Tutoriel : Configuration de l'accès au réseau privé à l'aide d'unAWS Client VPN - Amazon Managed Workflows for Apache Airflow
Réseau privéCas d'utilisationAvant de commencerObjectifs(Facultatif) Première étape : identification de votre VPC, de vos règles CIDR et de vos sécurités VPCÉtape 2 : créer les certificats de serveur et de clientTroisième étape : enregistrer leAWS CloudFormation modèle localementQuatrième étape : créer laAWS CloudFormation pile Client VPNÉtape 5 : associer des sous-réseaux à votre Client VPNSixième étape : ajouter une règle d'entrée d'autorisation à votre Client VPNÉtape 7 : Télécharger le fichier de configuration du point de terminaison Client VPNHuitième étape : Connect auAWS Client VPNQuelle est la prochaine étape ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Configuration de l'accès au réseau privé à l'aide d'unAWS Client VPN

Ce didacticiel explique les étapes à suivre pour créer un tunnel VPN entre votre ordinateur et le serveur Web Apache Airflow pour votre environnement Amazon Managed Workflows for Apache Airflow. Pour vous connecter à Internet via un tunnel VPN, vous devez d'abord créer unAWS Client VPN point de terminaison. Une fois configuré, un point de terminaison Client VPN agit comme un serveur VPN permettant une connexion sécurisée entre votre ordinateur et les ressources de votre VPC. Vous vous connecterez ensuite au Client VPN depuis votre ordinateur à l'aide de l'application AWS Client VPNpour ordinateur de bureau.

Réseau privé

Ce didacticiel suppose que vous avez choisi le mode d'accès au réseau privé pour votre serveur Web Apache Airflow.

Cette image montre l'architecture d'un environnement Amazon MWAA avec un serveur Web privé.

Le mode d'accès au réseau privé limite l'accès à l'interface utilisateur d'Apache Airflow aux utilisateurs de votre Amazon VPC qui ont été autorisés à accéder à la politique IAM de votre environnement.

Lorsque vous créez un environnement avec accès à un serveur Web privé, vous devez empaqueter toutes vos dépendances dans une archive de roues Python (.whl), puis y faire référence.whl dans votrerequirements.txt. Pour obtenir des instructions sur l'empaquetage et l'installation de vos dépendances à l'aide de Wheel, consultez la section Gestion des dépendances à l'aide de Python Wheel.

L'image suivante montre où trouver l'option Réseau privé sur la console Amazon MWAA.

Cette image montre où trouver l'option Réseau privé sur la console Amazon MWAA.

Cas d'utilisation

Vous pouvez utiliser ce didacticiel avant ou après avoir créé un environnement Amazon MWAA. Vous devez utiliser le même Amazon VPC, les mêmes groupes de sécurité VPC et les mêmes sous-réseaux privés que votre environnement. Si vous utilisez ce didacticiel après avoir créé un environnement Amazon MWAA, une fois les étapes terminées, vous pouvez revenir à la console Amazon MWAA et modifier le mode d'accès de votre serveur Web Apache Airflow sur Réseau privé.

Avant de commencer

  1. Vérifiez les autorisations des utilisateurs. Assurez-vous que votre compte dansAWS Identity and Access Management (IAM) dispose des autorisations suffisantes pour créer et gérer des ressources VPC.

  2. Utilisez votre Amazon MWAA VPC. Ce didacticiel suppose que vous associez le Client VPN à un VPC existant. L'Amazon VPC doit se trouver dans la mêmeAWS région qu'un environnement Amazon MWAA et disposer de deux sous-réseaux privés. Si vous n'avez pas créé d'Amazon VPC, utilisez leAWS CloudFormation modèle dansTroisième option : créer un réseau Amazon VPCsansAccès à Internet.

Objectifs

Dans le cadre de ce didacticiel, vous effectuerez les tâches suivantes :

  1. Créez unAWS Client VPN point de terminaison à l'aide d'unAWS CloudFormation modèle pour un Amazon VPC existant.

  2. Générez les certificats et les clés de serveur et de client, puis charge le certificat et la clé de serveurAWS Certificate Manager dans la mêmeAWS région qu'un environnement Amazon MWAA.

