Sobre a rede do Amazon MWAA - Amazon Managed Workflows for Apache Airflow
TermosO que é compatívelVisão geral da infraestrutura da VPCExemplos de casos de uso para um modo de acesso Amazon VPC e Apache Airflow

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Sobre a rede do Amazon MWAA

Uma Amazon VPC é uma rede virtual vinculada à sua AWS conta. Oferece segurança na nuvem e a capacidade de escalar dinamicamente ao fornecer controle refinado sobre sua infraestrutura virtual e a segmentação do tráfego de rede. Esta página descreve a infraestrutura do Amazon VPC com roteamento público ou roteamento privado necessário para oferecer suporte a um ambiente Amazon Managed Workflows for Apache Airflow.

Termos

Roteamento público

Uma rede do Amazon VPC que tem acesso à Internet.

Roteamento privado

Uma rede do Amazon VPC sem acesso à Internet.

O que é compatível

A tabela a seguir descreve os tipos de Amazon VPCs compatíveis com o Amazon MWAA.

Tipos de Amazon VPC Compatível

Um Amazon VPC de propriedade da conta que está tentando criar o ambiente.

Sim

Uma Amazon VPC compartilhada em que várias AWS contas criam seus recursos. AWS

Sim

Visão geral da infraestrutura da VPC

Ao criar um ambiente Amazon MWAA, o Amazon MWAA cria entre um a dois endpoints da VPC para seu ambiente com base no modo de acesso do Apache Airflow que você escolheu para seu ambiente. Esses endpoints aparecem como interfaces de rede elástica (ENIs) com IPs privados em seu Amazon VPC. Depois que esses endpoints são criados, qualquer tráfego destinado a esses IPs é roteado de forma privada ou pública para os AWS serviços correspondentes usados pelo seu ambiente.

A seção a seguir descreve a infraestrutura do Amazon VPC necessária para rotear o tráfego publicamente pela Internet ou de forma privada dentro do seu Amazon VPC.

Roteamento público pela Internet

Esta seção descreve a infraestrutura do Amazon VPC de um ambiente com roteamento público. Você precisará da seguinte infraestrutura de VPC:

  • Um grupo de segurança da VPC. Um grupo de segurança VPC atua como um firewall virtual para sua instância para controlar o tráfego de entrada e saída.

  • Duas sub-redes públicas. Sub-rede pública é uma sub-rede associada a uma tabela de rotas que contém uma rota para um gateway da Internet.

    • São necessárias duas sub-redes públicas. Isso permite que o Amazon MWAA crie uma nova imagem de contêiner para seu ambiente em sua outra zona de disponibilidade, se um contêiner falhar.

    • As duas sub-redes devem estar em zonas de disponibilidade diferentes. Por exemplo, us-east-1a, us-east-1b.

    • As sub-redes devem ser roteadas para um gateway NAT (ou instância NAT) com um endereço IP elástico (EIP).

    • Adicione uma rota à tabela de rotas da sub-rede que direciona o tráfego de entrada da internet para o gateway da Internet.

  • Duas sub-redes privadas. Uma sub-rede privada é uma sub-rede que não é associada a uma tabela de rotas que contém uma rota para um gateway da Internet.

    • São necessárias duas sub-redes privadas. Isso permite que o Amazon MWAA crie uma nova imagem de contêiner para seu ambiente em sua outra zona de disponibilidade, se um contêiner falhar.

    • As duas sub-redes devem estar em zonas de disponibilidade diferentes. Por exemplo, us-east-1a, us-east-1b.

    • As sub-redes devem ter uma tabela de rotas para um dispositivo NAT (gateway ou instância).

    • A sub-rede pública deve ter uma rota para um gateway da Internet.

  • Uma lista de controle de acesso (ACL) à rede. Listas de controle de acesso (ACL) à rede: as ACLs da rede permitem ou negam determinado tráfego de entrada e de saída no nível da sub-rede.

    • A NACL deve ter uma regra de entrada que permita todo o tráfego (0.0.0.0/0).

    • A NACL deve ter uma regra de saída que negue todo o tráfego (0.0.0.0/0).

    • Por exemplo, (Recomendado) Exemplos de ACLs.

  • Dois gateways NAT (ou instâncias NAT). Um dispositivo NAT encaminha o tráfego das instâncias na sub-rede privada para a Internet ou outros AWS serviços e, em seguida, encaminha a resposta de volta para as instâncias.

    • O dispositivo NAT deve estar conectado a uma sub-rede pública. (Um dispositivo NAT por sub-rede pública.)

    • O dispositivo NAT deve ter um endereço IPv4 elástico (EIP) conectado a cada sub-rede pública.

  • Um gateway da Internet. Um gateway de Internet conecta uma Amazon VPC à Internet e a outros AWS serviços.

    • Um gateway da Internet deve ser anexado ao Amazon VPC.

Roteamento privado sem acesso à Internet

Esta seção descreve a infraestrutura do Amazon VPC de um ambiente com roteamento privado. Você precisará da seguinte infraestrutura de VPC:

  • Um grupo de segurança da VPC. Um grupo de segurança VPC atua como um firewall virtual para sua instância para controlar o tráfego de entrada e saída.

  • Duas sub-redes privadas. Uma sub-rede privada é uma sub-rede que não é associada a uma tabela de rotas que contém uma rota para um gateway da Internet.

    • São necessárias duas sub-redes privadas. Isso permite que o Amazon MWAA crie uma nova imagem de contêiner para seu ambiente em sua outra zona de disponibilidade, se um contêiner falhar.

