Acerca de las redes en Amazon MWAA

Una Amazon VPC es una red virtual que está vinculada a tu AWS cuenta. Le ofrece seguridad en la nube y la capacidad de escalar de forma dinámica al proporcionar un control detallado de la infraestructura virtual y la segmentación del tráfico de la red. En esta página se describe la VPC infraestructura de Amazon con enrutamiento público o enrutamiento privado que se necesita para admitir un entorno Amazon Managed Workflows for Apache Airflow.

Contenido

• Términos
• Elementos compatibles
• VPCdescripción general de la infraestructura
  • Enrutamiento público a través de Internet
  • Enrutamiento privado sin acceso a Internet
• Ejemplos de casos de uso de un modo de acceso Airflow de Amazon VPC y Apache
  • Se permite el acceso a Internet: nueva VPC red Amazon
  • No se permite el acceso a Internet: nueva VPC red Amazon
  • No se permite el acceso a Internet: VPC red Amazon existente

Términos

Enrutamiento público

Una VPC red de Amazon que tiene acceso a Internet.

Enrutamiento privado

Una VPC red de Amazon sin acceso a Internet.

Elementos compatibles

En la siguiente tabla se describen los tipos de Amazon que VPCs Amazon MWAA admite.

VPCTipos de Amazon	Compatible
Un Amazon VPC propiedad de la cuenta que intenta crear el entorno.	Sí
Un Amazon compartido VPC en el que varias AWS cuentas crean sus AWS recursos.	Sí

VPCdescripción general de la infraestructura

Cuando crea un MWAA entorno de Amazon, Amazon MWAA crea entre uno y dos VPC puntos de conexión para su entorno en función del modo de acceso de Apache Airflow que haya elegido para su entorno. Estos puntos de enlace aparecen como interfaces de red elásticas (ENIs) con privacidad IPs en AmazonVPC. Una vez creados estos puntos de enlace, todo el tráfico destinado a ellos IPs se enruta de forma privada o pública a los AWS servicios correspondientes que utilice su entorno.

En la siguiente sección se describe la VPC infraestructura de Amazon necesaria para enrutar el tráfico de forma pública a través de Internet o de forma privada dentro de Amazon VPC.

Enrutamiento público a través de Internet

En esta sección se describe la VPC infraestructura de Amazon de un entorno con enrutamiento público. Necesitará la siguiente VPC infraestructura:

• Un grupo VPC de seguridad. Un grupo VPC de seguridad actúa como un firewall virtual para controlar el tráfico de red de entrada (entrante) y de salida (saliente) de una instancia.

  • Se pueden especificar hasta 5 grupos de seguridad.

  • El grupo de seguridad debe especificar una regla de entrada con autorreferencia para sí mismo.

  • El grupo de seguridad debe especificar una regla de salida para todo el tráfico (0.0.0.0/0).

  • El grupo de seguridad debe permitir todo el tráfico de la regla de autorreferencia. Por ejemplo, (Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos .

  • Si lo desea, el grupo de seguridad puede restringir aún más el tráfico especificando el rango de puertos para el rango de HTTPS puertos 443 y un rango de puertos. TCP 5432 Por ejemplo, (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432 y (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443.

• Dos subredes públicas. Una subred pública es una subred asociada a la tabla de enrutamiento con ruta a la puerta de enlace de Internet.

  • Se necesitan dos subredes públicas. Esto permite MWAA a Amazon crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.

  • Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo, us-east-1a, us-east-1b.

  • Las subredes deben enrutarse a una NAT puerta de enlace (o NAT instancia) con una dirección IP elástica (EIP).

  • Las subredes deben tener una tabla de enrutamiento que dirija el tráfico vinculado a Internet a la puerta de enlace de Internet.

• Dos subredes privadas. Una subred pública es una subred no asociada a la tabla de enrutamiento que tiene una ruta a la puerta de enlace de Internet.

  • Se necesitan dos subredes privadas. Esto permite MWAA a Amazon crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.

  • Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo, us-east-1a, us-east-1b.

  • Las subredes deben tener una tabla de enrutamiento a un NAT dispositivo (puerta de enlace o instancia).

  • La subred pública debe no tener una ruta hacia una puerta de enlace de Internet.

• Una lista de control de acceso a la red (ACL). An NACL gestiona (mediante reglas de permiso o rechazo) el tráfico entrante y saliente a nivel de subred.