  3. Téléchargez et modifiez un fichier de configuration du point de terminaison Client VPN pour votre Client VPN, et utilisez-le pour créer un profil VPN afin de vous connecter à l'aide du Client VPN pour ordinateur de bureau.

(Facultatif) Première étape : identification de votre VPC, de vos règles CIDR et de vos sécurités VPC

La section suivante explique comment trouver des identifiants pour votre Amazon VPC, votre groupe de sécurité VPC, et comment identifier les règles CIDR dont vous aurez besoin pour créer votre Client VPN lors des étapes suivantes.

Identifiez vos règles CIDR

La section suivante explique comment identifier les règles CIDR, dont vous aurez besoin pour créer votre Client VPN.

Pour identifier le CIDR de votre Client VPN

  1. Ouvrez la page Vos Amazon VPC sur la console Amazon VPC.

  2. Utilisez le sélecteur de région dans la barre de navigation pour choisir la mêmeAWS région qu'un environnement Amazon MWAA.

  3. Choisissez votre Amazon VPC.

  4. En supposant que les CIDR de vos sous-réseaux privés sont les suivants :

    • Sous-réseau privé 1 : 10.192.10.0/24

    • Sous-réseau privé 2 : 10.192.11.0/24

    Si l'adresse CIDR de votre Amazon VPC est 10.192.0.0/16, l'adresse CIDR IPv4 du client que vous devez spécifier pour votre Client VPN est 10.192.0.0/22.

  5. Enregistrez cette valeur CIDR et la valeur de votre identifiant VPC pour les étapes suivantes.

Identifiez votre VPC et vos groupes de sécurité

La section suivante explique comment trouver l'ID de votre Amazon VPC et de vos groupes de sécurité, dont vous aurez besoin pour créer votre Client VPN.

Note

Vous utilisez peut-être plus d'un groupe de sécurité. Vous devrez spécifier tous les groupes de sécurité de votre VPC lors des étapes suivantes.

Pour identifier le ou les groupes de sécurité

  1. Ouvrez la page Groupes de sécurité sur la console Amazon VPC.

  2. Utilisez le sélecteur de région dans la barre de navigation pour choisir laAWS région.

  3. Recherchez l'Amazon VPC dans l'ID VPC et identifiez les groupes de sécurité associés au VPC.

  4. Enregistrez l'ID de vos groupes de sécurité et de votre VPC pour les étapes suivantes.

Étape 2 : créer les certificats de serveur et de client

Un point de terminaison VPN Client prend en charge uniquement les tailles de clés RSA 1024-bits et 2048-bits. La section suivante explique comment utiliser easy-rsa OpenVPN pour générer les certificats et les clés de serveur et de client, puis puis charge les certificats dans ACM à l'aide de laAWS Command Line Interface (AWS CLI).

Pour créer les certificats clients

  1. Suivez ces étapes rapides pour créer et télécharger les certificats vers ACM via l'AWS CLIauthentification et l'autorisation du client : authentification mutuelle.

  2. Au cours de ces étapes, vous devez spécifier la mêmeAWS région qu'un environnement Amazon MWAA dans laAWS CLI commande lorsque vous chargez vos certificats de serveur et de client. Voici quelques exemples de la manière de spécifier la région dans ces commandes :

    1. Exemple région pour le certificat de serveur
      aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt --region us-west-2
    2. Exemple région pour le certificat de client
      aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt --region us-west-2

    3. Après ces étapes, enregistrez la valeur renvoyée dans laAWS CLI réponse pour les ARN du certificat serveur et du certificat client. Vous allez spécifier ces ARN dans votreAWS CloudFormation modèle pour créer le Client VPN.

  3. Au cours de ces étapes, un certificat client et une clé privée sont enregistrés sur votre ordinateur. Voici un exemple de l'endroit où trouver ces informations d'identification :

    1. Exemple sur macOS

      Sur macOS, le contenu est enregistré dans/Users/youruser/custom_folder. Si vous listez tout le contenu (ls -a) de ce répertoire, vous devriez voir quelque chose de similaire à ce qui suit :

      .
..
ca.crt
client1.domain.tld.crt
client1.domain.tld.key
server.crt
server.key

    2. Après ces étapes, enregistrez le contenu ou notez l'emplacement du certificat client et de la clé privée dansclient1.domain.tld.key.client1.domain.tld.crt Vous allez ajouter ces valeurs au fichier de configuration de votre Client VPN.

