Apache Airflow-Zugriffsmodi

Die Amazon Managed Workflows for Apache Airflow-Konsole enthält integrierte Optionen zur Konfiguration von privatem oder öffentlichem Routing zum Apache Airflow-Webserver in Ihrer Umgebung. Dieses Handbuch beschreibt die Zugriffsmodi, die für den Apache Airflow-Webserver in Ihrer Amazon Managed Workflows for Apache Airflow-Umgebung verfügbar sind, und die zusätzlichen Ressourcen, die Sie in Ihrer Amazon VPC konfigurieren müssen, wenn Sie die private Netzwerkoption wählen.

Inhalt

• Apache Airflow-Zugriffsmodi
  • Öffentliches Netzwerk
  • Privates Netzwerk
• Übersicht über die Zugriffsmodi
  • Öffentlicher Netzwerkzugriffsmodus
  • Privater Netzwerkzugriffsmodus
• Einrichtung für private und öffentliche Zugriffsmodi
  • Einrichtung für ein öffentliches Netzwerk
  • Einrichtung für ein privates Netzwerk
• Zugreifen auf den VPC-Endpunkt für Ihren Apache Airflow Webserver (privater Netzwerkzugriff)

Apache Airflow-Zugriffsmodi

Sie können zwischen privatem oder öffentlichem Routing für Ihren Apache Airflow-Webserver wählen. Um privates Routing zu aktivieren, wählen Sie Privates Netzwerk. Dadurch wird der Benutzerzugriff auf einen Apache Airflow-Webserver auf eine Amazon VPC beschränkt. Um öffentliches Routing zu aktivieren, wählen Sie Öffentliches Netzwerk. Dadurch können Benutzer über das Internet auf den Apache Airflow-Webserver zugreifen.

Öffentliches Netzwerk

Das folgende Architekturdiagramm zeigt eine Amazon MWAA-Umgebung mit einem öffentlichen Webserver.

Im öffentlichen Netzwerkzugriffsmodus können Benutzer, denen Zugriff auf die IAM-Richtlinie für Ihre Umgebung gewährt wurde, über das Internet auf die Apache Airflow-Benutzeroberfläche zugreifen.

Die folgende Abbildung zeigt, wo Sie die Option Öffentliches Netzwerk auf der Amazon MWAA-Konsole finden.

Privates Netzwerk

Das folgende Architekturdiagramm zeigt eine Amazon MWAA-Umgebung mit einem privaten Webserver.

Der private Netzwerkzugriffsmodus beschränkt den Zugriff auf die Apache Airflow-Benutzeroberfläche auf Benutzer in Ihrer Amazon VPC, denen Zugriff auf die IAM-Richtlinie für Ihre Umgebung gewährt wurde.

Wenn Sie eine Umgebung mit privatem Webserverzugriff erstellen, müssen Sie alle Ihre Abhängigkeiten in einem Python-Radarchiv (.whl) verpacken und dann auf das .whl in Ihrem verweisenrequirements.txt. Anweisungen zum Paketieren und Installieren Ihrer Abhängigkeiten mit Wheel finden Sie unter Abhängigkeiten mit Python Wheel verwalten.

Die folgende Abbildung zeigt, wo Sie die Option Privates Netzwerk auf der Amazon MWAA-Konsole finden.

Übersicht über die Zugriffsmodi

In diesem Abschnitt werden die VPC-Endpunkte (AWS PrivateLink) beschrieben, die in Ihrer Amazon VPC erstellt wurden, wenn Sie den Zugriffsmodus Öffentliches Netzwerk oder Privates Netzwerk wählen.

Öffentlicher Netzwerkzugriffsmodus

Wenn Sie den Modus Öffentlicher Netzwerkzugriff für Ihren Apache Airflow-Webserver gewählt haben, wird der Netzwerkverkehr öffentlich über das Internet geleitet.

• Amazon MWAA erstellt einen VPC-Schnittstellenendpunkt für Ihre Amazon Aurora PostgreSQL-Metadatendatenbank. Der Endpunkt wird in den Availability Zones erstellt, die Ihren privaten Subnetzen zugeordnet sind, und ist unabhängig von anderen Konten. AWS

• Amazon MWAA bindet dann eine IP-Adresse aus Ihren privaten Subnetzen an die Schnittstellenendpunkte. Dies soll die bewährte Methode unterstützen, eine einzelne IP aus jeder Availability Zone der Amazon VPC zu binden.

Privater Netzwerkzugriffsmodus

Wenn Sie den privaten Netzwerkzugriffsmodus für Ihren Apache Airflow-Webserver gewählt haben, wird der Netzwerkverkehr innerhalb Ihrer Amazon VPC privat weitergeleitet.

• Amazon MWAA erstellt einen VPC-Schnittstellenendpunkt für Ihren Apache Airflow-Webserver und einen Schnittstellenendpunkt für Ihre Amazon Aurora PostgreSQL-Metadatendatenbank. Die Endpunkte werden in den Availability Zones erstellt, die Ihren privaten Subnetzen zugeordnet sind, und sind unabhängig von anderen Konten. AWS

• Amazon MWAA bindet dann eine IP-Adresse aus Ihren privaten Subnetzen an die Schnittstellenendpunkte. Dies soll die bewährte Methode unterstützen, eine einzelne IP aus jeder Availability Zone der Amazon VPC zu binden.

