Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración del acceso a puntos de enlace de Amazon VPC específicos del servicio en Amazon MWAA
Un punto de enlace de VPC (AWS PrivateLink) le permite conectar su VPC de forma privada a los servicios alojados en ella AWS sin necesidad de una puerta de enlace de Internet, un dispositivo NAT, una VPN o proxies de firewall. Estos puntos finales son dispositivos virtuales de alta disponibilidad y escalables horizontalmente que permiten la comunicación entre las instancias de la VPC AWS y los servicios. En esta página, se describen los puntos de conexión de VPC creados por Amazon MWAA y cómo acceder al punto de conexión de VPC de su servidor web Apache Airflow si ha elegido el modo de acceso de Red privada en Amazon Managed Workflows para Apache Airflow.
Contenido
Precios
Descripción de puntos de conexión de VPC
Cuando crea un entorno Amazon MWAA, Amazon MWAA crea entre uno y dos puntos de conexión de VPC para dicho entorno. Estos puntos de conexión aparecen como interfaces de red elástica (ENI) con IP privadas en su Amazon VPC. Una vez creados estos puntos de conexión, todo el tráfico destinado a estas IP se enruta de forma privada o pública a los AWS servicios correspondientes que utilice su entorno.
Modo de acceso mediante red pública
Si elige el modo de acceso de Red pública para su servidor web Apache Airflow, el tráfico de la red se enruta públicamente a través de Internet.
-
Amazon MWAA crea un punto de conexión de la interfaz de la VPC para su base de datos de metadatos de Amazon Aurora PostgreSQL. El punto final se crea en las zonas de disponibilidad asignadas a sus subredes privadas y es independiente de otras cuentas. AWS
-
A continuación, Amazon MWAA vincula una dirección IP de sus subredes privadas a los puntos de conexión de la interfaz. Se ha diseñado de esta manera siguiendo la práctica recomendada de vincular una sola IP de cada zona de disponibilidad de la VPC de Amazon.
Modo de acceso mediante red privada
Si ha elegido el modo de acceso de Red privada para su servidor web Apache Airflow, el tráfico de red se enruta de forma privada dentro de su Amazon VPC.
-
Amazon MWAA crea un punto de conexión de la interfaz de la VPC para el servidor web de Apache Airflow y un punto de conexión de la interfaz para su base de datos de metadatos de Amazon Aurora PostgreSQL. Los puntos finales se crean en las zonas de disponibilidad asignadas a sus subredes privadas y son independientes de otras cuentas. AWS
-
A continuación, Amazon MWAA vincula una dirección IP de sus subredes privadas a los puntos de conexión de la interfaz. Se ha diseñado de esta manera siguiendo la práctica recomendada de vincular una sola IP de cada zona de disponibilidad de la VPC de Amazon.
Permiso para usar otros servicios AWS
Los puntos finales de la interfaz utilizan la función de ejecución de su entorno en AWS Identity and Access Management (IAM) para administrar los permisos de AWS los recursos utilizados por su entorno. A medida que se habiliten más AWS servicios para un entorno, cada servicio requerirá que configure los permisos utilizando la función de ejecución de su entorno. Para agregar permisos, consulte Rol de ejecución de Amazon MWAA.
Si ha elegido el modo de acceso de Red privada para su servidor web Apache Airflow, también debe habilitar el permiso en la política de punto de conexión de VPC para cada punto de conexión. Para obtener más información, consulte Políticas de puntos de conexión de VPC (solo enrutamiento privado).
Visualización de puntos de conexión de VPC
En esta sección, se describe cómo ver los puntos de conexión de VPC creados por Amazon MWAA y cómo identificar las direcciones IP privadas de su punto de conexión de VPC Apache Airflow.
Visualización de puntos de conexión de VPC en la consola de Amazon VPC
En la siguiente sección, se muestran los pasos para ver los puntos de conexión de VPC creados por Amazon MWAA y cualquier punto de conexión de VPC que puede haber creado si utiliza un enrutamiento privado para su Amazon VPC.
Para ver los puntos de conexión de VPC
-
Abra la página Puntos de conexión
de la consola de Amazon VPC. -
Use el selector de AWS regiones para seleccionar su región.
-
Debería ver los puntos de conexión de la interfaz de VPC creados por Amazon MWAA y cualquier punto de conexión de VPC que puede haber creado si utiliza un enrutamiento privado en su Amazon VPC.
Para obtener más información sobre los puntos de conexión del servicio de VPC que se requieren para una Amazon VPC con enrutamiento privado, consulte Creación de los puntos de conexión del servicio de VPC necesarios en una Amazon VPC con enrutamiento privado.
