Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion de l'accès aux points de terminaison Amazon VPC spécifiques à un service sur Amazon MWAA
Un point de terminaison VPC (AWS PrivateLink) vous permet de connecter votre VPC en privé à des services hébergés sur celui-ci AWS sans avoir besoin d'une passerelle Internet, d'un périphérique NAT, d'un VPN ou de proxys de pare-feu. Ces points de terminaison sont des périphériques virtuels évolutifs horizontalement et hautement disponibles qui permettent la communication entre les instances de votre VPC AWS et les services. Cette page décrit les points de terminaison VPC créés par Amazon MWAA et explique comment accéder au point de terminaison VPC pour votre serveur Web Apache Airflow si vous avez choisi le mode d'accès au réseau privé sur Amazon Managed Workflows for Apache Airflow.
Table des matières
Tarification
Vue d'ensemble des points de terminaison VPC
Lorsque vous créez un environnement Amazon MWAA, Amazon MWAA crée entre un et deux points de terminaison VPC pour votre environnement. Ces points de terminaison apparaissent sous forme d'interfaces réseau élastiques (ENI) avec des adresses IP privées dans votre Amazon VPC. Une fois ces points de terminaison créés, tout trafic destiné à ces adresses IP est acheminé de manière privée ou publique vers les AWS services correspondants utilisés par votre environnement.
Mode d'accès au réseau public
Si vous avez choisi le mode d'accès au réseau public pour votre serveur Web Apache Airflow, le trafic réseau est routé publiquement sur Internet.
-
Amazon MWAA crée un point de terminaison d'interface VPC pour votre base de données de métadonnées Amazon Aurora PostgreSQL. Le point de terminaison est créé dans les zones de disponibilité mappées à vos sous-réseaux privés et est indépendant des autres AWS comptes.
-
Amazon MWAA lie ensuite une adresse IP de vos sous-réseaux privés aux points de terminaison de l'interface. Ceci est conçu pour soutenir la meilleure pratique qui consiste à lier une adresse IP unique à chaque zone de disponibilité de l'Amazon VPC.
Mode d'accès au réseau privé
Si vous avez choisi le mode d'accès réseau privé pour votre serveur Web Apache Airflow, le trafic réseau est acheminé de manière privée au sein de votre Amazon VPC.
-
Amazon MWAA crée un point de terminaison d'interface VPC pour votre serveur Web Apache Airflow et un point de terminaison d'interface pour votre base de données de métadonnées Amazon Aurora PostgreSQL. Les points de terminaison sont créés dans les zones de disponibilité mappées à vos sous-réseaux privés et sont indépendants des autres comptes. AWS
-
Amazon MWAA lie ensuite une adresse IP de vos sous-réseaux privés aux points de terminaison de l'interface. Ceci est conçu pour soutenir la meilleure pratique qui consiste à lier une adresse IP unique à chaque zone de disponibilité de l'Amazon VPC.
Autorisation d'utiliser d'autres AWS services
Les points de terminaison de l'interface utilisent le rôle d'exécution de votre environnement dans AWS Identity and Access Management (IAM) pour gérer les autorisations d'accès aux AWS ressources utilisées par votre environnement. Au fur et à mesure que de nouveaux AWS services sont activés pour un environnement, chaque service vous demandera de configurer l'autorisation à l'aide du rôle d'exécution de votre environnement. Pour ajouter des autorisations, consultezRôle MWAA d'exécution Amazon.
Si vous avez choisi le mode d'accès au réseau privé pour votre serveur Web Apache Airflow, vous devez également autoriser l'autorisation dans la politique de point de terminaison du VPC pour chaque point de terminaison. Pour en savoir plus, veuillez consulter la section VPCpolitiques relatives aux terminaux (routage privé uniquement).
Affichage des points de terminaison VPC
Cette section explique comment afficher les points de terminaison VPC créés par Amazon MWAA et comment identifier les adresses IP privées de votre point de terminaison VPC Apache Airflow.
Affichage des points de terminaison VPC sur la console Amazon VPC
La section suivante décrit les étapes à suivre pour afficher le ou les points de terminaison VPC créés par Amazon MWAA, ainsi que tous les points de terminaison VPC que vous avez créés si vous utilisez un routage privé pour votre Amazon VPC.
Pour afficher le ou les points de terminaison du VPC
-
Ouvrez la page Endpoints
sur la console Amazon VPC. -
Utilisez le sélecteur de AWS région pour sélectionner votre région.
-
Vous devriez voir le ou les points de terminaison de l'interface VPC créés par Amazon MWAA, ainsi que tous les points de terminaison VPC que vous avez créés si vous utilisez le routage privé dans votre Amazon VPC.