Weitere Informationen hierzu finden Sie unter Beispielanwendungsfälle für einen Amazon-VPC- und Apache-Airflow-Zugriffsmodus.

Einrichtung für private und öffentliche Zugriffsmodi

Im folgenden Abschnitt werden die zusätzlichen Einstellungen und Konfigurationen beschrieben, die Sie je nach dem Apache Airflow-Zugriffsmodus benötigen, den Sie für Ihre Umgebung ausgewählt haben.

Einrichtung für ein öffentliches Netzwerk

Wenn Sie die Option Öffentliches Netzwerk für Ihren Apache Airflow-Webserver wählen, können Sie nach dem Erstellen Ihrer Umgebung mit der Verwendung der Apache Airflow-Benutzeroberfläche beginnen.

Sie müssen die folgenden Schritte ausführen, um den Zugriff für Ihre Benutzer und die Erlaubnis für Ihre Umgebung zur Nutzung anderer AWS Dienste zu konfigurieren.

1. Fügen Sie Berechtigungen hinzu. Amazon MWAA benötigt eine Genehmigung zur Nutzung anderer AWS Dienste. Wenn Sie eine Umgebung erstellen, erstellt Amazon MWAA eine serviceverknüpfte Rolle, die es ihr ermöglicht, bestimmte IAM-Aktionen für Amazon Elastic Container Registry (Amazon ECR), CloudWatch Logs und Amazon EC2 zu verwenden.

   Sie können die Erlaubnis zur Verwendung zusätzlicher Aktionen für diese Services oder zur Nutzung anderer AWS Services hinzufügen, indem Sie Ihrer Ausführungsrolle Berechtigungen hinzufügen. Weitere Informationen hierzu finden Sie unter Amazon MWAA-Ausführungsrolle.

2. Erstellen Sie Benutzerrichtlinien. Möglicherweise müssen Sie mehrere IAM-Richtlinien für Ihre Benutzer erstellen, um den Zugriff auf Ihre Umgebung und die Apache Airflow-Benutzeroberfläche zu konfigurieren. Weitere Informationen hierzu finden Sie unter Zugreifen auf eine Amazon MWAA-Umgebung.

Einrichtung für ein privates Netzwerk

Wenn Sie die Option Privates Netzwerk für Ihren Apache Airflow-Webserver wählen, müssen Sie den Zugriff für Ihre Benutzer und die Erlaubnis für Ihre Umgebung zur Nutzung anderer AWS Dienste konfigurieren und einen Mechanismus für den Zugriff auf die Ressourcen in Ihrer Amazon VPC von Ihrem Computer aus einrichten.

1. Fügen Sie Berechtigungen hinzu. Amazon MWAA benötigt eine Genehmigung zur Nutzung anderer AWS Dienste. Wenn Sie eine Umgebung erstellen, erstellt Amazon MWAA eine serviceverknüpfte Rolle, die es ihr ermöglicht, bestimmte IAM-Aktionen für Amazon Elastic Container Registry (Amazon ECR), CloudWatch Logs und Amazon EC2 zu verwenden.

   Sie können die Erlaubnis zur Verwendung zusätzlicher Aktionen für diese Services oder zur Nutzung anderer AWS Services hinzufügen, indem Sie Ihrer Ausführungsrolle Berechtigungen hinzufügen. Weitere Informationen hierzu finden Sie unter Amazon MWAA-Ausführungsrolle.

2. Erstellen Sie Benutzerrichtlinien. Möglicherweise müssen Sie mehrere IAM-Richtlinien für Ihre Benutzer erstellen, um den Zugriff auf Ihre Umgebung und die Apache Airflow-Benutzeroberfläche zu konfigurieren. Weitere Informationen hierzu finden Sie unter Zugreifen auf eine Amazon MWAA-Umgebung.

3. Aktivieren Sie den Netzwerkzugriff. Sie müssen in Ihrer Amazon VPC einen Mechanismus erstellen, um eine Verbindung zum VPC-Endpunkt (AWS PrivateLink) für Ihren Apache Airflow-Webserver herzustellen. Zum Beispiel, indem Sie mit einem einen VPN-Tunnel von Ihrem Computer aus erstellen. AWS Client VPN

Zugreifen auf den VPC-Endpunkt für Ihren Apache Airflow Webserver (privater Netzwerkzugriff)

Wenn Sie die Option Privates Netzwerk ausgewählt haben, müssen Sie in Ihrer Amazon VPC einen Mechanismus für den Zugriff auf den VPC-Endpunkt (AWS PrivateLink) für Ihren Apache Airflow-Webserver einrichten. Wir empfehlen, für diese Ressourcen dieselbe Amazon VPC, VPC-Sicherheitsgruppe und dieselben privaten Subnetze wie Ihre Amazon MWAA-Umgebung zu verwenden.

Weitere Informationen finden Sie unter Zugriff für VPC-Endpoints verwalten.