Mengelola akses ke titik akhir VPC Amazon khusus layanan di Amazon MWAA - Amazon Managed Workflows for Apache Airflow (MWAA)
HargaIkhtisar titik akhir VPCIzin untuk menggunakan AWS layanan lainMelihat titik akhir VPCMengakses titik akhir VPC untuk server Web Apache Airflow Anda (akses jaringan pribadi)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola akses ke titik akhir VPC Amazon khusus layanan di Amazon MWAA

Titik akhir VPC (AWS PrivateLink) memungkinkan Anda menghubungkan VPC Anda secara pribadi ke layanan yang di-host AWS tanpa memerlukan gateway Internet, perangkat NAT, VPN, atau proxy firewall. Titik akhir ini adalah perangkat virtual yang dapat diskalakan secara horizontal dan sangat tersedia yang memungkinkan komunikasi antara instance di VPC dan layanan Anda. AWS Halaman ini menjelaskan titik akhir VPC yang dibuat oleh Amazon MWAA, dan cara mengakses titik akhir VPC untuk server Web Apache Airflow Anda jika Anda memilih mode akses jaringan pribadi di Alur Kerja Terkelola Amazon untuk Apache Airflow.

Harga

Ikhtisar titik akhir VPC

Saat Anda membuat lingkungan Amazon MWAA, Amazon MWAA membuat antara satu hingga dua titik akhir VPC untuk lingkungan Anda. Titik akhir ini muncul sebagai Elastic Network Interfaces (ENI) dengan IP pribadi di VPC Amazon Anda. Setelah titik akhir ini dibuat, lalu lintas apa pun yang ditujukan ke IP ini dialihkan secara pribadi atau publik ke layanan terkait AWS yang digunakan oleh lingkungan Anda.

Mode akses jaringan publik

Jika Anda memilih mode akses jaringan Publik untuk server Web Apache Airflow Anda, lalu lintas jaringan dirutekan secara publik melalui Internet.

  • Amazon MWAA membuat titik akhir antarmuka VPC untuk database metadata Amazon Aurora PostgreSQL Anda. Titik akhir dibuat di Availability Zones yang dipetakan ke subnet pribadi Anda dan independen dari akun lain. AWS

  • Amazon MWAA kemudian mengikat alamat IP dari subnet pribadi Anda ke titik akhir antarmuka. Ini dirancang untuk mendukung praktik terbaik mengikat satu IP dari setiap Availability Zone dari VPC Amazon.

Mode akses jaringan pribadi

Jika Anda memilih mode akses jaringan pribadi untuk server Web Apache Airflow Anda, lalu lintas jaringan dirutekan secara pribadi dalam VPC Amazon Anda.

  • Amazon MWAA membuat titik akhir antarmuka VPC untuk server Web Apache Airflow Anda, dan titik akhir antarmuka untuk basis data metadata Amazon Aurora PostgreSQL Anda. Titik akhir dibuat di Availability Zones yang dipetakan ke subnet pribadi Anda dan independen dari akun lain. AWS

  • Amazon MWAA kemudian mengikat alamat IP dari subnet pribadi Anda ke titik akhir antarmuka. Ini dirancang untuk mendukung praktik terbaik mengikat satu IP dari setiap Availability Zone dari VPC Amazon.

Izin untuk menggunakan AWS layanan lain

Titik akhir antarmuka menggunakan peran eksekusi untuk lingkungan Anda di AWS Identity and Access Management (IAM) untuk mengelola izin ke AWS sumber daya yang digunakan oleh lingkungan Anda. Karena lebih banyak AWS layanan diaktifkan untuk lingkungan, setiap layanan akan meminta Anda untuk mengonfigurasi izin menggunakan peran eksekusi lingkungan Anda. Untuk menambahkan izin, lihatPeran eksekusi Amazon MWAA.

Jika Anda telah memilih mode akses jaringan pribadi untuk server Web Apache Airflow Anda, Anda juga harus mengizinkan izin dalam kebijakan titik akhir VPC untuk setiap titik akhir. Untuk mempelajari selengkapnya, lihat Kebijakan titik akhir VPC (hanya perutean pribadi).

Melihat titik akhir VPC

Bagian ini menjelaskan cara melihat titik akhir VPC yang dibuat oleh Amazon MWAA, dan cara mengidentifikasi alamat IP pribadi untuk titik akhir VPC Apache Airflow Anda.

Melihat titik akhir VPC di konsol VPC Amazon

Bagian berikut menunjukkan langkah-langkah untuk melihat titik akhir VPC yang dibuat oleh Amazon MWAA, dan titik akhir VPC apa pun yang mungkin telah Anda buat jika Anda menggunakan perutean pribadi untuk VPC Amazon Anda.

Untuk melihat titik akhir VPC

  1. Buka halaman Endpoints di konsol VPC Amazon.

  2. Gunakan pemilih AWS Wilayah untuk memilih wilayah Anda.

  3. Anda akan melihat titik akhir antarmuka VPC yang dibuat oleh Amazon MWAA, dan titik akhir VPC apa pun yang mungkin telah Anda buat jika Anda menggunakan perutean pribadi di VPC Amazon Anda.

