Gestione dell'accesso agli endpoint Amazon VPC specifici del servizio su Amazon MWAA

Un endpoint VPC (AWS PrivateLink) ti consente di connettere privatamente il tuo VPC ai servizi ospitati su AWS senza richiedere un gateway Internet, un dispositivo NAT, una VPN o proxy firewall. Questi endpoint sono dispositivi virtuali scalabili orizzontalmente e ad alta disponibilità che consentono la comunicazione tra le istanze del tuo VPC e i servizi. AWS Questa pagina descrive gli endpoint VPC creati da Amazon MWAA e come accedere all'endpoint VPC per il tuo server Web Apache Airflow se hai scelto la modalità di accesso alla rete privata su Amazon Managed Workflows for Apache Airflow.

Indice

• Prezzi
• Panoramica degli endpoint VPC
  • Modalità di accesso alla rete pubblica
  • Modalità di accesso alla rete privata
• Autorizzazione all'uso di altri servizi AWS
• Visualizzazione degli endpoint VPC
  • Visualizzazione degli endpoint VPC sulla console Amazon VPC
  • Identificazione degli indirizzi IP privati del server Web Apache Airflow e del relativo endpoint VPC
• Accesso all'endpoint VPC per il server Web Apache Airflow (accesso alla rete privata)
  • Utilizzando un AWS Client VPN
  • Utilizzo di un host Linux Bastion
  • Utilizzo di un Load Balancer (avanzato)

Prezzi

• AWS PrivateLink Prezzi

Panoramica degli endpoint VPC

Quando crei un ambiente Amazon MWAA, Amazon MWAA crea da uno a due endpoint VPC per il tuo ambiente. Questi endpoint appaiono come Interfacce di rete elastiche (ENI) con IP privati nel tuo Amazon VPC. Dopo la creazione di questi endpoint, tutto il traffico destinato a questi IP viene instradato privatamente o pubblicamente ai servizi corrispondenti utilizzati dal tuo ambiente. AWS

Modalità di accesso alla rete pubblica

Se si sceglie la modalità di accesso alla rete pubblica per il server Web Apache Airflow, il traffico di rete viene instradato pubblicamente su Internet.

• Amazon MWAA crea un endpoint di interfaccia VPC per il tuo database di metadati Amazon Aurora PostgreSQL. L'endpoint viene creato nelle zone di disponibilità mappate alle sottoreti private ed è indipendente dagli altri account. AWS

• Amazon MWAA associa quindi un indirizzo IP dalle sottoreti private agli endpoint dell'interfaccia. Questo è progettato per supportare la best practice di associare un singolo IP da ogni zona di disponibilità di Amazon VPC.

Modalità di accesso alla rete privata

Se hai scelto la modalità di accesso alla rete privata per il tuo server Web Apache Airflow, il traffico di rete viene instradato privatamente all'interno del tuo Amazon VPC.

• Amazon MWAA crea un endpoint di interfaccia VPC per il server Web Apache Airflow e un endpoint di interfaccia per il database di metadati PostgreSQL di Amazon Aurora. Gli endpoint vengono creati nelle zone di disponibilità mappate alle sottoreti private e sono indipendenti dagli altri account. AWS

• Amazon MWAA associa quindi un indirizzo IP dalle sottoreti private agli endpoint dell'interfaccia. Questo è progettato per supportare la best practice di associare un singolo IP da ogni zona di disponibilità di Amazon VPC.

Autorizzazione all'uso di altri servizi AWS

Gli endpoint dell'interfaccia utilizzano il ruolo di esecuzione per l'ambiente in AWS Identity and Access Management (IAM) per gestire le autorizzazioni alle AWS risorse utilizzate dall'ambiente. Man mano che vengono abilitati più AWS servizi per un ambiente, ogni servizio richiederà di configurare l'autorizzazione utilizzando il ruolo di esecuzione dell'ambiente. Per aggiungere autorizzazioni, consultaRuolo di MWAA esecuzione di Amazon.

Se hai scelto la modalità di accesso alla rete privata per il tuo server Web Apache Airflow, devi anche consentire l'autorizzazione nella politica degli endpoint VPC per ogni endpoint. Per ulteriori informazioni, consulta VPCpolitiche degli endpoint (solo routing privato).

Visualizzazione degli endpoint VPC

Questa sezione descrive come visualizzare gli endpoint VPC creati da Amazon MWAA e come identificare gli indirizzi IP privati per il tuo endpoint VPC Apache Airflow.

Visualizzazione degli endpoint VPC sulla console Amazon VPC

La sezione seguente mostra i passaggi per visualizzare gli endpoint VPC creati da Amazon MWAA e tutti gli endpoint VPC che potresti aver creato se utilizzi il routing privato per Amazon VPC.

Per visualizzare gli endpoint VPC

1. Apri la pagina Endpoints sulla console Amazon VPC.

2. Usa il selettore AWS della regione per selezionare la tua regione.

3. Dovresti vedere gli endpoint dell'interfaccia VPC creati da Amazon MWAA e tutti gli endpoint VPC che potresti aver creato se utilizzi il routing privato nel tuo Amazon VPC.