Identificación de las direcciones IP privadas de su servidor web Apache Airflow y su punto de conexión de VPC
Los siguientes pasos describen cómo recuperar el nombre de host del servidor web Apache Airflow y el punto de conexión de la interfaz de VPC, así como sus direcciones IP privadas.
-
Utilice el siguiente comando AWS Command Line Interface (AWS CLI) para recuperar el nombre de host de su servidor web Apache Airflow.
aws mwaa get-environment --nameYOUR_ENVIRONMENT_NAME--query 'Environment.WebserverUrl'Debería ver algo similar a lo siguiente en la respuesta:
"99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com" -
Ejecute un comando dig en el nombre de host devuelto en la respuesta al comando anterior. Por ejemplo:
dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.comDebería ver algo similar a lo siguiente en la respuesta:
vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com. -
Usa el siguiente comando AWS Command Line Interface (AWS CLI) para recuperar el nombre DNS del punto final de la VPC devuelto en la respuesta al comando anterior. Por ejemplo:
aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.Debería ver algo similar a lo siguiente en la respuesta:
"DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com", -
Ejecute un comando nslookup o dig en el nombre de host de Apache Airflow y en el nombre DNS del punto de conexión de VPC para recuperar las direcciones IP. Por ejemplo:
dig +shortYOUR_AIRFLOW_HOST_NAMEYOUR_AIRFLOW_VPC_ENDPOINT_DNSDebería ver algo similar a lo siguiente en la respuesta:
192.0.5.1 192.0.6.1
Acceso al punto de conexión de VPC del servidor web de Apache Airflow (acceso mediante red privada)
Si ha elegido el modo de acceso de red privada para su servidor web Apache Airflow, tendrá que crear un mecanismo para acceder al punto de conexión de la interfaz de VPC de su servidor web Apache Airflow. Debe usar la misma Amazon VPC, el mismo grupo de seguridad de VPC y las mismas subredes privadas que su entorno de Amazon MWAA para estos recursos.
Usando un AWS Client VPN
AWS Client VPN es un servicio de VPN gestionado y basado en clientes que le permite acceder de forma segura a sus AWS recursos y recursos de la red local. Proporciona una conexión TLS segura desde cualquier ubicación mediante el cliente OpenVPN.
Recomendamos seguir el tutorial de Amazon MWAA para configurar una Client VPN: Tutorial: Configuración del acceso a la red privada mediante una AWS Client VPN.
Uso de un host bastión de Linux
Un host bastión es un servidor cuya finalidad es proporcionar acceso a una red privada desde una red externa, por ejemplo, a través de Internet desde su equipo. Las instancias de Linux se encuentran en una subred pública y están configuradas con un grupo de seguridad que permite el acceso SSH desde el grupo de seguridad adjunto a la instancia Amazon EC2 subyacente que ejecuta el host bastión.
Recomendamos seguir el tutorial de Amazon MWAA para configurar un host bastión de Linux: Tutorial: Configuración del acceso a la red privada mediante un host bastión de Linux.
Uso de un equilibrador de carga (avanzado)
En la siguiente sección, se muestran las configuraciones que necesitará aplicar a un equilibrador de carga de aplicación.
-
Grupos de destino. Deberá utilizar grupos de destino que apunten a las direcciones IP privadas de su servidor web Apache Airflow y a su punto de conexión de interfaz de VPC. Le recomendamos que especifique ambas direcciones IP privadas como destinos registrados, ya que usar solo una puede reducir la disponibilidad. Para obtener más información sobre cómo identificar las direcciones IP privadas, consulte Identificación de las direcciones IP privadas de su servidor web Apache Airflow y su punto de conexión de VPC.
-
Códigos de estado. Le recomendamos que utilice los códigos de estado
200y302en la configuración del grupo de destino. De lo contrario, es posible que los destinos se marquen como en mal estado si el punto de conexión de VPC del servidor web Apache Airflow responde con un error302 Redirect. -
Oyente HTTPS. Deberá especificar el puerto de destino del servidor web Apache Airflow. Por ejemplo:
Protocolo Puerto HTTPS
443
-
Nuevo dominio de ACM. Si quieres asociar un certificado SSL/TLS AWS Certificate Manager, tendrás que crear un nuevo dominio para el agente de escucha HTTPS de tu balanceador de cargas.
-
Región de certificado ACM. Si quieres asociar un certificado SSL/TLS, tendrás que cargarlo en la misma AWS Certificate Manager región que tu entorno. AWS Por ejemplo:
-
ejemplo región para cargar el certificado
aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem--region us-west-2
-
