View a markdown version of this page

連線至另一個帳戶中的 VPC - AWS HealthOmics
先決條件在工作流程的帳戶中建立 Amazon VPC建立 VPC 對等互連請求準備資源的帳戶更新工作流程帳戶中的 VPC 組態使用跨帳戶 VPC 存取執行工作流程疑難排解最佳實務其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連線至另一個帳戶中的 VPC

您可以讓 HealthOmics 工作流程執行另一個 AWS 帳戶所管理 Amazon VPC 中資源的存取權,而無需將任一 VPC 暴露到網際網路。此存取模式可讓您使用 AWS與其他組織共用資料。使用此存取模式,可以在 VPC 之間共用資料,其安全性和效能高於網際網路。設定工作流程執行以使用 VPC 對等互連來存取這些資源。

警告

當您允許帳戶或 VPC 之間的存取時,請檢查您的計劃是否符合管理這些帳戶之各個組織的安全要求。遵循本文件中的指示將影響資源的安全狀態。

在本教學課程中,使用 IPv4 透過對等互連將兩個帳戶連線在一起。您可以設定尚未連接到另一個帳戶中 VPC 的 HealthOmics 組態資源。您可以設定 DNS 解析,將工作流程執行連線到不提供靜態 IPs 的資源。若要調整這些說明以適應其他對等互連案例,請參閱 VPC 對等互連指南

先決條件

若要授予 HealthOmics 工作流程對另一個帳戶中資源的執行存取權,您必須擁有:

  • HealthOmics 工作流程設定為使用 驗證,然後從 資源讀取。

  • 另一個帳戶中的資源,例如 Amazon RDS 叢集或授權伺服器,可透過 Amazon VPC 取得。

  • 工作流程帳戶和資源帳戶的登入資料。如果您無權使用資源的帳戶,請聯絡授權使用者以準備該帳戶。

  • 建立和更新要與 HealthOmics 工作流程執行建立關聯的 VPC (和支援 Amazon VPC 資源) 的許可。

  • 建立 HealthOmics 組態資源的許可。

  • 在工作流程帳戶中建立 VPC 互連連線的許可。

  • 在資源帳戶中接受 VPC 對等互連的許可。

  • 更新資源 VPC (並支援 Amazon VPC 資源) 組態的許可。

  • 啟動 HealthOmics 工作流程執行的許可。

在工作流程的帳戶中建立 Amazon VPC

在 HealthOmics 工作流程的帳戶中建立 Amazon VPC、子網路、路由表和安全群組。

如何使用主控台建立 VPC、子網路和其他 VPC 資源

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在儀表板上,選擇建立 VPC

  3. 對於 IPv4 CIDR 區塊,請提供私有 CIDR 區塊。CIDR 區塊不得與資源 VPC 中使用的區塊重疊。請勿挑選資源的 VPC 用來將 IPs指派給資源的區塊,或資源 VPC 中路由表中已定義的區塊。如需有關定義適當 CIDR 區塊的詳細資訊,請參閱 VPC CIDR 區塊

  4. 選擇自訂可用區域

  5. 選取至少一個 HealthOmics 在您的區域中運作的可用區域。

  6. 針對公有子網路數量,選擇 0

  7. 對於 VPC 端點,請選擇 None(您可以稍後新增這些端點以進行成本最佳化)。

  8. 選擇建立 VPC

建立 VPC 對等互連請求

從工作流程的 VPC (申請者 VPC) 到資源的 VPC (接受者 VPC) 建立 VPC 互連連線請求。

從工作流程的 VPC 請求 VPC 對等互連

  1. 開啟 Amazon VPC 主控台

  2. 在導覽窗格中,選擇 Peering connections (對等互連)。

  3. 關閉 Create peering connection (建立對等互連)。

  4. 針對 VPC ID (請求者),選取工作流程的 VPC。

  5. 對於帳戶 ID,輸入資源帳戶的 ID。

  6. 針對 VPC ID (接受者),輸入資源的 VPC ID。

  7. 關閉 Create peering connection (建立對等互連)。

準備資源的帳戶

若要建立對等互連並準備資源的 VPC 以使用連線,請使用具有先決條件中所列許可的角色來登入資源的帳戶。登入步驟可能會根據帳戶的保護措施而有所不同。如需如何登入 AWS 帳戶的詳細資訊,請參閱 AWS 登入使用者指南。在資源的帳戶中,執行下列程序。