  • NACLDebe tener una regla de entrada que permita todo el tráfico (). 0.0.0.0/0

  • NACLDebe tener una regla de salida que permita todo el tráfico ()0.0.0.0/0.

  • Por ejemplo, (Recomendado) Ejemplos de ACL.

• Dos NAT puertas de enlace (o NAT instancias). Un NAT dispositivo reenvía el tráfico de las instancias de la subred privada a Internet u otros AWS servicios y, a continuación, redirige la respuesta a las instancias.

  • El NAT dispositivo debe estar conectado a una subred pública. (Un NAT dispositivo por subred pública).

  • El NAT dispositivo debe tener una IPv4 dirección elástica (EIP) conectada a cada subred pública.

• Una puerta de enlace de Internet. Una pasarela de Internet conecta un Amazon VPC a Internet y a otros AWS servicios.

  • Debe haber una puerta de enlace de Internet conectada a AmazonVPC.

Enrutamiento privado sin acceso a Internet

En esta sección se describe la VPC infraestructura de Amazon de un entorno con enrutamiento privado. Necesitará la siguiente VPC infraestructura:

• Un grupo VPC de seguridad. Un grupo VPC de seguridad actúa como un firewall virtual para controlar el tráfico de red de entrada (entrante) y de salida (saliente) de una instancia.

  • Se pueden especificar hasta 5 grupos de seguridad.

  • El grupo de seguridad debe especificar una regla de entrada con autorreferencia para sí mismo.

  • El grupo de seguridad debe especificar una regla de salida para todo el tráfico (0.0.0.0/0).

  • El grupo de seguridad debe permitir todo el tráfico de la regla de autorreferencia. Por ejemplo, (Recomendado) Ejemplo de grupo de seguridad con autorreferencia para todos los accesos .

  • Si lo desea, el grupo de seguridad puede restringir aún más el tráfico especificando el rango de puertos para el rango de HTTPS puertos 443 y un rango de puertos. TCP 5432 Por ejemplo, (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 5432 y (Opcional) Ejemplo de grupo de seguridad que restringe el acceso entrante al puerto 443.

• Dos subredes privadas. Una subred pública es una subred no asociada a la tabla de enrutamiento que tiene una ruta a la puerta de enlace de Internet.

  • Se necesitan dos subredes privadas. Esto permite MWAA a Amazon crear una nueva imagen de contenedor para su entorno en la otra zona de disponibilidad, en caso de que un contenedor falle.

  • Las subredes deben estar en diferentes zonas de disponibilidad. Por ejemplo, us-east-1a, us-east-1b.

  • Las subredes deben tener una tabla de enrutamiento hacia sus puntos de conexiónVPC.

  • Las subredes no deben tener una tabla de enrutamiento a un NAT dispositivo (puerta de enlace o instancia) ni una puerta de enlace a Internet.

• Una lista de control de acceso a la red (ACL). An NACL gestiona (mediante reglas de permiso o rechazo) el tráfico entrante y saliente a nivel de subred.

  • NACLDebe tener una regla de entrada que permita todo el tráfico (). 0.0.0.0/0

  • NACLDebe tener una regla de salida que deniegue todo el tráfico ()0.0.0.0/0.

  • Por ejemplo, (Recomendado) Ejemplos de ACL.

• Tabla de enrutamiento local. Una tabla de rutas local es una ruta predeterminada para la comunicación dentro deVPC.

  • La tabla de enrutamiento local debe estar asociada a sus subredes privadas.

  • La tabla de enrutamiento local debe permitir que las instancias de su VPC empresa se comuniquen con su propia red. Por ejemplo, si utilizas un punto final AWS Client VPN para acceder al punto final de la VPC interfaz de tu servidor web Apache Airflow, la tabla de enrutamiento debe dirigirse al VPC punto final.

• VPCpuntos de enlace para cada AWS servicio utilizado por su entorno y VPC puntos de enlace de Apache Airflow en la misma región AWS y Amazon que VPC su entorno de Amazon. MWAA

  • Un VPC punto final para cada AWS servicio utilizado por el entorno y VPC puntos finales para Apache Airflow. Por ejemplo, Puntos de enlace (obligatorios) VPC.

  • Los VPC puntos finales deben tener la opción privada habilitada. DNS

  • Los VPC puntos finales deben estar asociados a las dos subredes privadas de su entorno.

  • Los VPC puntos finales deben estar asociados al grupo de seguridad de su entorno.

