

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Sobre a rede do Amazon MWAA
<a name="networking-about"></a>

Uma Amazon VPC é uma rede virtual vinculada à sua. Conta da AWS Oferece segurança na nuvem e a capacidade de escalar dinamicamente ao fornecer controle refinado sobre sua infraestrutura virtual e a segmentação do tráfego de rede. Esta página descreve a infraestrutura da Amazon VPC com *roteamento público, roteamento* *privado ou roteamento* *público e privado necessários para suportar um ambiente Amazon Managed* Workflows for Apache Airflow.

**Contents**
+ [Termos](#networking-about-defs)
+ [O que é compatível](#networking-about-supported)
+ [Visão geral da infraestrutura da VPC](#networking-about-overview)
  + [Roteamento público pela internet](#networking-about-overview-public)
  + [Roteamento privado sem acesso à internet](#networking-about-overview-private)
+ [Exemplos de casos de uso para um modo de acesso Amazon VPC e Apache Airflow](#networking-about-network-usecase)
  + [O acesso à Internet é permitido: nova rede Amazon VPC](#networking-about-network-usecase-internet)
  + [O acesso à Internet não é permitido: nova rede Amazon VPC](#networking-about-network-usecase-nointernet)
  + [O acesso à Internet não é permitido: rede Amazon VPC existente](#networking-about-network-usecase-nointernet-existing-vpc)

## Termos
<a name="networking-about-defs"></a>

**Roteamento público**  
Uma rede da Amazon VPC que tem acesso à internet.

**Roteamento privado**  
Uma rede da Amazon VPC **sem** acesso à internet.

## O que é compatível
<a name="networking-about-supported"></a>

A tabela a seguir descreve os tipos de Amazon VPCs compatíveis com o Amazon MWAA.


| Tipos de Amazon VPC | Compatível | 
| --- | --- | 
| Um Amazon VPC de propriedade da conta que está tentando criar o ambiente. | Sim | 
| Uma Amazon VPC compartilhada em que vários Contas da AWS criam seus recursos. AWS  | Sim | 

## Visão geral da infraestrutura da VPC
<a name="networking-about-overview"></a>

Ao criar um ambiente Amazon MWAA, o Amazon MWAA cria entre um a dois endpoints da VPC para seu ambiente com base no modo de acesso do Apache Airflow que você escolheu para seu ambiente. Esses endpoints aparecem como interfaces de rede elástica (ENIs) com IPs privados em sua Amazon VPC. Depois que esses endpoints são criados, qualquer tráfego destinado a esses IPs é roteado de forma privada ou pública para os AWS serviços correspondentes usados pelo seu ambiente.

A seção a seguir descreve a infraestrutura da Amazon VPC necessária para rotear o tráfego publicamente pela internet ou de forma privada *dentro da sua Amazon VPC*.

