Amazon MWAA での VPC エンドポイントへのアクセスの管理 - Amazon Managed Workflows for Apache Airflow

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon MWAA での VPC エンドポイントへのアクセスの管理

VPC エンドポイント (AWS PrivateLink) でホストされているサービスに VPC をプライベートに接続できるようになります。AWSインターネットゲートウェイ、NAT デバイス、VPN、またはファイアウォールプロキシを必要としません。これらのエンドポイントは、VPC 内のインスタンス間の通信を可能にする、水平にスケーラブルで可用性の高い仮想デバイスであり、AWSのサービス。このページでは、Amazon MWAA によって作成された VPC エンドポイントと、Apache Airflow の VPC エンドポイントにアクセスする方法について説明します。ウェブサーバーあなたが選んだらプライベートネットワークAmazon Managed Workflows for Apache Airflow (MWAA) にアクセスモード。

料金

VPC エンドポイントの概要

Amazon MWAA 環境を作成すると、Amazon MWAA は環境の 1 ~ 2 つの VPC エンドポイントの間に作成します。これらのエンドポイントは、Amazon VPC 内のプライベート IP を持つ Elastic Network Interfaces(ENI)として表示されます。これらのエンドポイントが作成されると、これらの IP 宛てのトラフィックは、プライベートまたはパブリックにルーティングされます。AWS環境で使用されるサービス。

パブリックネットワークアクセスモード

[] を選択した場合パブリックネットワークApache エアフローのアクセスモードウェブサーバー、ネットワークトラフィックはパブリックにルーティングされますインターネット経由で

  • Amazon MWAA は、Amazon Aurora PostgreSQL メタデータデータベースの VPC インターフェイスエンドポイントを作成します。エンドポイントはプライベートサブネットにマッピングされたアベイラビリティーゾーンに作成され、他のサブネットからは独立しています。AWSアカウント。

  • Amazon MWAA は、プライベートサブネットからインターフェイスエンドポイントに IP アドレスをバインドします。これは、Amazon VPC の各アベイラビリティーゾーンから 1 つの IP をバインドするベストプラクティスをサポートするように設計されています。

プライベートネットワークアクセスモード

[] を選択した場合プライベートネットワークApache エアフローのアクセスモードウェブサーバーの場合、ネットワークトラフィックはプライベートルーティングされますAmazon VPC 内

  • Amazon MWAA は Apache エアフロー用の VPC インターフェイスエンドポイントを作成します。ウェブサーバー、および Amazon Aurora PostgreSQL メタデータデータベースのインターフェイスエンドポイントです。エンドポイントは、プライベートサブネットにマップされたアベイラビリティーゾーン内に作成され、他のサブネットとは独立しています。AWSアカウント。

  • Amazon MWAA は、プライベートサブネットからインターフェイスエンドポイントに IP アドレスをバインドします。これは、Amazon VPC の各アベイラビリティーゾーンから 1 つの IP をバインドするベストプラクティスをサポートするように設計されています。

他を使用する許可AWSサービス

インターフェイスエンドポイントは、の環境に対して実行ロールを使用します。AWS Identity and Access Management(IAM) 権限を管理するにはAWS環境で使用されるリソース。よりAWSサービスが環境に対して有効になっている場合、各サービスでは、環境の実行ロールを使用して権限を設定する必要があります。アクセス権限を追加するには、「」を参照してください。Amazon MWAA 実行ロール

あなたが選んだらプライベートネットワークApache エアフローのアクセスモードウェブサーバーでは、各エンドポイントの VPC エンドポイントポリシーでアクセス権限も許可する必要があります。詳細については、VPC エンドポイントポリシー (プライベートルーティングのみ) を参照してください。

VPC エンドポイントの表示

このセクションでは、Amazon MWAA によって作成された VPC エンドポイントを表示する方法と、Apache Airflow VPC エンドポイントのプライベート IP アドレスを識別する方法について説明します。

Amazon VPC コンソールで VPC エンドポイントを表示する

次のセクションでは、Amazon MWAA によって作成された VPC エンドポイントと、使用している場合に作成した VPC エンドポイントを表示する手順を示します。プライベートルーティングAmazon VPC 用。

VPC エンドポイントを表示するには

  1. を開くエンドポイントページで Amazon VPC コンソールを使用します。

  2. を使用するAWSリージョンセレクタを使用して、リージョンを選択します。

  3. Amazon MWAA によって作成された VPC インターフェイスエンドポイントと、使用している場合に作成した VPC エンドポイントが表示されます。プライベートルーティングAmazon VPC で。

Amazon VPC で必要な VPC サービスエンドポイントの詳細については、プライベートルーティング「」を参照してください。プライベートルーティングを使用して Amazon VPC で必要な VPC サービスエンドポイントを作成する