  • La política de VPC puntos finales de cada punto final debe configurarse para permitir el acceso a AWS los servicios utilizados por el entorno. Por ejemplo, (Recomendado) Ejemplo de política de punto de conexión de VPC que permite todos los accesos.

  • Se debe VPC configurar una política de puntos de conexión para Amazon S3 para permitir el acceso a los buckets. Por ejemplo, (Recomendado) Ejemplo de política de puntos de conexión de la puerta de enlace de Amazon S3 que permite el acceso al bucket.

Ejemplos de casos de uso de un modo de acceso Airflow de Amazon VPC y Apache

En esta sección se describen los diferentes casos de uso para el acceso a la red en su Amazon VPC y el modo de acceso al servidor web Apache Airflow que debe elegir en la consola de AmazonMWAA.

Se permite el acceso a Internet: nueva VPC red Amazon

Si su VPC organización permite el acceso a Internet y desea que los usuarios accedan a su servidor web Apache Airflow a través de Internet:

1. Cree una VPC red Amazon con acceso a Internet.

2. Cree un entorno con el modo de acceso red pública para su servidor web de Apache Airflow.

3. Lo que recomendamos: recomendamos usar la plantilla AWS CloudFormation de inicio rápido que crea la VPC infraestructura de Amazon, un bucket de Amazon S3 y un MWAA entorno de Amazon al mismo tiempo. Para obtener más información, consulte Tutorial de inicio rápido de Amazon Managed Workflows para Apache Airflow.

Si su VPC organización permite el acceso a Internet y desea limitar el acceso al servidor web Apache Airflow a los usuarios de su organización: VPC

1. Cree una VPC red Amazon con acceso a Internet.

2. Cree un mecanismo para acceder al punto final de la VPC interfaz de su servidor web Apache Airflow desde su ordenador.

3. Cree un entorno con el modo de acceso red privada para su servidor web de Apache Airflow.

4. Recomendaciones:

   1. Recomendamos utilizar la MWAA consola de Amazon enOpción uno: crear la VPC red en la MWAA consola de Amazon, o la AWS CloudFormation plantilla enOpción dos: Crear una VPC red Amazon con acceso a Internet.

   2. Recomendamos configurar el acceso mediante un AWS Client VPN servidor web Apache Airflow enTutorial: Configuración del acceso a la red privada mediante una AWS Client VPN.

No se permite el acceso a Internet: nueva VPC red Amazon

Si su organización no permite VPC el acceso a Internet en su organización:

1. Cree una VPC red Amazon sin acceso a Internet.

2. Cree un mecanismo para acceder al punto final de la VPC interfaz de su servidor web Apache Airflow desde su ordenador.

3. Cree VPC puntos finales para cada AWS servicio que utilice su entorno.

4. Cree un entorno con el modo de acceso red privada para su servidor web de Apache Airflow.

5. Recomendaciones:

   1. Recomendamos utilizar la AWS CloudFormation plantilla para crear un Amazon VPC sin acceso a Internet y los VPC puntos de enlace de cada AWS servicio utilizado por Amazon MWAA enOpción tres: Crear una VPC red Amazon sin acceso a Internet.

   2. Recomendamos configurar el acceso mediante un AWS Client VPN servidor web Apache Airflow en. Tutorial: Configuración del acceso a la red privada mediante una AWS Client VPN

No se permite el acceso a Internet: VPC red Amazon existente

Si su organización no permite VPC el acceso a Internet en su organización y ya dispone de la VPC red Amazon requerida sin acceso a Internet:

1. Cree VPC puntos de conexión para cada AWS servicio que utilice su entorno.

2. Cree VPC puntos de conexión para Apache Airflow.

3. Cree un mecanismo para acceder al punto final de la VPC interfaz de su servidor web Apache Airflow desde su ordenador.

4. Cree un entorno con el modo de acceso red privada para su servidor web de Apache Airflow.

5. Recomendaciones:

   1. Recomendamos crear y adjuntar los VPC puntos de enlace necesarios para cada AWS servicio que utilice AmazonMWAA, así como los VPC puntos de enlace necesarios para Apache Airflow. Crear los puntos de enlace VPC de servicio necesarios en un Amazon VPC con enrutamiento privado

   2. Recomendamos configurar el acceso mediante un AWS Client VPN servidor web Apache Airflow en. Tutorial: Configuración del acceso a la red privada mediante una AWS Client VPN