Gerenciando o acesso a endpoints Amazon VPC específicos de serviços no Amazon MWAA

Um VPC endpoint (AWS PrivateLink) permite que você conecte sua VPC de forma privada a serviços hospedados em AWS sem precisar de um gateway de Internet, um dispositivo NAT, VPN ou proxies de firewall. Esses endpoints são dispositivos virtuais horizontalmente escaláveis e altamente disponíveis que permitem a comunicação entre instâncias em sua VPC e serviços. AWS Esta página descreve os endpoints da VPC criados pelo Amazon MWAA e como acessar o endpoint da VPC de seu servidor Web Apache Airflow, se você tiver escolhido o modo de acesso à rede privada no Amazon Managed Workflows for Apache Airflow.

Sumário

• Definição de preço
• Visão geral do endpoint da VPC
  • Modo de acesso à rede pública
  • Modo de acesso à rede privada
• Permissão para usar outros AWS serviços
• Como visualizar endpoints da VPC
  • Como visualizar endpoints da VPC no console da Amazon VPC
  • Como identificar os endereços IP privados do seu servidor Web Apache Airflow e do seu endpoint da VPC
• Como acessar o endpoint da VPC para seu servidor Web Apache Airflow (acesso à rede privada)
  • Usando um AWS Client VPN
  • Como usar um Linux Bastion Host
  • Como usar um balanceador de carga (avançado)

Definição de preço

• AWS PrivateLink Definição de preço

Visão geral do endpoint da VPC

Ao criar um ambiente Amazon MWAA, o Amazon MWAA cria entre um a dois endpoints da VPC para seu ambiente. Esses endpoints aparecem como interfaces de rede elástica (ENIs) com IPs privados em seu Amazon VPC. Depois que esses endpoints são criados, qualquer tráfego destinado a esses IPs é roteado de forma privada ou pública para os AWS serviços correspondentes usados pelo seu ambiente.

Modo de acesso à rede pública

Se você escolher o modo de acesso à rede pública para seu servidor Web Apache Airflow, o tráfego de rede será roteado publicamente pela Internet.

• O Amazon MWAA cria um endpoint de interface VPC para seu banco de dados de metadados Amazon Aurora PostgreSQL. O endpoint é criado nas zonas de disponibilidade mapeadas para suas sub-redes privadas e é independente de outras contas. AWS

• Em seguida, o Amazon MWAA vincula um endereço IP de suas sub-redes privadas aos endpoints da interface. Isso foi projetado para apoiar a prática recomendada de vincular um único IP de cada zona de disponibilidade do Amazon VPC.

Modo de acesso à rede privada

Se você escolheu o modo de acesso à rede privada para seu servidor Web Apache Airflow, o tráfego de rede será roteado de forma privada dentro do Amazon VPC.

• O Amazon MWAA cria um endpoint de interface VPC para seu servidor Web do Apache Airflow e uma interface endpoint para seu banco de dados de metadados Amazon Aurora PostgreSQL. Os endpoints são criados nas zonas de disponibilidade mapeadas para suas sub-redes privadas e são independentes de outras contas. AWS

• Em seguida, o Amazon MWAA vincula um endereço IP de suas sub-redes privadas aos endpoints da interface. Isso foi projetado para apoiar a prática recomendada de vincular um único IP de cada zona de disponibilidade do Amazon VPC.

Permissão para usar outros AWS serviços

Os endpoints da interface usam a função de execução do seu ambiente no AWS Identity and Access Management (IAM) para gerenciar a permissão para AWS os recursos usados pelo seu ambiente. À medida que mais AWS serviços são habilitados para um ambiente, cada serviço exigirá que você configure a permissão usando a função de execução do seu ambiente. Para adicionar permissões, consulte MWAAFunção de execução da Amazon.

Caso tenha escolhido o modo de acesso à rede privada para seu servidor Web Apache Airflow, você também deve permitir permissão na política de endpoint da VPC para cada endpoint. Para saber mais, consulte VPCpolíticas de endpoint (somente roteamento privado).

Como visualizar endpoints da VPC

Esta seção descreve como visualizar os endpoints da VPC criados pelo Amazon MWAA e como identificar os endereços IP privados do seu endpoint da VPC do Apache Airflow.

Como visualizar endpoints da VPC no console da Amazon VPC

A seção a seguir mostra as etapas para visualizar um ou mais endpoints da VPC criados pelo Amazon MWAA e quaisquer endpoints da VPC que você possa ter criado se estiver usando roteamento privado para sua Amazon VPC.

Para visualizar um ou mais endpoints da VPC

1. Abra a página Endpoints no console da Amazon VPC.

2. Use o seletor de AWS região para selecionar sua região.

3. É possível ver um ou mais interfaces de endpoints da VPC criados pelo Amazon MWAA e quaisquer endpoints da VPC que você possa ter criado se estiver usando roteamento privado em sua Amazon VPC.

