Destinations du cloud privé virtuel (VPC) - AWS IoT Core
Exigences et considérationsTarificationCréation de destinations de règles de sujet pour le cloud privé virtuel (VPC)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Destinations du cloud privé virtuel (VPC)

L'action de règle Apache Kafka achemine les données vers un cluster Apache Kafka dans un Amazon Virtual Private Cloud (AmazonVPC). La VPC configuration utilisée par l'action de règle Apache Kafka est automatiquement activée lorsque vous spécifiez la VPC destination de votre action de règle.

Une VPC destination contient une liste de sous-réseaux à l'intérieur duVPC. Le moteur de règles crée une interface Elastic Network dans chaque sous-réseau que vous spécifiez dans cette liste. Pour plus d'informations sur les interfaces réseau, consultez la section Elastic network interfaces dans le guide de EC2 l'utilisateur Amazon.

Exigences et considérations

  • Si vous utilisez un cluster Apache Kafka autogéré accessible via un point de terminaison public sur Internet :

    • Créez une NAT passerelle pour les instances de vos sous-réseaux. La NAT passerelle possède une adresse IP publique qui peut se connecter à Internet, ce qui permet au moteur de règles de transférer vos messages au cluster Kafka public.

    • Allouez une adresse IP élastique avec les interfaces réseau élastiques (ENIs) créées par la VPC destination. Les groupes de sécurité que vous utilisez doivent être configurés pour bloquer le trafic entrant.

      Note

      Si la VPC destination est désactivée puis réactivée, vous devez réassocier l'élastique IPs à la nouvelle. ENIs

  • Si une destination régie par une règle de VPC sujet ne reçoit aucun trafic pendant 30 jours consécutifs, elle sera désactivée.

  • Si l'une des ressources utilisées par la VPC destination change, la destination sera désactivée et ne pourra pas être utilisée.

  • Parmi les modifications qui peuvent désactiver une VPC destination, citons : la suppression des sous-réseauxVPC, des groupes de sécurité ou du rôle utilisé ; la modification du rôle pour qu'il ne dispose plus des autorisations nécessaires ; et la désactivation de la destination.

Tarification

À des fins de tarification, une action de VPC règle est mesurée en plus de l'action qui envoie un message à une ressource lorsque celle-ci se trouve dans votreVPC. Pour en savoir plus sur la tarification, consultez Tarification AWS IoT Core.

Création de destinations de règles de sujet pour le cloud privé virtuel (VPC)

Vous créez une destination de cloud privé virtuel (VPC) à l'aide de la console CreateTopicRuleDestinationAPIou de la AWS IoT Core console.

Lorsque vous créez une VPC destination, vous devez spécifier les informations suivantes.

vpcId

L'identifiant unique de la VPC destination.

subnetIds

Liste de sous-réseaux dans lesquels le moteur de règles crée des interfaces réseau élastiques. Le moteur de règles alloue une interface réseau unique pour chaque sous-réseau de la liste.

securityGroups (facultatif)

Liste de groupes de sécurité à appliquer aux interfaces réseau.

roleArn

Le nom de ressource Amazon (ARN) d'un rôle autorisé à créer des interfaces réseau en votre nom.

Cela ARN doit être associé à une politique semblable à celle de l'exemple suivant.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/VPCDestinationENI": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface",
                    "aws:RequestTag/VPCDestinationENI": "true"
                }
            }
        }
    ]
}

Création d'une VPC destination en utilisant AWS CLI

L'exemple suivant montre comment créer une VPC destination en utilisant AWS CLI.


aws --region regions iot create-topic-rule-destination --destination-configuration 'vpcConfiguration={subnetIds=["subnet-123456789101230456"],securityGroups=[],vpcId="vpc-123456789101230456",roleArn="arn:aws:iam::123456789012:role/role-name"}'

Après avoir exécuté cette commande, le statut de VPC destination seraIN_PROGRESS. Après quelques minutes, son statut passera à ERROR (si la commande échoue) ou ENABLED. Lorsque le statut de destination est ENABLED défini, il est prêt à être utilisé.

Vous pouvez utiliser la commande suivante pour obtenir le statut de votre VPC destination.


aws --region region iot get-topic-rule-destination --arn "VPCDestinationARN"

Création d'une VPC destination à l'aide de la AWS IoT Core console

Les étapes suivantes décrivent comment créer une VPC destination à l'aide de la AWS IoT Core console.

  1. Accédez à la AWS IoT Core console. Dans le volet de gauche, sous l'onglet Agir, sélectionnez Destinations.

  2. Saisissez des valeurs pour les champs suivants.

    • ID VPC

    • Sous-réseau IDs

    • Security Group

  3. Sélectionnez un rôle qui dispose des autorisations nécessaires pour créer des interfaces réseau. L'exemple de politique précédent contient ces autorisations.

Lorsque le statut de VPC destination est ENABLEDdéfini, il est prêt à être utilisé.