### Roteamento público pela internet
<a name="networking-about-overview-public"></a>

Esta seção descreve a infraestrutura do Amazon VPC de um ambiente com roteamento público. Você precisará da seguinte infraestrutura de VPC:
+ **Um grupo de segurança da VPC**. Um grupo de segurança VPC atua como um firewall virtual para sua instância para controlar o tráfego de entrada e saída.
  + Até cinco grupos de segurança podem ser especificados.
  + O grupo de segurança deve especificar uma regra de entrada autorreferenciada para si mesmo.
  + O grupo de segurança deve especificar uma regra de saída para todo o tráfego (`0.0.0.0/0`; para IPv6, use `::/0`).
  + O grupo de segurança deve permitir todo o tráfego na regra de autorreferência. Por exemplo, .[(Recomendado) Exemplo de grupo de segurança autorreferenciado para todos os acessos](vpc-security.md#vpc-security-sg-example)
  + *Opcionalmente*, o grupo de segurança pode restringir ainda mais o tráfego especificando o intervalo de portas para o intervalo de portas HTTPS `443` e um intervalo de portas TCP `5432`. Por exemplo, [(Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 5432](vpc-security.md#vpc-security-sg-example-port5432) e [(Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 443](vpc-security.md#vpc-security-sg-example-port443).
+ **Duas sub-redes públicas**. A sub-rede pública é uma sub-rede associada a uma tabela de rotas que contém uma rota para um gateway da Internet.
  + São necessárias duas sub-redes públicas. Isso permite que o Amazon MWAA crie uma nova imagem de contêiner para seu ambiente em sua outra zona de disponibilidade, se um contêiner falhar. 
  + As duas sub-redes devem estar em zonas de disponibilidade diferentes. Por exemplo, `us-east-1a`, `us-east-1b`.
  + As sub-redes devem ser roteadas para um gateway NAT (ou instância NAT) com um endereço IP elástico (EIP).
  + As sub-redes precisam de uma tabela de rotas que direcione o tráfego de internet para o gateway da internet.
+ **Duas sub-redes privadas**. Uma sub-rede privada é uma sub-rede que **não** é associada a uma tabela de rotas que contém uma rota para um gateway da internet.
  + São necessárias duas sub-redes privadas. Isso permite que o Amazon MWAA crie uma nova imagem de contêiner para seu ambiente em sua outra zona de disponibilidade, se um contêiner falhar. 
  + As duas sub-redes devem estar em zonas de disponibilidade diferentes. Por exemplo, `us-east-1a`, `us-east-1b`.
  + As sub-redes *devem* ter uma tabela de rotas para um dispositivo NAT (gateway ou instância).
  + As sub-redes **não podem** rotear para um gateway da internet.
  + Defina `assignIpV6AddressOnCreation` como `true` para sub-redes IPv6.
  + Para sub-redes privadas IPv6, você deve ter uma conexão com um gateway da internet apenas de saída (EIGW).
+ **Uma lista de controle de acesso (ACL) à rede**. Listas de controle de acesso (ACL) à rede: as ACLs da rede permitem ou negam determinado tráfego de entrada e de saída no nível da sub-rede.
  + A NACL deve ter uma regra de entrada que permita todo o tráfego (`0.0.0.0/0`; para IPv6, use `::/0`).
  + A NACL deve ter uma regra de saída que permita todo o tráfego (`0.0.0.0/0`; para IPv6, use `::/0`).
  + Por exemplo, .[Exemplo (recomendado) ACLs](vpc-security.md#vpc-security-acl-example)
+ **Dois gateways NAT (ou instâncias NAT**). Um dispositivo NAT encaminha o tráfego das instâncias na sub-rede privada para a Internet ou outros AWS serviços e, em seguida, encaminha a resposta de volta para as instâncias.
  + O dispositivo NAT deve estar conectado a uma sub-rede pública. (Um dispositivo NAT por sub-rede pública.)
  + O dispositivo NAT deve ter um endereço IPv4 elástico (EIP) conectado a cada sub-rede pública.
+ **Um gateway de internet**. Um gateway de internet conecta uma Amazon VPC à Internet e a outros AWS serviços.
  + Um gateway da internet deve ser anexado à Amazon VPC.