    • As duas sub-redes devem estar em zonas de disponibilidade diferentes. Por exemplo, us-east-1a, us-east-1b.

    • As sub-redes devem ter uma tabela de rotas para seus endpoints da VPC.

    • As sub-redes não devem ter uma tabela de rotas para um dispositivo NAT (gateway ou instância) e nemum gateway da Internet.

  • Uma lista de controle de acesso (ACL) à rede. Listas de controle de acesso (ACL) à rede: as ACLs da rede permitem ou negam determinado tráfego de entrada e de saída no nível da sub-rede.

    • A NACL deve ter uma regra de entrada que permita todo o tráfego (0.0.0.0/0).

    • A NACL deve ter uma regra de saída que negue todo o tráfego (0.0.0.0/0).

    • Por exemplo, (Recomendado) Exemplos de ACLs.

  • Uma tabela de rotas local. Uma tabela de rotas local é uma rota padrão para comunicação dentro da VPC.

    • A tabela de rotas local deve estar associada às suas sub-redes privadas.

    • A tabela de rotas local deve permitir que as instâncias em sua VPC se comuniquem com a rede. Por exemplo, se você estiver usando um AWS Client VPN para acessar o endpoint da interface VPC para seu servidor Web Apache Airflow, a tabela de rotas deve ser roteada para o endpoint da VPC.

  • VPC endpoints para cada AWS serviço usado pelo seu ambiente e endpoints VPC Apache Airflow AWS na mesma região e Amazon VPC do seu ambiente Amazon MWAA.

Exemplos de casos de uso para um modo de acesso Amazon VPC e Apache Airflow

Esta seção descreve os diferentes casos de uso para acesso à rede em seu Amazon VPC e o modo de acesso ao servidor Web Apache Airflow que você deve escolher no console do Amazon MWAA.

O acesso à Internet é permitido: nova rede Amazon VPC

Se o acesso à Internet em sua VPC for permitido pela sua organização e você quiser que os usuários acessem seu servidor Web Apache Airflow pela Internet:

  1. Crie uma rede Amazon VPC com acesso à Internet.

  2. Crie um ambiente com o modo de acesso à rede pública para seu servidor Web Apache Airflow.

  3. O que recomendamos: recomendamos usar o modelo de AWS CloudFormation início rápido que cria a infraestrutura do Amazon VPC, um bucket do Amazon S3 e um ambiente do Amazon MWAA ao mesmo tempo. Para saber mais, consulte Tutoriais de início rápido para Amazon Managed Workflows for Apache Airflow.

Se o acesso à Internet em sua VPC for permitido pela sua organização e você quiser que os usuários tenham acesso limitado ao servidor Web Apache Airflow em seu VPC.

  1. Crie uma rede Amazon VPC com acesso à Internet.

  2. Crie um mecanismo para acessar o endpoint da interface VPC do seu servidor Web Apache Airflow a partir do seu computador.

  3. Crie um ambiente com o modo de acesso à rede privada para seu servidor Web Apache Airflow.

  4. O que recomendamos:

    1. Recomendamos usar o console Amazon MWAA ou Opção um: criar a rede VPC no console Amazon MWAA o AWS CloudFormation modelo em. Opção dois: criar uma rede Amazon VPC com acesso à Internet

    2. Recomendamos configurar o acesso usando um AWS Client VPN ao seu servidor Web Apache Airflow em. Tutorial: Como configurar o acesso à rede privada usando um AWS Client VPN

O acesso à Internet não é permitido: nova rede Amazon VPC

Se o acesso à Internet em sua VPC não for permitido pela sua organização:

  1. Crie uma rede Amazon VPC sem acesso à Internet.

  2. Crie um mecanismo para acessar o endpoint da interface VPC do seu servidor Web Apache Airflow a partir do seu computador.

  3. Crie VPC endpoints para cada AWS serviço usado pelo seu ambiente.

  4. Crie um ambiente com o modo de acesso à rede privada para seu servidor Web Apache Airflow.

  5. O que recomendamos:

    1. Recomendamos usar o AWS CloudFormation modelo para criar uma Amazon VPC sem acesso à Internet e os endpoints de VPC para cada serviço AWS usado pela Amazon MWAA em. Opção três: criar uma rede Amazon VPC sem acesso à Internet

    2. Recomendamos configurar o acesso usando um AWS Client VPN ao seu servidor Web Apache Airflow em. Tutorial: Como configurar o acesso à rede privada usando um AWS Client VPN

O acesso à Internet não é permitido: rede Amazon VPC existente

Se o acesso à Internet em sua VPC não for permitido pela sua organização e você já tiver a rede Amazon VPC necessária sem acesso à Internet:

  1. Crie VPC endpoints para cada AWS serviço usado pelo seu ambiente.

  2. Crie endpoints da VPC para o Apache Airflow.

  3. Crie um mecanismo para acessar o endpoint da interface VPC do seu servidor Web Apache Airflow a partir do seu computador.

  4. Crie um ambiente com o modo de acesso à rede privada para seu servidor Web Apache Airflow.

  5. O que recomendamos:

    1. Recomendamos criar e conectar os VPC endpoints necessários para AWS cada serviço usado pelo Amazon MWAA e os endpoints VPC necessários para o Apache Airflow in. Como criar endpoints de serviço de VPC necessários em um Amazon VPC com roteamento privado

    2. Recomendamos configurar o acesso usando um AWS Client VPN ao seu servidor Web Apache Airflow em. Tutorial: Como configurar o acesso à rede privada usando um AWS Client VPN