Amazon MWAA でのネットワーキングについて

Amazon VPC は、AWSアカウント. これにより、仮想インフラストラクチャとネットワークトラフィックのセグメンテーションをきめ細かく制御できるため、クラウドセキュリティと動的に拡張できます。このページでは、使用する Amazon VPC インフラストラクチャについて説明します。パブリックルーティングまたはプライベートルーティングAmazon Managed Workflows for Apache Airflow (MWAA) 環境をサポートするために必要です。

目次

• 規約
• サポートされているのは何ですか
• VPC インフラストラクチャの概要
  • インターネット経由のパブリックルーティング
  • インターネットにアクセスできないプライベートルーティング
• Amazon VPC および Apache Airflow アクセスモードの使用例
  • インターネットアクセスが許可されている-新しい Amazon VPC ネットワーク
  • インターネットアクセスは許可されていません-新しい Amazon VPC ネットワーク
  • インターネットアクセスは許可されていません-既存の Amazon VPC ネットワーク

規約

パブリックルーティング

インターネットにアクセスできる Amazon VPC ネットワーク。

プライベートルーティング

Amazon VPC ネットワークなしインターネットへのアクセス。

サポートされているのは何ですか

次の表では、Amazon MWAA がサポートしている Amazon VPC のタイプについて説明しています。

Amazon VPC タイプ	サポート対象
環境を作成しようとしているアカウントによって所有されている Amazon VPC。	はい
複数の Amazon VPC を共有するAWSアカウントは、自分のアカウントを作成するAWSリソースの使用料金を見積もることができます。	いいえ

VPC インフラストラクチャの概要

Amazon MWAA 環境を作成すると、Amazon MWAA は、環境用に選択した Apache Airflow アクセスモードに基づいて、環境の 1 ～ 2 つの VPC エンドポイントの間に作成します。これらのエンドポイントは、Amazon VPC 内のプライベート IP を持つ Elastic Network Interfaces（ENI）として表示されます。これらのエンドポイントが作成されると、これらの IP 宛てのトラフィックは、プライベートまたはパブリックにルーティングされます。AWS環境で使用されるサービス。

以下のセクションでは、トラフィックをパブリックにルーティングするために必要なAmazon VPC インフラストラクチャについて説明します。インターネット経由で、またはプライベートAmazon VPC 内。

インターネット経由のパブリックルーティング

このセクションでは、パブリックルーティングを使用する環境の Amazon VPC インフラストラクチャについて説明します。次の VPC インフラストラクチャが必要です。

• 1 つの VPC セキュリティグループ。VPC セキュリティグループは、仮想ファイアウォールとして機能し、インスタンスでの入力（インバウンド）ネットワークトラフィックと出力（アウトバウンド）ネットワークトラフィックを制御します。

  • 最大 5 つのセキュリティグループを指定できます。

  • セキュリティグループは、自己参照インバウンドルール自体を指定する必要があります。

  • セキュリティグループは、すべてのトラフィックに対してアウトバウンドルールを指定する必要があります（0.0.0.0/0).

  • セキュリティグループは、自己参照ルール内のすべてのトラフィックを許可する必要があります。例えば、(推奨) 全アクセス自己参照セキュリティグループの例 。

  • セキュリティグループは次の操作を実行できます。必要に応じてHTTPS ポート範囲のポート範囲を指定して、トラフィックをさらに制限する443および TCP ポート範囲5432。たとえば、(オプション) インバウンドアクセスをポート 5432 に制限するセキュリティグループの例 と (オプション) 受信アクセスをポート 443 に制限するセキュリティグループの例 です。

• 2 つのパブリックサブネット。パブリックサブネットは、インターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられているサブネットです。

  • 2 つのパブリックサブネットが必要です。これにより、Amazon MWAA は、1 つのコンテナで障害が発生した場合に、他のアベイラビリティーゾーンに環境用の新しいコンテナイメージを構築できます。

  • サブネットは、異なるアベイラビリティーゾーンに存在している必要があります。たとえば、us-east-1a や us-east-1b などです。

  • サブネットは、Elastic IP アドレス（EIP）を使用して NAT ゲートウェイ（または NAT インスタンス）にルーティングする必要があります。

  • サブネットには、インターネットバウンドトラフィックをインターネットゲートウェイに転送するルートテーブルが必要です。

• 2 つのプライベートサブネット。プライベートサブネットは、じゃないインターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられています。

  • 2 つのプライベートサブネットが必要です。これにより、Amazon MWAA は、1 つのコンテナで障害が発生した場合に、他のアベイラビリティーゾーンに環境用の新しいコンテナイメージを構築できます。

  • サブネットは、異なるアベイラビリティーゾーンに存在している必要があります。たとえば、us-east-1a や us-east-1b などです。

  • サブネットしなければならないNAT デバイス（ゲートウェイまたはインスタンス）へのルートテーブルを用意する。

  • サブネットあってはいけないインターネットゲートウェイへのルート。

• ネットワークアクセスコントロールリスト (ACL)。NACL は、サブネットレベルでインバウンドとアウトバウンドのトラフィックを（許可ルールまたは拒否ルールによって）管理します。

  • NACL には、すべてのトラフィックを許可するインバウンドルールが必要です（0.0.0.0/0).