### Roteamento privado sem acesso à internet
<a name="networking-about-overview-private"></a>

Esta seção descreve a infraestrutura do Amazon VPC de um ambiente com *roteamento privado*. Você precisará da seguinte infraestrutura de VPC:
+ **Um grupo de segurança da VPC**. Um grupo de segurança VPC atua como um firewall virtual para sua instância para controlar o tráfego de entrada e saída.
  + Até cinco grupos de segurança podem ser especificados.
  + O grupo de segurança deve especificar uma regra de entrada autorreferenciada para si mesmo.
  + O grupo de segurança deve especificar uma regra de saída para todo o tráfego (`0.0.0.0/0`; para IPv6, use `::/0`).
  + O grupo de segurança deve permitir todo o tráfego na regra de autorreferência. Por exemplo, .[(Recomendado) Exemplo de grupo de segurança autorreferenciado para todos os acessos](vpc-security.md#vpc-security-sg-example)
  + *Opcionalmente*, o grupo de segurança pode restringir ainda mais o tráfego especificando o intervalo de portas para o intervalo de portas HTTPS `443` e um intervalo de portas TCP `5432`. Por exemplo, [(Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 5432](vpc-security.md#vpc-security-sg-example-port5432) e [(Opcional) Exemplo de grupo de segurança que restringe o acesso de entrada à porta 443](vpc-security.md#vpc-security-sg-example-port443).
+ **Duas sub-redes privadas**. Uma sub-rede privada é uma sub-rede que **não** é associada a uma tabela de rotas que contém uma rota para um gateway da internet.
  + São necessárias duas sub-redes privadas. Isso permite que o Amazon MWAA crie uma nova imagem de contêiner para seu ambiente em sua outra zona de disponibilidade, se um contêiner falhar. 
  + As duas sub-redes devem estar em zonas de disponibilidade diferentes. Por exemplo, `us-east-1a`, `us-east-1b`.
  + As sub-redes devem ter uma tabela de rotas para seus endpoints da VPC.
  + As sub-redes devem ter uma tabela de rotas para um EIGW para serem baixadas da internet como parte de um DAG.
  + As sub-redes **não devem** ter uma tabela de rotas para um dispositivo NAT (gateway ou instância) e **nem** um gateway da internet.
+ **Uma lista de controle de acesso (ACL) à rede**. Listas de controle de acesso (ACL) à rede: as ACLs da rede permitem ou negam determinado tráfego de entrada e de saída no nível da sub-rede.
  + A NACL deve ter uma regra de entrada que permita todo o tráfego (`0.0.0.0/0`; para IPv6, use `::/0`).
  + A NACL deve ter uma regra de saída que recuse todo o tráfego (`0.0.0.0/0`; para IPv6, use `::/0`).
  + Por exemplo, .[Exemplo (recomendado) ACLs](vpc-security.md#vpc-security-acl-example)
+ **Uma tabela de rotas local**. Uma tabela de rotas local é uma rota padrão para comunicação dentro da VPC.
  + A tabela de rotas local deve estar associada às suas sub-redes privadas.
  + A tabela de rotas local deve permitir que as instâncias em sua VPC se comuniquem com a rede. Por exemplo, se você estiver usando um AWS Client VPN para acessar o endpoint da interface VPC para seu servidor web Apache Airflow, a tabela de rotas deve ser roteada para o endpoint da VPC.
+ **VPC endpoints** para cada AWS serviço usado pelo seu ambiente e endpoints VPC Apache Airflow no mesmo ambiente e Região da AWS Amazon VPC do seu ambiente Amazon MWAA.
  + Um VPC endpoint para cada AWS serviço usado pelo ambiente e VPC endpoints para o Apache Airflow. Por exemplo, .[(Obrigatório) Endpoints da VPC](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-examples)
  + Os endpoints da VPC devem ter o DNS privado habilitado.
  + Os endpoints da VPC devem estar associados às duas sub-redes privadas do seu ambiente.
  + Os endpoints da VPC devem estar associados ao grupo de segurança do seu ambiente.
  + A política de VPC endpoint para cada endpoint deve ser configurada para permitir acesso aos AWS serviços usados pelo ambiente. Por exemplo, .[(Recomendado) Exemplo de política de endpoint da VPC para permitir todo o acesso](vpc-security.md#vpc-external-vpce-policies-all)
  + Uma política de endpoint da VPC para o Amazon S3 deve ser configurada para permitir o acesso ao bucket. Por exemplo, .[(Recomendado) Exemplo de política de endpoint do gateway Amazon S3 para permitir acesso ao bucket](vpc-security.md#vpc-external-vpce-policies-s3)

## Exemplos de casos de uso para um modo de acesso Amazon VPC e Apache Airflow
<a name="networking-about-network-usecase"></a>

Esta seção descreve os diferentes casos de uso para acesso à rede em sua Amazon VPC e o modo de acesso ao servidor Web do Apache Airflow que você deve escolher no console do Amazon MWAA.

### O acesso à Internet é permitido: nova rede Amazon VPC
<a name="networking-about-network-usecase-internet"></a>

Se o acesso à internet em sua VPC for permitido pela sua organização *e* você quiser que os usuários acessem o servidor Web do Apache Airflow pela internet:

1. Crie uma rede Amazon VPC com acesso à internet.

1. Crie um ambiente com o modo de acesso à **rede pública** para seu servidor Web do Apache Airflow.

1. **O que recomendamos: recomendamos** usar o modelo de CloudFormation início rápido que cria a infraestrutura do Amazon VPC, um bucket do Amazon S3 e um ambiente do Amazon MWAA ao mesmo tempo. Consulte [Tutoriais de início rápido para Amazon Managed Workflows for Apache Airflow](quick-start.md) para saber mais.

