Tarification Réseau privé et routage privé Points de terminaison VPC (obligatoires)Connexion des points de terminaison VPC requis (Facultatif) Activez les adresses IP privées pour le point de terminaison de votre interface Amazon S3 VPC

Création des points de terminaison de service VPC requis dans un Amazon VPC avec routage privé

Un réseau Amazon VPC existant sans accès à Internet a besoin de points de terminaison de service VPC supplémentaires (AWS PrivateLink) pour utiliser Apache Airflow sur Amazon Managed Workflows pour Apache Airflow. Cette page décrit les points de terminaison VPC requis pour les AWS services utilisés par Amazon MWAA, les points de terminaison VPC requis pour Apache Airflow et comment créer et associer les points de terminaison VPC à un Amazon VPC existant avec un routage privé.

Table des matières

Tarification

AWS PrivateLink Tarification

Réseau privé et routage privé

Cette image montre l'architecture d'un environnement Amazon MWAA avec un serveur Web privé.

Le mode d'accès au réseau privé limite l'accès à l'interface utilisateur d'Apache Airflow aux utilisateurs de votre Amazon VPC qui ont obtenu l'accès à la politique IAM de votre environnement.

Lorsque vous créez un environnement avec accès à un serveur Web privé, vous devez empaqueter toutes vos dépendances dans une archive Python Wheel (.whl), puis y faire référence .whl dans votrerequirements.txt. Pour obtenir des instructions sur l'empaquetage et l'installation de vos dépendances à l'aide de wheel, consultez la section Gestion des dépendances à l'aide de Python Wheel.

L'image suivante montre où trouver l'option Réseau privé sur la console Amazon MWAA.

Cette image montre où trouver l'option Réseau privé sur la console Amazon MWAA.

Routage privé. Un Amazon VPC sans accès à Internet limite le trafic réseau au sein du VPC. Cette page suppose que votre Amazon VPC n'a pas accès à Internet et nécessite des points de terminaison VPC pour chaque AWS service utilisé par votre environnement, ainsi que des points de terminaison VPC pour Apache Airflow dans la même région et Amazon VPC que votre environnement AWS Amazon MWAA.

Points de terminaison VPC (obligatoires)

La section suivante indique les points de terminaison VPC requis pour un Amazon VPC sans accès à Internet. Il répertorie les points de terminaison VPC pour chaque AWS service utilisé par Amazon MWAA, y compris les points de terminaison VPC nécessaires à Apache Airflow.


com.amazonaws.YOUR_REGION.s3
com.amazonaws.YOUR_REGION.monitoring
com.amazonaws.YOUR_REGION.ecr.dkr
com.amazonaws.YOUR_REGION.ecr.api
com.amazonaws.YOUR_REGION.logs
com.amazonaws.YOUR_REGION.sqs
com.amazonaws.YOUR_REGION.kms
com.amazonaws.YOUR_REGION.airflow.api
com.amazonaws.YOUR_REGION.airflow.env
com.amazonaws.YOUR_REGION.airflow.ops

Connexion des points de terminaison VPC requis

Cette section décrit les étapes à suivre pour associer les points de terminaison VPC requis pour un Amazon VPC avec routage privé.

Points de terminaison VPC requis pour les services AWS

La section suivante décrit les étapes à suivre pour associer les points de terminaison VPC pour les AWS services utilisés par un environnement à un Amazon VPC existant.

Pour associer des points de terminaison VPC à vos sous-réseaux privés

Ouvrez la page Endpoints sur la console Amazon VPC.
Utilisez le sélecteur de AWS région pour sélectionner votre région.
Créez le point de terminaison pour Amazon S3 :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.s3, puis appuyez sur la touche Entrée de votre clavier.
3. Nous vous recommandons de choisir le point de terminaison de service répertorié pour le type de passerelle.
  
