Amazon MWAA でのネットワーキングについて

Amazon VPC は、 AWS アカウントにリンクされた仮想ネットワークです。仮想インフラストラクチャとネットワークトラフィックのセグメンテーションをきめ細かく制御できるため、クラウドセキュリティと動的なスケーリングが可能になります。このページでは、Apache Airflow 環境の Amazon マネージドワークフローをサポートするために必要な、パブリックルーティングまたはプライベートルーティングを使用する Amazon VPC インフラストラクチャについて説明します。

目次

• 規約
• サポート対象
• VPC インフラストラクチャの概要
  • インターネット経由のパブリックルーティング
  • インターネットにアクセスできないプライベートルーティング
• Amazon VPC と Apache エアフローアクセスモードのユースケース例
  • インターネットアクセスが許可されている-新しい Amazon VPC ネットワーク
  • インターネットアクセスは許可されていません-新しい Amazon VPC ネットワーク
  • インターネットアクセスは許可されていません-既存の Amazon VPC ネットワーク

規約

パブリックルーティング

インターネットにアクセスできる Amazon VPC ネットワーク。

プライベート・ルーティング

インターネットにアクセスできない Amazon VPC ネットワーク。

サポート対象

次の表では、Amazon MWAA がサポートする Amazon VPC の種類について説明しています。

Amazon VPC タイプ	サポート
環境を作成しようとしているアカウントが所有する Amazon VPC。	はい
複数の AWS アカウントが AWS リソースを作成する共有 Amazon VPC。	はい

VPC インフラストラクチャの概要

Amazon MWAA 環境を作成すると、Amazon MWAA は、お客様が環境に合わせて選択した Apache Airflow アクセスモードに基づいて、お客様の環境用に 1 つから 2 つの VPC エンドポイントを作成します。これらのエンドポイントは、Amazon VPC 内の Elastic Network Interfaces (ENI) とプライベート IP アドレスで表されます。これらのエンドポイントが作成されると、これらの IPs 宛てのトラフィックは、環境で使用される対応する AWS サービスにプライベートまたはパブリックにルーティングされます。

次のセクションでは、トラフィックをインターネット経由でパブリックに、または Amazon VPC 内でプライベートにルーティングするために必要な Amazon VPC インフラストラクチャについて説明します。

インターネット経由のパブリックルーティング

このセクションでは、パブリックルーティングを使用する環境の Amazon VPC インフラストラクチャについて説明します。次の VPC インフラストラクチャが必要です。

• 「1 つのVPCセキュリティグループ」。VPCセキュリティ・グループは仮想ファイアウォールとして機能し、インスタンスのイングレス（受信）とイグレス（送信）のネットワーク・トラフィックを制御します。

  • 最大 5 つのセキュリティグループを指定できます。

  • セキュリティグループは、自己参照型のインバウンドルールをセキュリティグループ自身に指定する必要があります。

  • セキュリティグループはすべてのトラフィックのアウトバウンドルール (0.0.0.0/0) を指定する必要があります。

  • セキュリティグループは、自己参照ルールに含まれるすべてのトラフィックを許可する必要があります。例えば (推奨) 全アクセス自己参照型セキュリティグループの例 です。

  • セキュリティグループは、オプションでトラフィックをさらに制限することができ、HTTPSポートレンジ443とTCPポートレンジ5432を指定してポート範囲を設定できます。例えば、(オプション)ポート5432 へのインバウンド・アクセスを制限するセキュリティグループの例 と (オプション)ポート443へのインバウンド・アクセスを制限するセキュリティ・グループの例 です。

• 2 つのパブリックサブネット。パブリックサブネットは、インターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられているサブネットです。

  • 2 つのパブリックサブネットが必要です。これにより、Amazon MWAA は、一方のコンテナに障害が発生した場合に、もう一方のアベイラビリティーゾーンでお客様の環境用の新しいコンテナイメージを構築できます。

  • サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1a や us-east-1b などです。

  • サブネットは Elastic IP アドレス (EIP) を使用して NAT ゲートウェイ (または NAT インスタンス) にルーティングする必要があります。

  • サブネットは、インターネット行きのトラフィックをインターネットゲートウェイに誘導するルートテーブルを持つ必要があります。

• 2 つのプライベートサブネット。プライベート・サブネットとは、インターネットゲートウェイへのルートを持つルート・テーブルと関連付けられて「いない」サブネットのことです。

  • 2 つのプライベートサブネットが必要です。これにより、Amazon MWAA は、一方のコンテナに障害が発生した場合に、もう一方のアベイラビリティーゾーンでお客様の環境用の新しいコンテナイメージを構築できます。

  • サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1a や us-east-1b などです。

  • サブネットには NAT デバイス (ゲートウェイまたはインスタンス)へのルートテーブルが 必要です。

  • サブネットは、インターネットゲートウェイにルーティングしては「ならない」です。

• 「ネットワークアクセス制御リスト（ACL）」。NACL は、サブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックを (許可または拒否ルールを使用して) 管理します。

  • NACL には、すべてのトラフィックを許可するインバウンドルール (0.0.0.0/0) が必要です。

  • NACL には、すべてのトラフィックを拒否するアウトバウンドルール (0.0.0.0/0) が必要です。

  • 例えば (推奨) ACL の例 です。

• 2 つの NAT ゲートウェイ (または NAT インスタンス)。NAT デバイスは、プライベートサブネットのインスタンスからインターネットまたは他の AWS サービスにトラフィックを転送し、応答をインスタンスにルーティングします。

  • NAT デバイスはパブリックサブネットに接続する必要があります。(パブリックサブネットごとに 1 つの NAT デバイス)

  • NAT デバイスには、各パブリックサブネットに Elastic IPv4 アドレス (EIP) がアタッチされている必要があります。

• 「一つのインターネットゲートウェイ」。インターネットゲートウェイは、Amazon VPC をインターネットおよびその他の AWS サービスに接続します。

  • インターネットゲートウェイが Amazon VPC に接続されていなければならなりません。

インターネットにアクセスできないプライベートルーティング

このセクションでは、プライベートルーティングを使用する環境の Amazon VPC インフラストラクチャについて説明します。次の VPC インフラストラクチャが必要です。

• 「1 つのVPCセキュリティグループ」。VPCセキュリティ・グループは仮想ファイアウォールとして機能し、インスタンスのイングレス（受信）とイグレス（送信）のネットワーク・トラフィックを制御します。

  • 最大 5 つのセキュリティグループを指定できます。

  • セキュリティグループは、自己参照型のインバウンドルールをセキュリティグループ自身に指定する必要があります。

  • セキュリティグループはすべてのトラフィックのアウトバウンドルール (0.0.0.0/0) を指定する必要があります。

  • セキュリティグループは、自己参照ルールに含まれるすべてのトラフィックを許可する必要があります。例えば (推奨) 全アクセス自己参照型セキュリティグループの例 です。

  • セキュリティグループは、オプションでトラフィックをさらに制限することができ、HTTPSポートレンジ443とTCPポートレンジ5432を指定してポート範囲を設定できます。例えば、(オプション)ポート5432 へのインバウンド・アクセスを制限するセキュリティグループの例 と (オプション)ポート443へのインバウンド・アクセスを制限するセキュリティ・グループの例 です。

• 2 つのプライベートサブネット。プライベート・サブネットとは、インターネットゲートウェイへのルートを持つルート・テーブルと関連付けられて「いない」サブネットのことです。

  • 2 つのプライベートサブネットが必要です。これにより、Amazon MWAA は、一方のコンテナに障害が発生した場合に、もう一方のアベイラビリティーゾーンでお客様の環境用の新しいコンテナイメージを構築できます。

  • サブネットは異なるアベイラビリティゾーンになければなりません。例えば、us-east-1a や us-east-1b などです。

  • サブネットには VPC エンドポイントへのルートテーブルが必要です。

  • サブネットには NAT デバイス (ゲートウェイまたはインスタンス) へのルートテーブルやインターネットゲートウェイがあってはなりません。

• 「ネットワークアクセス制御リスト（ACL）」。NACL は、サブネットレベルでインバウンドトラフィックとアウトバウンドトラフィックを (許可または拒否ルールを使用して) 管理します。

  • NACL には、すべてのトラフィックを許可するインバウンドルール (0.0.0.0/0) が必要です。

  • NACL には、すべてのトラフィックを拒否するアウトバウンドルール (0.0.0.0/0) が必要です。

  • 例えば (推奨) ACL の例 です。

• ローカルルートテーブル。ローカル・ルート・テーブルは、VPC 内の通信のためのデフォルト・ルートです。

  • ローカルルートテーブルはプライベートサブネットに関連付けられている必要があります。

  • ローカルルートテーブルを使用して、VPC 内のインスタンスが自ネットワークと通信できるようにする必要があります。例えば、 を使用して Apache Airflow ウェブサーバー の VPC インターフェイスエンドポイント AWS Client VPN にアクセスする場合、ルートテーブルは VPC エンドポイントにルーティングする必要があります。

• 環境で使用される各 AWS サービスの VPC エンドポイント、および Amazon MWAA 環境と同じ AWS リージョンと Amazon VPC 内の Apache Airflow VPC エンドポイント。

  • 環境で使用される各 AWS サービスの VPC エンドポイントと Apache Airflow の VPC エンドポイント。例えば (必須) VPC エンドポイント です。