Pour en savoir plus sur les points de terminaison du service VPC requis pour un Amazon VPC avec routage privé, consultez. Création des points de terminaison VPC de service requis dans un Amazon VPC avec un routage privé
Identification des adresses IP privées de votre serveur Web Apache Airflow et de son point de terminaison VPC
Les étapes suivantes décrivent comment récupérer le nom d'hôte de votre serveur Web Apache Airflow et de son point de terminaison d'interface VPC, ainsi que leurs adresses IP privées.
-
Utilisez la commande suivante AWS Command Line Interface (AWS CLI) pour récupérer le nom d'hôte de votre serveur Web Apache Airflow.
aws mwaa get-environment --nameYOUR_ENVIRONMENT_NAME--query 'Environment.WebserverUrl'Vous devriez voir une réponse similaire à la suivante :
"99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com" -
Exécutez une commande dig sur le nom d'hôte renvoyé dans la réponse à la commande précédente. Par exemple :
dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.comVous devriez voir une réponse similaire à la suivante :
vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com. -
Utilisez la commande suivante AWS Command Line Interface (AWS CLI) pour récupérer le nom DNS du point de terminaison VPC renvoyé dans la réponse à la commande précédente. Par exemple :
aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.Vous devriez voir une réponse similaire à la suivante :
"DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com", -
Exécutez une commande nslookup ou dig sur votre nom d'hôte Apache Airflow et le nom DNS de son point de terminaison VPC pour récupérer les adresses IP. Par exemple :
dig +shortYOUR_AIRFLOW_HOST_NAMEYOUR_AIRFLOW_VPC_ENDPOINT_DNSVous devriez voir une réponse similaire à la suivante :
192.0.5.1 192.0.6.1
Accès au point de terminaison VPC de votre serveur Web Apache Airflow (accès réseau privé)
Si vous avez choisi le mode d'accès réseau privé pour votre serveur Web Apache Airflow, vous devez créer un mécanisme pour accéder au point de terminaison de l'interface VPC de votre serveur Web Apache Airflow. Vous devez utiliser le même Amazon VPC, le même groupe de sécurité VPC et les mêmes sous-réseaux privés que votre environnement Amazon MWAA pour ces ressources.
À l'aide d'un AWS Client VPN
AWS Client VPN est un service VPN géré basé sur le client qui vous permet d'accéder en toute sécurité à vos AWS ressources et aux ressources de votre réseau sur site. Il fournit une connexion TLS sécurisée depuis n'importe quel endroit à l'aide du client OpenVPN.
Nous vous recommandons de suivre le didacticiel Amazon MWAA pour configurer un Client VPN :Tutoriel : Configuration de l'accès au réseau privé à l'aide d'unAWS Client VPN.
Utilisation d'un hôte Linux Bastion
Un hôte bastion est un serveur dont le but est de fournir un accès à un réseau privé à partir d'un réseau externe, par exemple via Internet à partir de votre ordinateur. Les instances Linux se trouvent dans un sous-réseau public et sont configurées avec un groupe de sécurité qui autorise l'accès SSH depuis le groupe de sécurité attaché à l'instance Amazon EC2 sous-jacente exécutant l'hôte bastion.
Nous vous recommandons de suivre le didacticiel Amazon MWAA pour configurer un hôte Linux Bastion :. Tutoriel : Configuration de l'accès au réseau privé à l'aide d'un hôte Linux Bastion
Utilisation d'un Load Balancer (avancé)
La section suivante présente les configurations que vous devez appliquer à un Application Load Balancer.
-
Groupes cibles. Vous devez utiliser des groupes cibles qui pointent vers les adresses IP privées de votre serveur Web Apache Airflow et de son point de terminaison d'interface VPC. Nous vous recommandons de spécifier les deux adresses IP privées comme cibles enregistrées, car l'utilisation d'une seule adresse peut réduire la disponibilité. Pour plus d'informations sur la façon d'identifier les adresses IP privées, consultezIdentification des adresses IP privées de votre serveur Web Apache Airflow et de son point de terminaison VPC.
-
Codes de statut. Nous vous recommandons d'utiliser
200des codes302d'état dans les paramètres de votre groupe cible. Dans le cas contraire, les cibles peuvent être signalées comme étant défectueuses si le point de terminaison VPC du serveur Web Apache Airflow répond par une erreur.302 Redirect -
Écouteur HTTPS. Vous devez spécifier le port cible pour le serveur Web Apache Airflow. Par exemple :
Protocole Port HTTPS
443
-
Nouveau domaine ACM. Si vous souhaitez associer un certificat SSL/TLS AWS Certificate Manager, vous devez créer un nouveau domaine pour l'écouteur HTTPS de votre équilibreur de charge.
-
Région du certificat ACM. Si vous souhaitez associer un certificat SSL/TLS AWS Certificate Manager, vous devez le télécharger dans la même AWS région que votre environnement. Par exemple :
-
Exemple région pour télécharger le certificat
aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem--region us-west-2
-