Apache Airflow ウェブサーバーとその VPC エンドポイントのプライベート IP アドレスを特定する

次の手順では、Apache Airflow ウェブサーバーとその VPC インターフェイスエンドポイントのホスト名、およびそれらのプライベート IP アドレスを取得する方法について説明します。

  1. 以下のを使用します。AWS Command Line Interface(AWS CLI) コマンドを実行して Apache Airflow のホスト名を取得しますウェブサーバー

    aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME --query 'Environment.WebserverUrl'

    次のような応答が表示されます。

    "99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com"
  2. を実行掘る前のコマンドの応答で返されたホスト名に対するコマンド。例:

    dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com

    次のような応答が表示されます。

    vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.
  3. 以下のを使用します。AWS Command Line Interface(AWS CLI) コマンドを使用して、前のコマンドの応答で返された VPC エンドポイント DNS 名を取得します。例:

    aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

    次のような応答が表示されます。

    "DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com",
  4. 次のいずれかを実行します。nslookupまたは掘るApache Airflow ホスト名とその VPC エンドポイント DNS 名に対してコマンドを実行して、IP アドレスを取得します。例:

    dig +short YOUR_AIRFLOW_HOST_NAME YOUR_AIRFLOW_VPC_ENDPOINT_DNS

    次のような応答が表示されます。

    10.199.11.111 10.999.11.33

Apache Airflow ウェブサーバーの VPC エンドポイントへのアクセス (プライベートネットワークアクセス)

あなたが選んだらプライベートネットワークApache エアフローのアクセスモードウェブサーバーでは、Apache Airflow の VPC インターフェイスエンドポイントにアクセスするためのメカニズムを作成する必要があります。ウェブサーバー。これらのリソースには、Amazon MWAA 環境と同じ Amazon VPC、VPC セキュリティグループ、およびプライベートサブネットを使用する必要があります。

AWS Client VPN の使用

AWS Client VPN は、オンプレミスネットワーク内の AWS リソースに安全にアクセスできるようにする、クライアントベースのマネージド VPN サービスです。OpenVPN クライアントを使用して、あらゆる場所から安全な TLS 接続を提供します。

Amazon MWAA チュートリアルに従って、Client VPN を設定することをお勧めします。チュートリアル: を使用したプライベートネットワークアクセスの設定AWS Client VPN

Linux 踏み台ホストを使用する

踏み台ホストは、コンピュータからのインターネットなどの外部ネットワークからプライベートネットワークへのアクセスを提供することを目的としたサーバーです。Linux インスタンスはパブリックサブネットにあり、踏み台ホストを実行している基盤となる Amazon EC2 インスタンスにアタッチされたセキュリティグループからの SSH アクセスを許可するセキュリティグループを使用してセットアップされます。

Amazon MWAA チュートリアルに従って Linux 踏み台ホストを設定することをお勧めします。チュートリアル: Linux 踏み台ホストを使用したプライベートネットワークアクセスの設定

Load Balancer サーの使用 (詳細)

次のセクションでは、に適用する必要がある設定について説明します。Application Load BalancerまたはNetwork Load Balancer

  1. ターゲットグループ。Apache Airflow のプライベート IP アドレスを指すターゲットグループを使用する必要があります。ウェブサーバーおよび VPC インターフェイスエンドポイント。両方のプライベート IP アドレスを登録ターゲットとして指定することをお勧めします。1 つだけを使用すると可用性が低下する可能性があります。プライベート IP アドレスを特定するには、を参照してください。Apache Airflow ウェブサーバーとその VPC エンドポイントのプライベート IP アドレスを特定するこのページにあります。

  2. ステータスコード。を使用することをお勧めします。200そして302ターゲットグループ設定のステータスコード。そうしないと、Apache Airflow の VPC エンドポイントの場合、ターゲットに異常フラグが付けられる可能性があります。ウェブサーバーで応答します。302 Redirectというエラーが表示される。

  3. HTTPS リスナ。Apache Airflow のターゲットポートを指定する必要がありますウェブサーバー。例:

    Protocol - 。 ポート

    転送制御プロトコル

    443

  4. ACM 新しいドメイン。で SSL/TLS 証明書を関連付ける場合AWS Certificate Managerでは、ロードバランサーの HTTPS リスナー用の新しいドメインを作成する必要があります。

  5. ACM 証明書リージョン。で SSL/TLS 証明書を関連付ける場合AWS Certificate Managerの場合は、同じにアップロードする必要があります。AWSお客様の環境としてのリージョン。例:

    1. 例 証明書をアップロードするリージョン

      aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem --region us-west-2