Se o acesso à internet em sua VPC for permitido pela sua organização *e* você quiser que os usuários tenham acesso limitado ao servidor Web do Apache Airflow em sua VPC:

1. Crie uma rede Amazon VPC com acesso à internet.

1. Crie um mecanismo para acessar o endpoint da interface VPC do seu servidor Web do Apache Airflow a partir do seu computador.

1. Crie um ambiente com o modo de acesso à **rede privada** para seu servidor Web do Apache Airflow.

1. **O que recomendamos**:

   1. Recomendamos usar o console Amazon MWAA ou [Opção um: criar a rede VPC no console Amazon MWAA](vpc-create.md#vpc-create-mwaa-console) o CloudFormation modelo em. [Opção dois: criar uma rede Amazon VPC *com* acesso à internet](vpc-create.md#vpc-create-template-private-or-public)

   1. Recomendamos configurar o acesso usando um AWS Client VPN ao seu servidor web Apache Airflow em. [Tutorial: Configurando o acesso à rede privada usando um AWS Client VPN](tutorials-private-network-vpn-client.md)

### O acesso à Internet não é permitido: nova rede Amazon VPC
<a name="networking-about-network-usecase-nointernet"></a>

Se o acesso à Internet em sua VPC **não for permitido** pela sua organização *e* você quiser que o servidor web Apache Airflow permaneça acessível pela Internet:

1. Crie uma rede Amazon VPC sem acesso à internet.

1. Crie um ambiente com o modo de **acesso à rede pública e privada** para seu servidor web Apache Airflow. Essa opção está disponível para o Apache Airflow versão 3.2.1 e posterior.

1. **O que recomendamos: recomendamos** usar o CloudFormation modelo para criar uma Amazon VPC sem acesso à Internet e os endpoints de VPC para cada serviço AWS usado pela Amazon MWAA em. [Opção três: criar uma rede Amazon VPC *sem* acesso à internet](vpc-create.md#vpc-create-template-private-only)

Se o acesso à Internet na sua VPC **não for permitido** pela sua organização *e* você quiser limitar o acesso ao servidor web Apache Airflow aos usuários dentro da sua VPC:

1. Crie uma rede Amazon VPC sem acesso à internet.

1. Crie um mecanismo para acessar o endpoint da interface VPC do seu servidor Web do Apache Airflow a partir do seu computador.

1. Crie VPC endpoints para cada AWS serviço usado pelo seu ambiente.

1. Crie um ambiente com o modo de acesso à **rede privada** para seu servidor Web do Apache Airflow.

1. **O que recomendamos**:

   1. Recomendamos usar o CloudFormation modelo para criar uma Amazon VPC sem acesso à Internet e os endpoints de VPC para cada serviço AWS usado pela Amazon MWAA em. [Opção três: criar uma rede Amazon VPC *sem* acesso à internet](vpc-create.md#vpc-create-template-private-only)

   1. Recomendamos configurar o acesso usando um AWS Client VPN ao seu servidor web Apache Airflow em. [Tutorial: Configurando o acesso à rede privada usando um AWS Client VPN](tutorials-private-network-vpn-client.md)

### O acesso à Internet não é permitido: rede Amazon VPC existente
<a name="networking-about-network-usecase-nointernet-existing-vpc"></a>

Se o acesso à internet em sua VPC **não for permitido** pela sua organização *e* você já tiver a rede Amazon VPC necessária sem acesso à internet:

1. Crie VPC endpoints para cada AWS serviço usado pelo seu ambiente.

1. Crie endpoints da VPC para o Apache Airflow.

1. Crie um mecanismo para acessar o endpoint da interface VPC do seu servidor Web do Apache Airflow a partir do seu computador.

1. Crie um ambiente com o modo de acesso à **rede privada** para seu servidor Web do Apache Airflow.

1. **O que recomendamos**:

   1. Recomendamos criar e conectar os VPC endpoints necessários para AWS cada serviço usado pelo Amazon MWAA e os endpoints VPC necessários para o Apache Airflow in. [Como criar endpoints de serviço de VPC necessários em um Amazon VPC com roteamento privado](vpc-vpe-create-access.md)

   1. Recomendamos configurar o acesso usando um AWS Client VPN ao seu servidor web Apache Airflow em. [Tutorial: Configurando o acesso à rede privada usando um AWS Client VPN](tutorials-private-network-vpn-client.md)