若要接受 VPC 對等互連請求

  1. 開啟 Amazon VPC 主控台

  2. 在導覽窗格中,選擇 Peering connections (對等互連)。

  3. 選取待定 VPC 對等互連 (狀態為待接受)。

  4. 選擇動作

  5. 從下拉式清單中,選擇接受請求

  6. 出現確認提示時,請選擇接受請求

  7. 選擇立即修改我的路由表,將路由新增至 VPC 的主路由表,以便透過對等互連傳送和接收流量。

檢查資源 VPC 的路由表。根據資源 VPC 的設定方式,Amazon VPC 產生的路由可能無法建立連線。檢查新路由與 VPC 現有組態之間的衝突。如需疑難排解的詳細資訊,請參閱《Amazon VPC 對等互連指南》中的對 VPC 對等互連進行疑難排解

更新資源 VPC 的路由表

  1. 開啟 Amazon VPC 主控台

  2. 在導覽窗格中,選擇 Route tables (路由表)。

  3. 選取與資源相關聯之子網路的路由表名稱旁的核取方塊。

  4. 選擇動作

  5. 選擇 Edit routes (編輯路由)。

  6. 選擇 Add route (新增路由)。

  7. 針對目的地,輸入工作流程 VPC 的 CIDR 區塊。

  8. 對於目標,選取 VPC 對等互連。

  9. 選擇儲存變更

如需有關更新路由表時可能遇到之考量的詳細資訊,請參閱更新 VPC 對等互連的路由表

若要更新資源的安全群組

  1. 開啟 Amazon VPC 主控台

  2. 在導覽窗格中,選擇安全群組

  3. 選取資源的安全群組。

  4. 選擇動作

  5. 從下拉式清單中,選擇編輯傳入規則

  6. 選擇新增規則

  7. 針對類型,選取資源使用的通訊協定 (例如 HTTPS、MySQL/Aurora 或自訂 TCP)。

  8. 連接埠範圍中,輸入資源接聽的連接埠。

  9. 針對來源,輸入工作流程的 VPC CIDR 區塊 (例如 10.0.0.0/16)。

  10. 選擇儲存規則

  11. 選擇編輯傳出規則

  12. 檢查是否限制傳出流量。預設 VPC 設定允許所有傳出流量。如果傳出流量受限,請繼續下一個步驟。

  13. 選擇新增規則

  14. 針對類型,選取 All traffic或所需的特定通訊協定。

  15. 針對目的地,輸入工作流程的 VPC CIDR 區塊 (例如 10.0.0.0/16)。

  16. 選擇儲存規則

若要啟用對等互連的 DNS 解析

  1. 開啟 Amazon VPC 主控台

  2. 在導覽窗格中,選擇 Peering connections (對等互連)。

  3. 選取您的對等互連。

  4. 選擇動作

  5. 選擇編輯 DNS 設定

  6. 接受者 DNS 解析下,選取允許請求者 VPC 將接受者 VPC 主機的 DNS 解析為私有 IP

  7. 選擇儲存變更

更新工作流程帳戶中的 VPC 組態

登入工作流程的帳戶,然後更新 VPC 組態。

若要新增 VPC 對等互連的路由

  1. 開啟 Amazon VPC 主控台

  2. 在導覽窗格中,選擇 Route tables (路由表)。

  3. 選取您要與 HealthOmics 組態建立關聯之子網路的路由表名稱旁的核取方塊。

  4. 選擇動作

  5. 選擇 Edit routes (編輯路由)。

  6. 選擇 Add route (新增路由)。

  7. 對於目的地,輸入資源 VPC 的 CIDR 區塊。

  8. 對於目標,選取 VPC 對等互連。

  9. 選擇儲存變更

如需有關更新路由表時可能遇到之考量的詳細資訊,請參閱更新 VPC 對等互連的路由表