Per ulteriori informazioni sugli endpoint del servizio VPC necessari per un Amazon VPC con routing privato, consulta. Creazione degli endpoint VPC di servizio richiesti in un Amazon VPC con routing privato

Identificazione degli indirizzi IP privati del server Web Apache Airflow e del relativo endpoint VPC

I passaggi seguenti descrivono come recuperare il nome host del server Web Apache Airflow e il relativo endpoint di interfaccia VPC e i relativi indirizzi IP privati.

1. Utilizzate il seguente comando AWS Command Line Interface (AWS CLI) per recuperare il nome host del vostro server Web Apache Airflow.

   aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME --query 'Environment.WebserverUrl'

   Dovreste vedere qualcosa di simile alla seguente risposta:

   "99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com"

2. Esegui un comando dig sul nome host restituito nella risposta del comando precedente. Per esempio:

   dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com

   Dovresti vedere qualcosa di simile alla seguente risposta:

   vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

3. Usa il seguente comando AWS Command Line Interface (AWS CLI) per recuperare il nome DNS dell'endpoint VPC restituito nella risposta del comando precedente. Per esempio:

   aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

   Dovresti vedere qualcosa di simile alla seguente risposta:

   "DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com",

4. Esegui un comando nslookup o dig sul nome host di Apache Airflow e sul nome DNS dell'endpoint VPC per recuperare gli indirizzi IP. Per esempio:

   dig +short YOUR_AIRFLOW_HOST_NAME YOUR_AIRFLOW_VPC_ENDPOINT_DNS

   Dovresti vedere qualcosa di simile alla seguente risposta:

   192.0.5.1
     192.0.6.1

Accesso all'endpoint VPC per il server Web Apache Airflow (accesso alla rete privata)

Se hai scelto la modalità di accesso alla rete privata per il tuo server Web Apache Airflow, dovrai creare un meccanismo per accedere all'endpoint dell'interfaccia VPC per il tuo server Web Apache Airflow. È necessario utilizzare lo stesso Amazon VPC, lo stesso gruppo di sicurezza VPC e le stesse sottoreti private dell'ambiente Amazon MWAA per queste risorse.

Utilizzando un AWS Client VPN

AWS Client VPN è un servizio VPN gestito basato su client che consente di accedere in modo sicuro alle AWS risorse e alle risorse della rete locale. Fornisce una connessione TLS sicura da qualsiasi posizione utilizzando il client OpenVPN.

Ti consigliamo di seguire il tutorial di Amazon MWAA per configurare un Client VPN:. Tutorial: Configurazione dell'accesso alla rete privata utilizzando unAWS Client VPN

Utilizzo di un host Linux Bastion

Un bastion host è un server il cui scopo è fornire l'accesso a una rete privata da una rete esterna, ad esempio tramite Internet dal computer. Le istanze Linux si trovano in una sottorete pubblica e sono configurate con un gruppo di sicurezza che consente l'accesso SSH dal gruppo di sicurezza collegato all'istanza Amazon EC2 sottostante che esegue l'host bastion.

Ti consigliamo di seguire il tutorial di Amazon MWAA per configurare un host Linux Bastion:. Tutorial: configurazione dell'accesso alla rete privata utilizzando un host Linux Bastion

Utilizzo di un Load Balancer (avanzato)

La sezione seguente mostra le configurazioni da applicare a un Application Load Balancer.

1. Gruppi target. Dovrai utilizzare gruppi target che puntano agli indirizzi IP privati del tuo server Web Apache Airflow e del relativo endpoint di interfaccia VPC. Ti consigliamo di specificare entrambi gli indirizzi IP privati come destinazioni registrate, poiché utilizzarne solo uno può ridurre la disponibilità. Per ulteriori informazioni su come identificare gli indirizzi IP privati, vedereIdentificazione degli indirizzi IP privati del server Web Apache Airflow e del relativo endpoint VPC.

2. Codici di stato. Ti consigliamo di utilizzare 200 i codici di 302 stato nelle impostazioni del gruppo target. In caso contrario, le destinazioni potrebbero essere contrassegnate come non integre se l'endpoint VPC per il server Web Apache Airflow risponde con un errore. 302 Redirect

3. Listener HTTPS. È necessario specificare la porta di destinazione per il server Web Apache Airflow. Per esempio:

   Protocollo	Porta
   HTTPS	443

4. Nuovo dominio ACM. Se desideri associare un certificato SSL/TLS a AWS Certificate Manager, dovrai creare un nuovo dominio per il listener HTTPS per il tuo sistema di bilanciamento del carico.

5. Regione del certificato ACM. Se desideri associare un certificato SSL/TLS a AWS Certificate Manager, dovrai caricarlo nella stessa AWS regione del tuo ambiente. Per esempio:

   1. Esempio regione in cui caricare il certificato

      aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem --region us-west-2