWS Identity and Access Management (IAM) para gerenciar a permissão para os recursos da AWS usados pelo seu ambiente. À medida que mais serviços da AWS forem ativados para um ambiente, cada serviço exigirá que seja configurada uma permissão usando o perfil de execução do seu ambiente. Para adicionar permissões, consulte Perfil de execução do Amazon MWAA.

Caso tenha escolhido o modo de acesso à rede privada para seu servidor Web do Apache Airflow, você também deve conceder permissão na política de endpoint da VPC para cada endpoint. Consulte Políticas de endpoint da VPC (somente roteamento privado) para saber mais.

Acessar endpoints da VPC

Esta seção descreve como visualizar os endpoints da VPC criados pelo Amazon MWAA e como identificar os endereços IP privados do seu endpoint da VPC do Apache Airflow.

Acessar endpoints da VPC no console da Amazon VPC

A seção a seguir mostra as etapas para acessar os endpoints da VPC criados pelo Amazon MWAA e quaisquer endpoints da VPC que você possa ter criado se estiver usando roteamento privado para sua Amazon VPC.

Para acessar os endpoints da VPC

  1. Abra a página Endpoints no console da Amazon VPC.

  2. Selecione o e . Região da AWS.

  3. Consulte os endpoints de interface da VPC criados pelo Amazon MWAA e quaisquer endpoints da VPC que você possa ter criado se estiver usando roteamento privado em sua Amazon VPC.

Para saber mais sobre os endpoints de serviço da VPC necessários para uma Amazon VPC com roteamento privado, consulte Como criar endpoints de serviço de VPC necessários em um Amazon VPC com roteamento privado.

Como identificar os endereços IP privados do seu servidor Web do Apache Airflow e do seu endpoint da VPC

As etapas a seguir descrevem como recuperar o nome do host do seu servidor Web do Apache Airflow e seu endpoint de interface da VPC e seus endereços IP privados.

  1. Use o seguinte comando AWS Command Line Interface (AWS CLI) para recuperar o nome do host do servidor Web de seu Apache Airflow.

    aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME --query 'Environment.WebserverUrl'

    Você deverá ter uma resposta semelhante a esta:

    "99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com"

  2. Execute um comando dig no nome do host retornado na resposta do comando anterior. Por exemplo:

    dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com

    Você deverá ter uma resposta semelhante a esta:

    vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

  3. Use o comando a seguir AWS Command Line Interface (AWS CLI) para recuperar o nome DNS do endpoint da VPC retornado na resposta do comando anterior. Por exemplo:

    aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

    Você deverá ter uma resposta semelhante a esta:

    "DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com",

  4. Execute um comando nslookup ou dig no nome do host do Apache Airflow e no nome DNS do endpoint da VPC para recuperar os endereços IP. Por exemplo:

    dig +short YOUR_AIRFLOW_HOST_NAME YOUR_AIRFLOW_VPC_ENDPOINT_DNS

    Você deverá ter uma resposta semelhante a esta:

    192.0.5.1
192.0.6.1

Como acessar o endpoint da VPC para seu servidor Web do Apache Airflow (acesso à rede privada)

Caso tenha escolhido o modo de acesso à rede privada para seu servidor Web do Apache Airflow, será preciso criar um mecanismo para acessar o endpoint da interface da VPC para seu servidor Web do Apache Airflow. Você deve usar o mesmo Amazon VPC, grupo de segurança VPC e sub-redes privadas do seu ambiente do Amazon MWAA para esses recursos.

Usar um AWS Client VPN

O AWS Client VPN é um serviço gerenciado de VPN baseado no cliente que você pode usar para acessar com segurança os recursos da AWS e os recursos na sua rede on-premises. É fornecida uma conexão TLS segura de qualquer local usando o cliente OpenVPN.

Recomendamos o seguinte tutorial do Amazon MWAA para configurar um Client VPN: Tutorial: Como configurar o acesso à rede privada usando um AWS Client VPN.

Como usar um Linux Bastion Host

Um bastion host é um servidor cujo objetivo é fornecer acesso a uma rede privada a partir de uma rede externa, como pela internet a partir do seu computador. As instâncias Linux estão em uma sub-rede pública e são configuradas com um grupo de segurança que permite acesso SSH a partir do grupo de segurança anexado à instância subjacente do Amazon EC2 que executa o bastion host.

Recomendamos o seguinte tutorial do Amazon MWAA para configurar um Linux Bastion Host: Tutorial: Como configurar o acesso à rede privada usando um Linux Bastion Host.

Como usar um balanceador de carga (avançado)

A seção a seguir mostra as configurações que você precisará aplicar a um Application Load Balancer.

  1. Grupos de destino. Você precisará usar grupos de destino que apontem para os endereços IP privados do seu servidor Web do Apache Airflow e do seu endpoint de interface da VPC. Recomendamos especificar endereços IP privados como destinos registrados, pois usar apenas um pode reduzir a disponibilidade. Para obter mais informações sobre como identificar os endereços IP privados, consulte Como identificar os endereços IP privados do seu servidor Web do Apache Airflow e do seu endpoint da VPC.

  2. Códigos de status. Recomendamos o uso dos códigos de status 200 e 302 nas configurações do seu grupo de destino. Caso contrário, os destinos poderão ser sinalizados como não íntegros se o endpoint da VPC do servidor Web do Apache Airflow responder com um erro 302 Redirect.

  3. Receptor HTTPS. Você precisará especificar a porta de destino para o servidor Web do Apache Airflow. Por exemplo:

    Protocolo Porta

    HTTPS

    443

  4. Novo domínio do ACM. Se você quiser associar um certificado SSL/TLS em AWS Certificate Manager, precisará criar um novo domínio para o receptor HTTPS do seu balanceador de carga.

  5. Região do certificado ACM. Se quiser associar um certificado SSL/TLS em AWS Certificate Manager, será preciso fazer o upload para a mesma Região da AWS do seu ambiente. Por exemplo:

    1. exemplo região para fazer o upload do certificado
      aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem --region us-west-2