Amazon でのネットワークについて MWAA

Amazon VPCは、 AWS アカウントにリンクされた仮想ネットワークです。仮想インフラストラクチャとネットワークトラフィックのセグメンテーションをきめ細かく制御できるため、クラウドセキュリティと動的なスケーリングが可能になります。このページでは、Amazon Managed Workflows for Apache Airflow 環境をサポートするために必要なパブリックルーティングまたはプライベートルーティングを備えた Amazon VPCインフラストラクチャについて説明します。

目次

• 用語
• サポート対象
• VPC インフラストラクチャの概要
  • インターネット経由のパブリックルーティング
  • インターネットにアクセスできないプライベートルーティング
• Amazon VPCおよび Apache Airflow アクセスモードのユースケースの例
  • インターネットアクセスが許可されている - 新しい Amazon VPCネットワーク
  • インターネットアクセスは許可されていません - 新しい Amazon VPCネットワーク
  • インターネットアクセスは許可されていません - 既存の Amazon VPCネットワーク

用語

パブリックルーティング

インターネットにアクセスできる Amazon VPCネットワーク。

プライベート・ルーティング

インターネットにアクセスできない Amazon VPCネットワーク。

サポート対象

次の表に、VPCsAmazon がMWAAサポートする Amazon のタイプを示します。

Amazon VPC タイプ	サポート
環境を作成しようとしているアカウントVPCが所有する Amazon。	あり
複数の AWS アカウントVPCが AWS リソースを作成する共有 Amazon。	あり

VPC インフラストラクチャの概要

Amazon MWAA環境を作成すると、Amazon MWAAは、環境用に選択した Apache Airflow アクセスモードに基づいて、環境のVPCエンドポイントを 1～2 つ作成します。これらのエンドポイントは、Amazon IPsにプライベート を持つ Elastic Network Interface (ENIs) として表示されますVPC。これらのエンドポイントが作成されると、これらのエンドポイント宛てのトラフィックIPsは、環境で使用される対応する AWS サービスにプライベートまたはパブリックにルーティングされます。

次のセクションでは、インターネット経由でパブリックに、または Amazon 内でプライベートにトラフィックをルーティングするために必要な Amazon VPCインフラストラクチャについて説明します。 VPC

インターネット経由のパブリックルーティング

このセクションでは、パブリックルーティングを使用する環境の Amazon VPCインフラストラクチャについて説明します。次のVPCインフラストラクチャが必要です。

• 1 つのVPCセキュリティグループ 。VPC セキュリティグループは、インスタンスのイングレス (インバウンド) およびエグレス (アウトバウンド) ネットワークトラフィックを制御する仮想ファイアウォールとして機能します。

  • 最大 5 つのセキュリティグループを指定できます。

  • セキュリティグループは、自己参照型のインバウンドルールをセキュリティグループ自身に指定する必要があります。

  • セキュリティグループはすべてのトラフィックのアウトバウンドルール (0.0.0.0/0) を指定する必要があります。

  • セキュリティグループは、自己参照ルールに含まれるすべてのトラフィックを許可する必要があります。例えば、(推奨) 全アクセス自己参照型セキュリティグループの例 と指定します。

  • セキュリティグループは、オプションで、ポート範囲 443とポート範囲 TCP のHTTPSポート範囲を指定することで、トラフィックをさらに制限できます5432。例えば、(オプション)ポート5432 へのインバウンド・アクセスを制限するセキュリティグループの例 と (オプション)ポート443へのインバウンド・アクセスを制限するセキュリティ・グループの例 です。

• 2 つのパブリックサブネット。パブリックサブネットは、インターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられているサブネットです。

  • 2 つのパブリックサブネットが必要です。これにより、1 つのコンテナに障害が発生した場合MWAA、Amazon は他のアベイラビリティーゾーンの環境用の新しいコンテナイメージを構築できます。

  • サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1a や us-east-1b などです。

  • サブネットは、Elastic IP アドレス () を使用してNATゲートウェイ (またはNATインスタンス) にルーティングする必要がありますEIP。

  • サブネットは、インターネット行きのトラフィックをインターネットゲートウェイに誘導するルートテーブルを持つ必要があります。

• 2 つのプライベートサブネット。プライベート・サブネットとは、インターネットゲートウェイへのルートを持つルート・テーブルと関連付けられていないサブネットのことです。

  • 2 つのプライベートサブネットが必要です。これにより、1 つのコンテナに障害が発生した場合MWAA、Amazon は他のアベイラビリティーゾーンの環境用の新しいコンテナイメージを構築できます。

  • サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1a や us-east-1b などです。

  • サブネットには、NATデバイス (ゲートウェイまたはインスタンス) へのルートテーブルが必要です。

  • サブネットは、インターネットゲートウェイにルーティングしてはならないです。

• ネットワークアクセスコントロールリスト (ACL）。は (許可または拒否ルールによって) サブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックNACLを管理します。

  • には、すべてのトラフィック () を許可するインバウンドルールNACLが必要です0.0.0.0/0。

  • には、すべてのトラフィック () を許可するアウトバウンドルールNACLが必要です0.0.0.0/0。

  • 例えば、(推奨) ACL の例 と指定します。

• 2 つのNATゲートウェイ (またはNATインスタンス）。NAT デバイスは、プライベートサブネット内のインスタンスからインターネットまたは他の AWS サービスにトラフィックを転送し、レスポンスをインスタンスにルーティングします。

  • NAT デバイスはパブリックサブネットにアタッチする必要があります。（パブリックサブネットごとに 1 つのNATデバイス）。

  • NAT デバイスには、各パブリックサブネットに Elastic IPv4 Address (EIP) がアタッチされている必要があります。

• 一つのインターネットゲートウェイ。インターネットゲートウェイは、Amazon VPCをインターネットやその他の AWS サービスに接続します。

  • インターネットゲートウェイを Amazon にアタッチする必要がありますVPC。

インターネットにアクセスできないプライベートルーティング

このセクションでは、プライベートルーティング を使用する環境の Amazon VPCインフラストラクチャについて説明します。次のVPCインフラストラクチャが必要です。

• 1 つのVPCセキュリティグループ 。VPC セキュリティグループは、インスタンスのイングレス (インバウンド) およびエグレス (アウトバウンド) ネットワークトラフィックを制御する仮想ファイアウォールとして機能します。

  • 最大 5 つのセキュリティグループを指定できます。

  • セキュリティグループは、自己参照型のインバウンドルールをセキュリティグループ自身に指定する必要があります。

  • セキュリティグループはすべてのトラフィックのアウトバウンドルール (0.0.0.0/0) を指定する必要があります。

  • セキュリティグループは、自己参照ルールに含まれるすべてのトラフィックを許可する必要があります。例えば、(推奨) 全アクセス自己参照型セキュリティグループの例 と指定します。

  • セキュリティグループは、オプションで、ポート範囲 443とポート範囲 TCP のHTTPSポート範囲を指定することで、トラフィックをさらに制限できます5432。例えば、(オプション)ポート5432 へのインバウンド・アクセスを制限するセキュリティグループの例 と (オプション)ポート443へのインバウンド・アクセスを制限するセキュリティ・グループの例 です。

• 2 つのプライベートサブネット。プライベート・サブネットとは、インターネットゲートウェイへのルートを持つルート・テーブルと関連付けられていないサブネットのことです。

  • 2 つのプライベートサブネットが必要です。これにより、1 つのコンテナに障害が発生した場合MWAA、Amazon は他のアベイラビリティーゾーンの環境用の新しいコンテナイメージを構築できます。

  • サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1a や us-east-1b などです。

  • サブネットには、VPCエンドポイントへのルートテーブルが必要です。

  • サブネットには、NATデバイス (ゲートウェイまたはインスタンス) へのルートテーブルやインターネットゲートウェイがあってはなりません。

• ネットワークアクセスコントロールリスト (ACL）。は (許可または拒否ルールによって) サブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックNACLを管理します。

  • には、すべてのトラフィック () を許可するインバウンドルールNACLが必要です0.0.0.0/0。

  • には、すべてのトラフィックを拒否するアウトバウンドルール () NACLが必要です0.0.0.0/0。

  • 例えば、(推奨) ACL の例 と指定します。

• ローカルルートテーブル。ローカルルートテーブルは、 内での通信のデフォルトルートですVPC。

  • ローカルルートテーブルはプライベートサブネットに関連付けられている必要があります。

  • ローカルルートテーブルでは、 内のインスタンスVPCが独自のネットワークと通信できるようにする必要があります。例えば、 を使用して Apache Airflow ウェブサーバー のVPCインターフェイスエンドポイント AWS Client VPN にアクセスする場合、ルートテーブルはVPCエンドポイントにルーティングする必要があります。

• 環境で使用される各 AWS サービスの VPCエンドポイント、および VPC Amazon MWAA環境と同じ AWS リージョンと Amazon の Apache Airflow VPCエンドポイント。

  • Apache Airflow の環境とVPCエンドポイントで使用される各 AWS サービスのVPCエンドポイント。例えば、（必須) VPCエンドポイント と指定します。