  Par exemple, com.amazonaws.us-west-2.s3 amazon Gateway
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que le DNS privé est activé en sélectionnant Activer le nom DNS.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.
Créez le premier point de terminaison pour Amazon ECR :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.ecr.dkr, puis appuyez sur la touche Entrée de votre clavier.
3. Sélectionnez le point de terminaison du service.
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que l'option Activer le nom DNS est activée.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.
Créez le deuxième point de terminaison pour Amazon ECR :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.ecr.api, puis appuyez sur la touche Entrée de votre clavier.
3. Sélectionnez le point de terminaison du service.
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que l'option Activer le nom DNS est activée.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.
Créez le point de terminaison pour CloudWatch les journaux :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.logs, puis appuyez sur la touche Entrée de votre clavier.
3. Sélectionnez le point de terminaison du service.
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que l'option Activer le nom DNS est activée.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.
Créez le point de terminaison pour CloudWatch la surveillance :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.monitoring, puis appuyez sur la touche Entrée de votre clavier.
3. Sélectionnez le point de terminaison du service.
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que l'option Activer le nom DNS est activée.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.
Créez le point de terminaison pour Amazon SQS :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.sqs, puis appuyez sur la touche Entrée de votre clavier.
3. Sélectionnez le point de terminaison du service.
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que l'option Activer le nom DNS est activée.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.
Créez le point de terminaison pour AWS KMS :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.kms, puis appuyez sur la touche Entrée de votre clavier.
3. Sélectionnez le point de terminaison du service.
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que l'option Activer le nom DNS est activée.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.

Points de terminaison VPC requis pour Apache Airflow

La section suivante décrit les étapes à suivre pour associer les points de terminaison VPC pour Apache Airflow à un Amazon VPC existant.

Pour associer des points de terminaison VPC à vos sous-réseaux privés

Ouvrez la page Endpoints sur la console Amazon VPC.
Utilisez le sélecteur de AWS région pour sélectionner votre région.
Créez le point de terminaison pour l'API Apache Airflow :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.airflow.api, puis appuyez sur la touche Entrée de votre clavier.
3. Sélectionnez le point de terminaison du service.
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que l'option Activer le nom DNS est activée.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.
Créez le premier point de terminaison pour l'environnement Apache Airflow :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.airflow.env, puis appuyez sur la touche Entrée de votre clavier.
3. Sélectionnez le point de terminaison du service.
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que l'option Activer le nom DNS est activée.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.
Créez le deuxième point de terminaison pour les opérations Apache Airflow :
1. Choisissez Créer un point de terminaison.
2. Dans le champ de texte Filtrer par attributs ou rechercher par mot clé, tapez :.airflow.ops, puis appuyez sur la touche Entrée de votre clavier.
3. Sélectionnez le point de terminaison du service.
4. Choisissez Amazon VPC dans VPC de votre environnement.
5. Assurez-vous que vos deux sous-réseaux privés situés dans des zones de disponibilité différentes sont sélectionnés et que l'option Activer le nom DNS est activée.
6. Choisissez le ou les groupes de sécurité Amazon VPC de votre environnement.
7. Choisissez Accès complet dans la politique.
8. Choisissez Créer un point de terminaison.

(Facultatif) Activez les adresses IP privées pour le point de terminaison de votre interface Amazon S3 VPC

Les points de terminaison de l'interface Amazon S3 ne prennent pas en charge le DNS privé. Les demandes du point de terminaison S3 sont toujours résolues vers une adresse IP publique. Pour transformer l'adresse S3 en adresse IP privée, vous devez ajouter une zone hébergée privée dans Route 53 pour le point de terminaison régional S3.

Utilisation de la Route 53

Cette section décrit les étapes à suivre pour activer les adresses IP privées pour un point de terminaison de l'interface S3 à l'aide de la Route 53.

Créez une zone hébergée privée pour le point de terminaison de votre interface Amazon S3 VPC (tel que s3.eu-west-1.amazonaws.com) et associez-la à votre Amazon VPC.
Créez un enregistrement ALIAS A pour votre point de terminaison d'interface VPC Amazon S3 (tel que s3.eu-west-1.amazonaws.com) qui correspond au nom DNS de votre point de terminaison d'interface VPC.
Créez un enregistrement générique ALIAS A pour le point de terminaison de votre interface Amazon S3 (tel que, *. s3.eu-west-1.amazonaws.com) qui correspond au nom DNS du point de terminaison de l'interface VPC.

VPC avec DNS personnalisé

Si votre Amazon VPC utilise un routage DNS personnalisé, vous devez apporter les modifications dans votre résolveur DNS (et non dans Route 53, généralement une instance EC2 exécutant un serveur DNS) en créant un enregistrement CNAME. Par exemple :


Name: s3.us-west-2.amazonaws.com
Type: CNAME
Value:  *.vpce-0f67d23e37648915c-e2q2e2j3.s3.us-west-2.vpce.amazonaws.com

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion de l'accès aux points de terminaison VPC

Gestion de vos propres points de terminaison Amazon VPC