Untuk mempelajari lebih lanjut tentang titik akhir layanan VPC yang diperlukan untuk VPC Amazon dengan perutean pribadi, lihat. Membuat titik akhir layanan VPC yang diperlukan di VPC Amazon dengan perutean pribadi

Mengidentifikasi alamat IP pribadi server Web Apache Airflow Anda dan titik akhir VPC-nya

Langkah-langkah berikut menjelaskan cara mengambil nama host server Web Apache Airflow Anda dan titik akhir antarmuka VPC-nya, dan alamat IP pribadinya.

  1. Gunakan perintah berikut AWS Command Line Interface (AWS CLI) untuk mengambil nama host untuk server Web Apache Airflow Anda.

    aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME --query 'Environment.WebserverUrl'

    Anda akan melihat sesuatu yang mirip dengan respons berikut:

    "99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com"

  2. Jalankan perintah dig pada nama host yang dikembalikan sebagai respons dari perintah sebelumnya. Sebagai contoh:

    dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com

    Anda akan melihat sesuatu yang mirip dengan respons berikut:

    vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

  3. Gunakan perintah berikut AWS Command Line Interface (AWS CLI) untuk mengambil nama DNS titik akhir VPC yang dikembalikan sebagai respons dari perintah sebelumnya. Sebagai contoh:

    aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

    Anda akan melihat sesuatu yang mirip dengan respons berikut:

    "DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com",

  4. Jalankan perintah nslookup atau dig pada nama host Apache Airflow Anda dan nama DNS titik akhir VPC-nya untuk mengambil alamat IP. Sebagai contoh:

    dig +short YOUR_AIRFLOW_HOST_NAME YOUR_AIRFLOW_VPC_ENDPOINT_DNS

    Anda akan melihat sesuatu yang mirip dengan respons berikut:

    192.0.5.1
  192.0.6.1

Mengakses titik akhir VPC untuk server Web Apache Airflow Anda (akses jaringan pribadi)

Jika Anda telah memilih mode akses jaringan pribadi untuk server Web Apache Airflow Anda, Anda harus membuat mekanisme untuk mengakses titik akhir antarmuka VPC untuk server Web Apache Airflow Anda. Anda harus menggunakan VPC Amazon, grup keamanan VPC, dan subnet pribadi yang sama dengan lingkungan Amazon MWAA Anda untuk sumber daya ini.

Menggunakan sebuah AWS Client VPN

AWS Client VPN adalah layanan VPN berbasis klien terkelola yang memungkinkan Anda mengakses AWS sumber daya dan sumber daya dengan aman di jaringan lokal Anda. Ini menyediakan koneksi TLS yang aman dari lokasi mana pun menggunakan klien OpenVPN.

Kami merekomendasikan mengikuti tutorial Amazon MWAA untuk mengonfigurasi Client VPN:. Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakanAWS Client VPN

Menggunakan Linux Bastion Host

Host bastion adalah server yang tujuannya adalah untuk menyediakan akses ke jaringan pribadi dari jaringan eksternal, seperti melalui Internet dari komputer Anda. Instans Linux berada dalam subnet publik, dan mereka diatur dengan grup keamanan yang memungkinkan akses SSH dari grup keamanan yang dilampirkan ke instans Amazon EC2 yang mendasari yang menjalankan host bastion.

Kami merekomendasikan mengikuti tutorial Amazon MWAA untuk mengonfigurasi Linux Bastion Host:. Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakan Linux Bastion Host

Menggunakan Load Balancer (lanjutan)

Bagian berikut menunjukkan konfigurasi yang perlu Anda terapkan ke Application Load Balancer.

  1. Kelompok sasaran. Anda harus menggunakan grup target yang mengarah ke alamat IP pribadi untuk server Web Apache Airflow Anda, dan titik akhir antarmuka VPC-nya. Kami merekomendasikan untuk menentukan kedua alamat IP pribadi sebagai target terdaftar Anda, karena hanya menggunakan satu dapat mengurangi ketersediaan. Untuk informasi selengkapnya tentang cara mengidentifikasi alamat IP pribadi, lihatMengidentifikasi alamat IP pribadi server Web Apache Airflow Anda dan titik akhir VPC-nya.

  2. Kode status. Kami merekomendasikan penggunaan 200 dan kode 302 status dalam pengaturan grup target Anda. Jika tidak, target dapat ditandai sebagai tidak sehat jika titik akhir VPC untuk server Web Apache Airflow merespons dengan kesalahan. 302 Redirect

  3. Pendengar HTTPS. Anda harus menentukan port target untuk server Web Apache Airflow. Sebagai contoh:

    Protokol Port

    HTTPS

    443

  4. ACM domain baru. Jika Anda ingin mengaitkan sertifikat SSL/TLS AWS Certificate Manager, Anda harus membuat domain baru untuk pendengar HTTPS untuk penyeimbang beban Anda.

  5. Wilayah sertifikat ACM. Jika Anda ingin mengaitkan sertifikat SSL/TLS AWS Certificate Manager, Anda harus mengunggah ke AWS Wilayah yang sama dengan lingkungan Anda. Sebagai contoh:

    1. contoh wilayah untuk mengunggah sertifikat
      aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem --region us-west-2