Troisième étape : enregistrer leAWS CloudFormation modèle localement

La section suivante contient leAWS CloudFormation modèle pour créer le Client VPN. Vous devez spécifier les mêmes Amazon VPC, les mêmes groupes de sécurité VPC et les mêmes sous-réseaux privés que votre environnement Amazon MWAA.

  • Copiez le contenu du modèle suivant et enregistrez-le sousmwaa_vpn_client.yaml. Vous pouvez également télécharger le modèle.

    Remplacez les valeurs suivantes :

    • YOUR_CLIENT_ROOT_CERTIFICATE_ARN— L'ARN de votre certificat client1.domain.tld dansClientRootCertificateChainArn.

    • YOUR_SERVER_CERTIFICATE_ARN— L'ARN de votre certificat de serveur dansServerCertificateArn.

    • La règle CIDR IPv4 du client dansClientCidrBlock. Une règle CIDR de10.192.0.0/22 est fournie.

    • Votre identifiant Amazon VPC dansVpcId. Un VPC devpc-010101010101 est fourni.

    • Vos identifiants de groupe de sécurité VPC sont dansSecurityGroupIds. Un groupe de sécurité desg-0101010101 est fourni.

    AWSTemplateFormatVersion: 2010-09-09
Description: This template deploys a VPN Client Endpoint.
Resources:
  ClientVpnEndpoint:
    Type: 'AWS::EC2::ClientVpnEndpoint'
    Properties:
      AuthenticationOptions:
        - Type: "certificate-authentication"
          MutualAuthentication:
            ClientRootCertificateChainArn: "YOUR_CLIENT_ROOT_CERTIFICATE_ARN"
      ClientCidrBlock: 10.192.0.0/22
      ClientConnectOptions:
        Enabled: false
      ConnectionLogOptions:
        Enabled: false
      Description: "MWAA Client VPN"
      DnsServers: []
      SecurityGroupIds:
        - sg-0101010101
      SelfServicePortal: ''
      ServerCertificateArn: "YOUR_SERVER_CERTIFICATE_ARN"
      SplitTunnel: true
      TagSpecifications:
        - ResourceType: "client-vpn-endpoint"
          Tags:
          - Key: Name
            Value: MWAA-Client-VPN
      TransportProtocol: udp
      VpcId: vpc-010101010101
      VpnPort: 443
Note

Si vous utilisez plusieurs groupes de sécurité pour votre environnement, vous pouvez spécifier plusieurs groupes de sécurité au format suivant :

SecurityGroupIds:
      - sg-0112233445566778b
      - sg-0223344556677889f

Quatrième étape : créer laAWS CloudFormation pile Client VPN

Pour créer le AWS Client VPN

  1. Ouvrez la console AWS CloudFormation.

  2. Choisissez « Le modèle est prêt », puis « Importez un fichier modèle ».

  3. Choisissez Choisir un fichier, puis sélectionnez votremwaa_vpn_client.yaml fichier.

  5. Choisissez Next, Next.

  6. Sélectionnez l'accusé de réception, puis choisissez Créer une pile.

Étape 5 : associer des sous-réseaux à votre Client VPN

Pour associer des sous-réseaux privés àAWS Client VPN

  1. Ouvrez la console VPC Amazon.

  2. Choisissez la page Client VPN Endpoints.

  3. Sélectionnez votre Client VPN, puis choisissez l'onglet Associations, Associer.

  4. Choisissez les options suivantes dans la liste déroulante :

    • Votre Amazon VPC dans VPC.

    • L'un de vos sous-réseaux privés dans Choisissez un sous-réseau à associer.

  5. Choisissez Associate.

Note

L'association du VPC et le sous-réseau au VPN de client prend plusieurs minutes.

Sixième étape : ajouter une règle d'entrée d'autorisation à votre Client VPN

Vous devez ajouter une règle d'entrée d'autorisation à l'aide de la règle CIDR de votre VPC à votre Client VPN. Si vous souhaitez autoriser des utilisateurs ou des groupes spécifiques à partir de votre groupe Active Directory ou de votre fournisseur d'identité (IdP) basé sur SAML, consultez les règles d'autorisation dans le guide du Client VPN.