  • NACL には、すべてのトラフィックを拒否するアウトバウンドルールが必要です（0.0.0.0/0).

  • 例えば、(推奨) ACL の例。

• 2 つの NAT ゲートウェイ（または NAT インスタンス）。NAT デバイスは、プライベートサブネットのインスタンスからインターネットまたは他のインスタンスへのトラフィックを転送します。AWSサービスを実行し、はそのレスポンスをインスタンスに返送します。

  • NAT デバイスは、パブリックサブネットに接続する必要があります。パブリックサブネットごとに 1 つの NAT デバイス。)

  • NAT デバイスには、各パブリックサブネットに Elastic IPv4 アドレス (EIP) がアタッチされている必要があります。

• インターネットゲートウェイ。インターネットゲートウェイは、Amazon VPC をインターネットおよびその他に接続します。AWSのサービス。

  • インターネットゲートウェイは Amazon VPC にアタッチされている必要があります。

インターネットにアクセスできないプライベートルーティング

このセクションでは、環境の Amazon VPC インフラストラクチャについて説明します。プライベートルーティング。次の VPC インフラストラクチャが必要です。

• 1 つの VPC セキュリティグループ。VPC セキュリティグループは、仮想ファイアウォールとして機能し、インスタンスでの入力（インバウンド）ネットワークトラフィックと出力（アウトバウンド）ネットワークトラフィックを制御します。

  • 最大 5 つのセキュリティグループを指定できます。

  • セキュリティグループは、自己参照インバウンドルール自体を指定する必要があります。

  • セキュリティグループは、すべてのトラフィックに対してアウトバウンドルールを指定する必要があります（0.0.0.0/0).

  • セキュリティグループは、自己参照ルール内のすべてのトラフィックを許可する必要があります。例えば、(推奨) 全アクセス自己参照セキュリティグループの例 。

  • セキュリティグループは次の操作を実行できます。必要に応じてHTTPS ポート範囲のポート範囲を指定して、トラフィックをさらに制限する443および TCP ポート範囲5432。たとえば、(オプション) インバウンドアクセスをポート 5432 に制限するセキュリティグループの例 と (オプション) 受信アクセスをポート 443 に制限するセキュリティグループの例 です。

• 2 つのプライベートサブネット。プライベートサブネットは、じゃないインターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられています。

  • 2 つのプライベートサブネットが必要です。これにより、Amazon MWAA は、1 つのコンテナで障害が発生した場合に、他のアベイラビリティーゾーンに環境用の新しいコンテナイメージを構築できます。

  • サブネットは、異なるアベイラビリティーゾーンに存在している必要があります。たとえば、us-east-1a や us-east-1b などです。

  • サブネットには VPC エンドポイントへのルートテーブルが必要です。

  • サブネットではいけないNAT デバイス（ゲートウェイまたはインスタンス）へのルートテーブルを用意し、またインターネットゲートウェイ。

• ネットワークアクセスコントロールリスト (ACL)。NACL は、サブネットレベルでインバウンドとアウトバウンドのトラフィックを（許可ルールまたは拒否ルールによって）管理します。

  • NACL には、すべてのトラフィックを許可するインバウンドルールが必要です（0.0.0.0/0).

  • NACL には、すべてのトラフィックを拒否するアウトバウンドルールが必要です（0.0.0.0/0).

  • 例えば、(推奨) ACL の例。

• ローカルルートテーブル。ローカルルートテーブルは、VPC 内の通信のデフォルトルートです。

  • ローカルルートテーブルは、プライベートサブネットに関連付けられている必要があります。

  • ローカルルートテーブルは、VPC 内のインスタンスが自ネットワークと通信できるようにしている必要があります。たとえば、AWS Client VPNApache Airflow の VPC インターフェイスエンドポイントにアクセスするにはウェブサーバーの場合、ルートテーブルは VPC エンドポイントにルーティングする必要があります。

• VPC エンドポイントごとにAWS環境で使用されるサービスと Apache Airflow VPC エンドポイントが同じ環境で使用されているAWSAmazon MWAA 環境としてのリージョンと Amazon VPC。

  • 各 VPC エンドポイントAWSApache Airflow の環境および VPC エンドポイントで使用されるサービス。例えば、(必須) VPC エンドポイント。

