Destinations de cloud privé virtuel (VPC) - AWS IoT Core
Exigences et considérationsTarificationCréation de destinations de règle de rubrique Virtual Private Cloud (VPC)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Destinations de cloud privé virtuel (VPC)

L'action Apache Kafka achemine les données vers un cluster Apache Kafka dans un Amazon Virtual Private Cloud (Amazon VPC). La configuration VPC utilisée par l'action de règle Apache Kafka est automatiquement activée lorsque vous spécifiez la destination VPC pour votre action de règle.

Une destination VPC contient une liste de sous-réseaux à l'intérieur du VPC. Le moteur de règles crée une interface Elastic Network dans chaque sous-réseau que vous spécifiez dans cette liste. Pour plus d'informations sur les interfaces réseau, consultez Elastic network interfaces dans le Guide de l'utilisateur Amazon EC2.

Exigences et considérations

  • Si vous utilisez un cluster Apache Kafka autogéré accessible via un point de terminaison public sur Internet :

    • Créez une passerelle NAT pour les instances de vos sous-réseaux. La passerelle NAT possède une adresse IP publique qui peut se connecter à Internet, ce qui permet au moteur de règles de transférer vos messages au cluster Kafka public.

    • Allouez une adresse IP Elastic avec les interfaces réseau Elastic (ENI) créées par la destination VPC. Les groupes de sécurité que vous utilisez doivent être configurés pour bloquer le trafic entrant.

      Note

      Si la destination VPC est désactivée puis réactivée, vous devez réassocier les adresses IP élastiques aux nouveaux ENI.

  • Si une destination de règle de sujet VPC ne reçoit aucun trafic pendant 30 jours consécutifs, elle sera désactivée.

  • Si l'une des ressources utilisées par la destination du VPC change, la destination sera désactivée et ne pourra pas être utilisée.

  • Parmi les modifications qui peuvent désactiver une destination VPC, citons : la suppression du VPC, des sous-réseaux, des groupes de sécurité ou du rôle utilisé ; la modification du rôle pour ne plus disposer des autorisations nécessaires ; et la désactivation de la destination.

Tarification

À des fins de tarification, une action de règle VPC est mesurée en plus de l'action qui envoie un message à une ressource lorsque celle-ci se trouve dans votre VPC. Pour en savoir plus sur la tarification, consultez Tarification AWS IoT Core.

Création de destinations de règle de rubrique Virtual Private Cloud (VPC)

Vous créez une destination de cloud privé virtuel (VPC) à l'aide de l'CreateTopicRuleDestinationAPI ou de la console. AWS IoT Core

When you create a VPC destination, you must specify the following information.

vpcId

L'identifiant unique de la destination VPC.

subnetIds

Liste de sous-réseaux dans lesquels le moteur de règles crée des interfaces réseau élastiques. Le moteur de règles alloue une interface réseau unique pour chaque sous-réseau de la liste.

SecurityGroups (facultatif)

Liste de groupes de sécurité à appliquer aux interfaces réseau.

roleArn

L'Amazon Resource Name (ARN) d'un rôle qui est autorisé à créer des interfaces réseau en votre nom.

Cet ARN doit être associé à une stratégie qui ressemble à l'exemple suivant.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/VPCDestinationENI": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface",
                    "aws:RequestTag/VPCDestinationENI": "true"
                }
            }
        }
    ]
}

Création d'une destination VPC à l'aide de AWS CLI

L'exemple suivant montre comment créer une destination VPC à l'aide de la fonction AWS CLI.


aws --region regions iot create-topic-rule-destination --destination-configuration 'vpcConfiguration={subnetIds=["subnet-123456789101230456"],securityGroups=[],vpcId="vpc-123456789101230456",roleArn="arn:aws:iam::123456789012:role/role-name"}'

Une fois que vous avez exécuté cette commande, l'état de destination VPC sera IN_PROGRESS. Après quelques minutes, son statut passera à ERROR (si la commande échoue) ou ENABLED. Lorsque le statut de destination est ENABLED défini, il est prêt à être utilisé.

Vous pouvez utiliser la commande suivante pour obtenir le statut de votre destination VPC.


aws --region region iot get-topic-rule-destination --arn "VPCDestinationARN"

Création d'une destination VPC à l'aide de la console AWS IoT Core

Les étapes suivantes décrivent comment créer une destination VPC à l'aide de la AWS IoT Core console.

  1. Accédez à la AWS IoT Core console. Dans le volet de gauche, sous l'onglet Agir, sélectionnez Destinations.

  2. Saisissez des valeurs pour les champs suivants.

    • ID du VPC

    • Subnet IDs

    • Security Group

  3. Sélectionnez un rôle qui dispose des autorisations nécessaires pour créer des interfaces réseau. L'exemple de politique précédent contient ces autorisations.

Lorsque le statut de destination du VPC est ACTIVÉ, il est prêt à être utilisé.