  • VPC エンドポイントでは、プライベートDNSが有効になっている必要があります。

  • VPC エンドポイントは、環境の 2 つのプライベートサブネットに関連付ける必要があります。

  • VPC エンドポイントは、環境のセキュリティグループに関連付ける必要があります。

  • 各VPCエンドポイントのエンドポイントポリシーは、環境で使用される AWS サービスへのアクセスを許可するように設定する必要があります。例えば、(推奨) すべてのアクセスを許可する VPC エンドポイントポリシーの例 と指定します。

  • Amazon S3 のVPCエンドポイントポリシーは、バケットアクセスを許可するように設定する必要があります。例えば、(推奨) バケットアクセスを許可する Amazon S3 ゲートウェイエンドポイントポリシーの例 と指定します。

Amazon VPCおよび Apache Airflow アクセスモードのユースケースの例

このセクションでは、Amazon でのネットワークアクセスのさまざまなユースケースVPCと、Amazon MWAAコンソールで選択する必要がある Apache Airflow ウェブサーバーアクセスモードについて説明します。

インターネットアクセスが許可されている - 新しい Amazon VPCネットワーク

のインターネットアクセスVPCが組織で許可されており、ユーザーがインターネット経由で Apache Airflow ウェブサーバーにアクセスできるようにする場合：

1. インターネットアクセスを使用して Amazon VPCネットワークを作成します。

2. Apache Airflow ウェブサーバー用のパブリックネットワークアクセスモードの環境を作成します。

3. 推奨されるもの: Amazon VPCインフラストラクチャ、Amazon S3 バケット、Amazon MWAA環境を同時に作成する AWS CloudFormation クイックスタートテンプレートを使用することをお勧めします。詳細については、「Amazon Managed Workflows for Apache Airflow のクイックスタートチュートリアル」を参照してください。

のインターネットアクセスVPCが組織で許可されており、Apache Airflow ウェブサーバーへのアクセスを 内のユーザーに制限する場合VPC：

1. インターネットアクセスを使用して Amazon VPCネットワークを作成します。

2. コンピュータから Apache Airflow ウェブサーバーのVPCインターフェイスエンドポイントにアクセスするメカニズムを作成します。

3. Apache Airflow ウェブサーバー用のプライベートネットワークアクセスモードの環境を作成します。

4. 推奨事項:

   1. で Amazon MWAAコンソールを使用するかオプション 1: Amazon MWAAコンソールでVPCネットワークを作成する、 で AWS CloudFormation テンプレートを使用することをお勧めしますオプション 2: インターネットにアクセスできる Amazon VPCネットワークの作成。

   2. で Apache Airflow ウェブサーバー AWS Client VPN へのアクセスを を使用して設定することをお勧めしますチュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定。

インターネットアクセスは許可されていません - 新しい Amazon VPCネットワーク

組織で のインターネットアクセスVPCが許可されていない場合：

1. インターネットにアクセスせずに Amazon VPCネットワークを作成します。

2. コンピュータから Apache Airflow ウェブサーバーのVPCインターフェイスエンドポイントにアクセスするメカニズムを作成します。

3. 環境で使用される AWS サービスごとにVPCエンドポイントを作成します。

4. Apache Airflow ウェブサーバー用のプライベートネットワークアクセスモードの環境を作成します。

5. 推奨事項:

   1. AWS CloudFormation テンプレートを使用して、インターネットアクセスVPCのない Amazon と、 MWAAで Amazon が使用する各 AWS サービスのVPCエンドポイントを作成することをお勧めしますオプション 3: インターネットにアクセスせずに Amazon VPCネットワークを作成する。

   2. で Apache Airflow ウェブサーバー AWS Client VPN へのアクセスを を使用して設定することをお勧めしますチュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定。

インターネットアクセスは許可されていません - 既存の Amazon VPCネットワーク

のインターネットアクセスVPCが組織で許可されておらず、インターネットアクセスのない必要な Amazon VPCネットワークが既にある場合：

1. 環境で使用される AWS サービスごとにVPCエンドポイントを作成します。

2. Apache Airflow のVPCエンドポイントを作成します。

3. コンピュータから Apache Airflow ウェブサーバーのVPCインターフェイスエンドポイントにアクセスするメカニズムを作成します。

4. Apache Airflow ウェブサーバー用のプライベートネットワークアクセスモードの環境を作成します。

5. 推奨事項:

   1. Amazon で使用される各 AWS サービスに必要なVPCエンドポイントとMWAA、 の Apache Airflow に必要なVPCエンドポイントを作成してアタッチすることをお勧めしますプライベートルーティングVPCを使用して Amazon で必要なVPCサービスエンドポイントを作成する。

   2. で Apache Airflow ウェブサーバー AWS Client VPN へのアクセスを を使用して設定することをお勧めしますチュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定。