Pour ajouter le CIDR auAWS Client VPN

  1. Ouvrez la console VPC Amazon.

  2. Choisissez la page Client VPN Endpoints.

  3. Sélectionnez votre Client VPN, puis choisissez l'onglet Autorisation, Autoriser l'entrée.

  4. Spécifiez les paramètres suivants :

    • La règle CIDR de votre Amazon VPC dans le réseau de destination doit être activée. Par exemple :

      10.192.0.0/16

    • Choisissez Autoriser l'accès à tous les utilisateurs dans Accorder l'accès à.

    • Saisissez un nom descriptif dans Description.

  5. Choisissez Ajouter une règle d'autorisation.

Note

En fonction des composants réseau de votre Amazon VPC, vous devrez peut-être également intégrer cette règle d'autorisation à votre liste de contrôle d'accès réseau (NACL).

Étape 7 : Télécharger le fichier de configuration du point de terminaison Client VPN

Pour télécharger le fichier de configuration :

  1. Suivez ces étapes rapides pour télécharger le fichier de configuration du Client VPN sur Télécharger le fichier de configuration du point de terminaison Client VPN.

  2. Au cours de ces étapes, vous êtes invité à ajouter une chaîne au nom DNS de votre point de terminaison Client VPN. Voici un exemple:

    1. Exemple nom DNS du point de terminaison

      Si le nom DNS de votre point de terminaison Client VPN ressemble à ceci :

      remote cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443

      Vous pouvez ajouter une chaîne pour identifier le point de terminaison de votre Client VPN comme suit :

      remote mwaavpn.cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443

  3. Au cours de ces étapes, il vous est demandé d'ajouter le contenu du certificat de client entre un nouvel ensemble de<cert></cert> balises et le contenu de la clé privée entre un nouvel ensemble de<key></key> balises. Voici un exemple:

    1. Ouvrez une invite de commande et modifiez les répertoires en fonction de l'emplacement de votre certificat client et de votre clé privée.

    2. Exemple macOS Client1.domain.tld.crt

      Pour afficher le contenu duclient1.domain.tld.crt fichier sur macOS, vous pouvez utilisercat client1.domain.tld.crt.

      Copiez la valeur depuis le terminal et collez-ladownloaded-client-config.ovpn comme ceci :

      ZZZ1111dddaBBB
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.crt
-----END CERTIFICATE-----                
</cert>
    3. Exemple macOS Client1.domain.tld.key

      Pour afficher le contenu duclient1.domain.tld.key, vous pouvez utilisercat client1.domain.tld.key.

      Copiez la valeur depuis le terminal et collez-ladownloaded-client-config.ovpn comme ceci :

      ZZZ1111dddaBBB
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.crt
-----END CERTIFICATE-----                
</cert>
<key>
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.key
-----END CERTIFICATE-----                
</key>

Huitième étape : Connect auAWS Client VPN

Le formulaire de clientAWS Client VPN est fourni gratuitement. Vous pouvez y connecter votre ordinateur directementAWS Client VPN pour une expérience VPN de bout en bout.

Pour vous connecter au Client VPN

  1. Téléchargez et installez le AWS Client VPNpour ordinateur de bureau.

  2. Ouvrez la AWS Client VPN.

  3. Choisissez Fichier, Profils gérés dans le menu du client VPN.

  4. Choisissez Ajouter un profil, puis choisissez ledownloaded-client-config.ovpn.

  5. Entrez un nom descriptif dans Nom d'affichage.

  6. Choisissez Ajouter un profil, Terminé.

  7. Sélectionnez Connect (Connexion).

Une fois connecté au Client VPN, vous devez vous déconnecter des autres VPN pour consulter les ressources de votre Amazon VPC.

Note

Il se peut que vous deviez quitter le client et recommencer avant de pouvoir vous connecter.

Quelle est la prochaine étape ?

  • Apprenez à créer un environnement Amazon MWAA dansDémarrez avec Amazon Managed Workflows for Apache Airflow. Vous devez créer un environnement dans la mêmeAWS région que le Client VPN et utiliser le même VPC, les mêmes sous-réseaux privés et le même groupe de sécurité que le Client VPN.