  • VPC エンドポイントではプライベート DNS が有効になっている必要があります。

  • VPC エンドポイントは、環境の 2 つのプライベートサブネットに関連付けられている必要があります。

  • VPC エンドポイントは、環境のセキュリティグループに関連付けられている必要があります。

  • 各エンドポイントの VPC エンドポイントポリシーは、環境で使用される AWS サービスへのアクセスを許可するように設定する必要があります。例えば (推奨) すべてのアクセスを許可する VPC エンドポイントポリシーの例 です。

  • Amazon S3 用の VPC エンドポイントポリシーは、バケットアクセスを許可するように設定する必要があります。例えば (推奨) バケットアクセスを許可する Amazon S3 ゲートウェイエンドポイントポリシーの例 です。

Amazon VPC と Apache エアフローアクセスモードのユースケース例

このセクションでは、Amazon VPC でのネットワークアクセスのさまざまなユースケースと、Amazon MWAA コンソールで選択すべき Apache Airflow ウェブサーバーアクセスモードについて説明します。

インターネットアクセスが許可されている-新しい Amazon VPC ネットワーク

VPC 内のインターネットアクセスが組織で許可されており、ユーザーがインターネット経由で Apache Airflow ウェブサーバーにアクセスできるようにしたい場合:

1. インターネットにアクセスできる Amazon VPC ネットワークを作成します。

2. Apache Airflow ウェブサーバー用のパブリックネットワークアクセスモードの環境を作成します。

3. 推奨される内容: Amazon VPC インフラストラクチャ、Amazon S3 バケット、Amazon MWAA 環境を同時に作成する AWS CloudFormation クイックスタートテンプレートを使用することをお勧めします。詳細については、「Amazon Managed Workflows for Apache Airflow のクイックスタートチュートリアル」を参照してください。

VPC 内のインターネットアクセスが組織で許可されており、Apache Airflow ウェブサーバーへのアクセスを VPC 内のユーザーに制限したい場合:

1. インターネットにアクセスできる Amazon VPC ネットワークを作成します。

2. Apache Airflow ウェブサーバーの VPC インターフェースエンドポイントにコンピューターからアクセスするメカニズムを作成します。

3. Apache Airflow ウェブサーバー用のプライベートネットワークアクセスモードの環境を作成します。

4. 推奨事項:

   1. の Amazon MWAA コンソールオプション 1: Amazon MWAA コンソールで VPC ネットワークを作成する、または の AWS CloudFormation テンプレートを使用することをお勧めしますオプション 2: インターネットにアクセス可能な Amazon VPC ネットワークの作成。

   2. を使用して、 の Apache Airflow ウェブサーバー AWS Client VPN へのアクセスを設定することをお勧めしますチュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定。

インターネットアクセスは許可されていません-新しい Amazon VPC ネットワーク

VPC 内のインターネットアクセスが組織によって許可されていない場合:

1. インターネットにアクセスせずに Amazon VPC ネットワークを作成します。

2. Apache Airflow ウェブサーバーの VPC インターフェースエンドポイントにコンピューターからアクセスするメカニズムを作成します。

3. 環境で使用される AWS サービスごとに VPC エンドポイントを作成します。

4. Apache Airflow ウェブサーバー用のプライベートネットワークアクセスモードの環境を作成します。

5. 推奨事項:

   1. AWS CloudFormation テンプレートを使用して、インターネットアクセスのない Amazon VPC と、 で Amazon MWAA が使用する各 AWS サービスの VPC エンドポイントを作成することをお勧めしますオプション 3: インターネットにアクセスせずに Amazon VPC ネットワークを作成する。

   2. を使用して、 の Apache Airflow ウェブサーバー AWS Client VPN へのアクセスを設定することをお勧めしますチュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定。

インターネットアクセスは許可されていません-既存の Amazon VPC ネットワーク

もし組織があなたのVPCでのインターネットアクセスを許可していない場合、かつ既に必要なAmazon VPCネットワークがインターネットアクセスなしに設定されている場合:

1. 環境で使用される AWS サービスごとに VPC エンドポイントを作成します。

2. Apache エアフロー用の VPC エンドポイントを作成します。

3. Apache Airflow ウェブサーバーの VPC インターフェースエンドポイントにコンピューターからアクセスするメカニズムを作成します。

4. Apache Airflow ウェブサーバー用のプライベートネットワークアクセスモードの環境を作成します。

5. 推奨事項:

   1. Amazon MWAA で使用される各 AWS サービスに必要な VPC エンドポイントと、 の Apache Airflow に必要な VPC エンドポイントを作成してアタッチすることをお勧めしますAmazon VPC に必要な VPC サービスエンドポイントをプライベートルーティングで作成する。

   2. を使用して、 の Apache Airflow ウェブサーバー AWS Client VPN へのアクセスを設定することをお勧めしますチュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定。