Para saber mais sobre os endpoints de serviço da VPC necessários para uma Amazon VPC com roteamento privado, consulte Criação dos endpoints VPC de serviço necessários em uma Amazon VPC com roteamento privado.

Como identificar os endereços IP privados do seu servidor Web Apache Airflow e do seu endpoint da VPC

As etapas a seguir descrevem como recuperar o nome do host do seu servidor Web Apache Airflow e seu endpoint de interface VPC e seus endereços IP privados.

1. Use o comando a seguir AWS Command Line Interface (AWS CLI) para recuperar o nome do host do seu servidor Web Apache Airflow.

   aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME --query 'Environment.WebserverUrl'

   Você deverá ver algo semelhante a seguinte resposta:

   "99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com"

2. Execute um comando dig no nome do host retornado na resposta do comando anterior. Por exemplo: .

   dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com

   Você deverá ver algo semelhante a seguinte resposta:

   vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

3. Use o comando a seguir AWS Command Line Interface (AWS CLI) para recuperar o nome DNS do VPC endpoint retornado na resposta do comando anterior. Por exemplo: .

   aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.

   Você deverá ver algo semelhante a seguinte resposta:

   "DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com",

4. Execute um comando nslookup ou dig no nome do host do Apache Airflow e no nome DNS do endpoint da VPC para recuperar os endereços IP. Por exemplo: .

   dig +short YOUR_AIRFLOW_HOST_NAME YOUR_AIRFLOW_VPC_ENDPOINT_DNS

   Você deverá ver algo semelhante a seguinte resposta:

   192.0.5.1
     192.0.6.1

Como acessar o endpoint da VPC para seu servidor Web Apache Airflow (acesso à rede privada)

Caso tenha escolhido o modo de acesso à rede privada para seu servidor Web Apache Airflow, será preciso criar um mecanismo para acessar o endpoint da interface VPC para seu servidor Web do Apache Airflow. Você deve usar o mesmo Amazon VPC, grupo de segurança VPC e sub-redes privadas do seu ambiente do Amazon MWAA para esses recursos.

Usando um AWS Client VPN

AWS Client VPN é um serviço VPN gerenciado baseado em cliente que permite que você acesse com segurança seus AWS recursos e recursos em sua rede local. É fornecida uma conexão TLS segura de qualquer local usando o cliente OpenVPN.

Recomendamos o seguinte tutorial do Amazon MWAA para configurar um Client VPN: Tutorial: Como configurar o acesso à rede privada usando um AWS Client VPN.

Como usar um Linux Bastion Host

Um bastion host é um servidor cujo objetivo é fornecer acesso a uma rede privada a partir de uma rede externa, como pela Internet a partir do seu computador. As instâncias Linux estão em uma sub-rede pública e são configuradas com um grupo de segurança que permite acesso SSH a partir do grupo de segurança anexado à instância subjacente do Amazon EC2 que executa o bastion host.

Recomendamos o seguinte tutorial do Amazon MWAA para configurar um Linux Bastion Host: Tutorial: Como configurar o acesso à rede privada usando um Linux Bastion Host.

Como usar um balanceador de carga (avançado)

A seção a seguir mostra as configurações que você precisará aplicar a um Application Load Balancer.

1. Grupos de destino. Você precisará usar grupos de destino que apontem para os endereços IP privados do seu servidor Web Apache Airflow e do seu endpoint de interface VPC. Recomendamos especificar endereços IP privados como destinos registrados, pois usar apenas um pode reduzir a disponibilidade. Para obter mais informações sobre como identificar os endereços IP privados, consulte Como identificar os endereços IP privados do seu servidor Web Apache Airflow e do seu endpoint da VPC.

2. Códigos de status. Recomendamos o uso dos códigos de status 200 e 302 nas configurações do seu grupo de destino. Caso contrário, os destinos poderão ser sinalizados como não íntegros, se o endpoint da VPC do servidor Web do Apache Airflow responder com um erro 302 Redirect.

3. Receptor HTTPS. Você precisará especificar a porta de destino para o servidor Web Apache Airflow. Por exemplo: .

   Protocolo	Port
   HTTPS	443

4. Novo domínio do ACM. Se você quiser associar um certificado SSL/TLS AWS Certificate Manager, precisará criar um novo domínio para o ouvinte HTTPS do seu balanceador de carga.

5. Região do certificado ACM. Se quiser associar um certificado SSL/TLS AWS Certificate Manager, você precisará fazer o upload para a mesma AWS região do seu ambiente. Por exemplo: .

   1. exemplo região para fazer o upload do certificado

      aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem --region us-west-2