更新 HealthOmics 工作流程執行的安全群組

  1. 開啟 Amazon VPC 主控台

  2. 在導覽窗格中,選擇安全群組

  3. 選取您要用於 HealthOmics 組態的安全群組。

  4. 選擇動作

  5. 選擇編輯傳出規則

  6. 選擇新增規則

  7. 針對類型,選取資源使用的通訊協定 (例如 HTTPS、MySQL/Aurora 或自訂 TCP)。

  8. 連接埠範圍中,輸入資源接聽的連接埠。

  9. 針對目的地,輸入資源的 VPC CIDR 區塊 (例如 10.1.0.0/16)。

  10. 選擇儲存規則

  11. 選擇 Edit inbound Rules (編輯傳入規則)。

  12. 檢查傳入流量規則是否存在。如果您的資源需要啟動與工作流程執行的連線,請繼續下一個步驟。否則,請跳至 DNS 解析步驟。

  13. 選擇新增規則

  14. 針對類型,選取適當的通訊協定。

  15. 對於來源,輸入資源的 VPC CIDR 區塊 (例如 10.1.0.0/16)。

  16. 選擇儲存規則

若要啟用對等互連的 DNS 解析

  1. 開啟 Amazon VPC 主控台

  2. 在導覽窗格中,選擇 Peering connections (對等互連)。

  3. 選取您的對等互連。

  4. 選擇動作

  5. 選擇編輯 DNS 設定

  6. 請求者 DNS 解析下,選取允許接受者 VPC 將請求者 VPC 主機的 DNS 解析為私有 IP

  7. 選擇儲存變更

使用跨帳戶 VPC 存取執行工作流程

啟動工作流程執行時,請使用工作流程帳戶中 VPC 的子網路和安全群組。來自工作流程執行的流量將透過 VPC 互連連線路由至另一個帳戶中的 VPC。

如需建立 HealthOmics 組態資源和啟動使用 VPC 聯網執行工作流程的詳細資訊,請參閱 將 HealthOmics 工作流程連線至 VPC

重要

我們建議在兩個 VPC 上啟用 VPCs 流程日誌,以驗證它們之間的流量,並疑難排解連線問題。如需詳細資訊,請參閱「Amazon VPC 使用者指南」中的 VPC 流程日誌

疑難排解

如果您的工作流程執行無法連線到對等 VPC 中的資源:

  1. 驗證路由表:確保兩個 VPCs 都有指向 VPC 對等互連的雙向路由。

  2. 檢查安全群組:確認兩個 VPCs中的安全群組允許所需的流量 (傳入資源 VPC,傳出工作流程 VPC)。

  3. 驗證 DNS 解析:如果使用 DNS 名稱,請確保對等連線上的雙向都啟用 DNS 解析。

  4. 檢查 CIDR 區塊:確認 CIDR 區塊未在兩個 VPCs之間重疊。

  5. 檢閱 VPC 流程日誌:在兩個 VPC 中啟用 VPCs 流程日誌,以診斷流量問題。

  6. 驗證對等連線狀態:確保對等連線狀態位於active兩個帳戶中。

如需更多故障診斷指引,請參閱《Amazon VPC 對等互連指南》中的對 VPC 對等互連進行故障診斷

最佳實務

  1. 使用最低權限的安全群組:僅允許工作流程所需的特定連接埠和通訊協定存取資源。

  2. 記錄對等關係:維護哪些 VPCs 要對等以及用途的文件。

  3. 監控跨帳戶流量:使用 VPC 流程日誌和 CloudWatch 指標來監控流量模式並偵測異常。

  4. 仔細規劃 CIDR 區塊:確保 CIDR 區塊不重疊,並留出空間供未來擴充。

  5. 徹底測試:在執行生產工作負載之前,驗證與測試工作流程的連線。

  6. 與資源帳戶擁有者協調:與管理資源帳戶的團隊建立明確的溝通管道,以進行疑難排解和維護。

  7. 使用標籤:標記 VPC 互連連線、路由表和安全群組,以識別其目的和擁有權。

其他資源