Virtual Private Cloud (VPC) -Ziele - AWS IoT Core
Anforderungen und ÜberlegungenPreisgestaltungErstellen von Virtual Private Cloud (VPC) -Themenregelzielen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Virtual Private Cloud (VPC) -Ziele

Die Apache Kafka-Regelaktion leitet Daten an einen Apache Kafka-Cluster in einer Amazon Virtual Private Cloud (Amazon VPC). Die von der Apache Kafka-Regelaktion verwendete VPC-Konfiguration wird automatisch aktiviert, wenn Sie das VPC-Ziel für Ihre Regelaktion angeben.

Ein VPC-Ziel enthält eine Liste von Subnetzen innerhalb der VPC. Die Regel-Engine erstellt eine ENI in jedem Subnetz, das Sie in dieser Liste angeben. Weitere Informationen zu Netzwerkschnittstellen finden Sie unter Elastic Network Interfaces im EC2 Amazon-Benutzerhandbuch.

Anforderungen und Überlegungen

  • Wenn Sie einen selbstverwalteten Apache Kafka-Cluster verwenden, auf den über einen öffentlichen Endpunkt im Internet zugegriffen wird:

    • Erstellen Sie ein NAT-Gateway für Instances in Ihren Subnetzen. Das NAT-Gateway verfügt über eine öffentliche IP-Adresse, die eine Verbindung zum Internet herstellen kann. Dadurch kann die Regel-Engine Ihre Nachrichten an den öffentlichen Kafka-Cluster weiterleiten.

    • Ordnen Sie den Elastic Network Interfaces (ENIs), die von der VPC-Destination erstellt werden, eine Elastic IP-Adresse zu. Die Sicherheitsgruppen, die Sie verwenden, müssen so konfiguriert sein, dass sie eingehenden Datenverkehr blockieren.

      Anmerkung

      Wenn das VPC-Ziel deaktiviert und dann wieder aktiviert wird, müssen Sie das Elastic erneut IPs mit dem neuen verknüpfen. ENIs

  • Wenn ein Ziel für eine VPC-Themenregel 30 Tage hintereinander keinen Traffic empfängt, wird es deaktiviert.

  • Wenn sich die vom VPC-Ziel verwendeten Ressourcen ändern, wird das Ziel deaktiviert und kann nicht verwendet werden.

  • Zu den Änderungen, die ein VPC-Ziel deaktivieren können, gehören: Löschen der VPC, Subnetze, Sicherheitsgruppen oder der verwendeten Rolle, Ändern der Rolle, sodass sie nicht mehr über die erforderlichen Berechtigungen verfügt, und Deaktivieren des Ziels.

Preisgestaltung

Aus Preisgründen wird eine VPC-Regelaktion zusätzlich zu der Aktion gemessen, die eine Nachricht an eine Ressource sendet, wenn sich die Ressource in Ihrer VPC befindet. Preisinformationen finden Sie unter AWS IoT Core Preise.

Erstellen von Virtual Private Cloud (VPC) -Themenregelzielen

Sie erstellen ein VPC-Ziel (Virtual Private Cloud) mithilfe der CreateTopicRuleDestinationAPI oder der AWS IoT Core Konsole.

Wenn Sie ein VPC-Ziel erstellen, müssen Sie die folgenden Informationen angeben.

vpcId

Die eindeutige ID des VPC-Ziels.

subnetIds

Eine Liste von Subnetzen, in denen die Regel-Engine ENIs erstellt. Die Regel-Engine weist jedem Subnetz in der Liste eine einzelne Netzwerkschnittstelle zu.

securityGroups (optional)

Eine Liste von Sicherheitsgruppen, die auf die Netzwerkschnittstellen anzuwenden sind

roleArn

Der Amazon-Ressourcenname (ARN) einer Rolle, die die Berechtigung zum Erstellen von Netzwerkschnittstellen in Ihrem Namen erteilt.

Diesem ARN sollte eine Richtlinie angehängt sein, die wie im folgenden Beispiel aussieht.

JSON

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/VPCDestinationENI": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface",
                    "aws:RequestTag/VPCDestinationENI": "true"
                }
            }
        }
    ]
}

Erstellen eines VPC-Ziels mithilfe von AWS CLI

Das folgende Beispiel zeigt, wie Sie ein VPC-Ziel mithilfe von AWS CLI erstellen.


aws --region regions iot create-topic-rule-destination --destination-configuration 'vpcConfiguration={subnetIds=["subnet-123456789101230456"],securityGroups=[],vpcId="vpc-123456789101230456",roleArn="arn:aws:iam::123456789012:role/role-name"}'

Nachdem Sie diesen Befehl ausgeführt haben, lautet der VPC-Zielstatus IN_PROGRESS. Nach einigen Minuten ändert sich der Status entweder auf ERROR (falls der Befehl nicht erfolgreich ist) oder ENABLED. Wenn der Zielstatus ENABLED lautet, ist er einsatzbereit.

Sie können den folgenden Befehl verwenden, um den Status Ihres VPC-Ziels abzurufen.


aws --region region iot get-topic-rule-destination --arn "VPCDestinationARN"

Erstellen eines VPC-Ziels mithilfe der Konsole AWS IoT Core

In den folgenden Schritten wird beschrieben, wie Sie mithilfe der AWS IoT Core Konsole ein VPC-Ziel erstellen.

  1. Navigieren Sie zur AWS IoT Core Konsole. Wählen Sie im linken Bereich auf der Registerkarte Aktion die Option Ziele aus.

  2. Geben Sie Werte für folgende Felder ein.

    • VPC-ID

    • Subnetz IDs

    • Sicherheitsgruppe

  3. Wählen Sie eine Rolle aus, die über die erforderlichen Berechtigungen zum Erstellen von Netzwerkschnittstellen verfügt. Die obige Beispielrichtlinie enthält diese Berechtigungen.

Wenn der VPC-Zielstatus ENABLED (AKTIVIERT) lautet, ist es einsatzbereit.