  • VPC エンドポイントでは、プライベート DNS が有効になっている必要があります。

  • VPC エンドポイントは、環境の 2 つのプライベートサブネットに関連付けられている必要があります。

  • VPC エンドポイントは、環境のセキュリティグループに関連付けられている必要があります。

  • 各エンドポイントの VPC エンドポイントポリシーは、へのアクセスを許可するように設定する必要があります。AWS環境で使用されるサービス。例えば、(推奨) すべてのアクセスを許可する VPC エンドポイントポリシーの例。

  • Amazon S3 の VPC エンドポイントポリシーは、バケットアクセスを許可するように設定されている必要があります。例えば、(推奨) バケットアクセスを許可する Amazon S3 ゲートウェイエンドポイントポリシーの例。

Amazon VPC および Apache Airflow アクセスモードの使用例

このセクションでは、Amazon VPC および Apache Airflow でのネットワークアクセスのさまざまなユースケースについて説明します。ウェブサーバーアクセスモードは Amazon MWAA コンソールで選択する必要があります。

インターネットアクセスが許可されている-新しい Amazon VPC ネットワーク

VPC 内のインターネットアクセスが組織によって許可されている場合、そしてユーザーに Apache Airflow にアクセスしてもらいたいウェブサーバーインターネット経由で:

1. Amazon VPC ネットワークを作成するインターネットアクセス。

2. を使用して環境を作成するパブリックネットワークApache エアフローのアクセスモードウェブサーバー。

3. 推奨内容: を使用することをお勧めします。AWS CloudFormationAmazon VPC インフラストラクチャ、Amazon S3 バケット、および Amazon MWAA 環境を同時に作成するクイックスタートテンプレート。詳細については、Amazon Managed Workflows for Apache Airflow (MWAA) のクイックスタートチュートリアル を参照してください。

VPC 内のインターネットアクセスが組織によって許可されている場合、そしてApache エアフローを制限したいウェブサーバーVPC 内のユーザーへのアクセス:

1. Amazon VPC ネットワークを作成するインターネットアクセス。

2. Apache Airflow の VPC インターフェイスエンドポイントにアクセスするメカニズムを作成します。ウェブサーバーコンピューターから。

3. を使用して環境を作成するプライベートネットワークApache エアフローのアクセスモードウェブサーバー。

4. 推奨内容:

   1. の Amazon MWAA コンソールを使用することをお勧めします。オプション1: Amazon MWAA コンソールで VPC ネットワークを作成する、またはAWS CloudFormationのテンプレートオプション 2: Amazon VPC ネットワークを作成するとインターネットアクセス。

   2. を使用してアクセスを設定することをお勧めします。AWS Client VPNあなたのApacheエアフローにウェブサーバーにチュートリアル: を使用してプライベートネットワークアクセスを設定するAWS Client VPN。

インターネットアクセスは許可されていません-新しい Amazon VPC ネットワーク

VPC のインターネットアクセスが許可されていませんお客様の組織別:

1. Amazon VPC ネットワークを作成するインターネットへのアクセスなし。

2. Apache Airflow の VPC インターフェイスエンドポイントにアクセスするメカニズムを作成します。ウェブサーバーコンピューターから。

3. 各 VPC エンドポイントを作成するAWS環境で使用されるサービス。

4. を使用して環境を作成するプライベートネットワークApache エアフローのアクセスモードウェブサーバー。

5. 推奨内容:

   1. を使用することをお勧めします。AWS CloudFormationインターネットにアクセスできない Amazon VPC とそれぞれの VPC エンドポイントを作成するためのテンプレートAWSAmazon MWAA がで使っているサービスオプション3: Amazon VPC ネットワークを作成するなしインターネットアクセス。

   2. を使用してアクセスを設定することをお勧めします。AWS Client VPNあなたのApacheエアフローにウェブサーバーにチュートリアル: を使用してプライベートネットワークアクセスを設定するAWS Client VPN。

インターネットアクセスは許可されていません-既存の Amazon VPC ネットワーク

VPC のインターネットアクセスが許可されていませんお客様の組織によってそして必要な Amazon VPC ネットワークがすでにありますインターネットへのアクセスなし:

1. 各 VPC エンドポイントを作成するAWS環境で使用されるサービス。

2. Apache AirFlow 用の VPC エンドポイントを作成する.

3. Apache Airflow の VPC インターフェイスエンドポイントにアクセスするメカニズムを作成します。ウェブサーバーコンピューターから。

4. を使用して環境を作成するプライベートネットワークApache エアフローのアクセスモードウェブサーバー。

5. 推奨内容:

   1. それぞれに必要な VPC エンドポイントを作成してアタッチすることをお勧めします。AWSAmazon MWAA で使用されるサービス、および Apache Airflow に必要な VPC エンドポイント必要な VPC サービスエンドポイントをプライベートルーティングで Amazon VPC に作成する。

   2. を使用してアクセスを設定することをお勧めします。AWS Client VPNあなたのApacheエアフローにウェブサーバーにチュートリアル: を使用してプライベートネットワークアクセスを設定するAWS Client VPN。