本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
关于在 Amazon MWAA 上联网
Amazon VPC 是与您的 Amazon 账户关联的虚拟网络。它通过提供对虚拟基础设施和网络流量分段的精细控制,为您提供云安全性和动态扩展的能力。本页介绍支持 Amazon MWAA 环境所需的具有公有路由或私有路由的 Amazon VPC 基础设施。
目录
术语
- 公有路由
-
可以访问互联网的 Amazon VPC 网络。
- 私有路由
-
无法访问互联网的 Amazon VPC 网络。
支持什么?
下表描述 Amazon MWAA 支持的 Amazon VPC 类型。
| Amazon VPC 类型 | 支持 |
|---|---|
|
Amazon VPC 属于尝试创建环境的账户。 |
是 |
|
一个共享的 Amazon VPC,多个 Amazon 账户可以在其中创建自己的 Amazon 资源。 |
是 |
VPC 基础设施概述
当您创建 Amazon MWAA 环境时,Amazon MWAA 会根据您为环境选择的 Apache Airflow 访问模式为环境创建一到两个 VPC 端点。这些端点显示为弹性网络接口(ENI),私有 IP 位于 Amazon VPC 中。创建这些端点后,任何发往这些 IP 的流量都将私下或公开路由到您的环境使用的相应 Amazon 服务。
下一节介绍通过互联网公共地路由流量或在 Amazon VPC 内私密地路由流量所需的 Amazon VPC 基础设施。
通过互联网进行公共路由
本节介绍具有公有路由的环境的 Amazon VPC 基础设施。您需要以下 VPC 基础设施:
-
一个 VPC 安全组 VPC 安全组 充当虚拟防火墙,以控制实例上的入口(入站)和出口(出站)流量。
-
最多可以指定 5 个安全组。
-
安全组必须为自己指定自引用的入站规则。
-
安全组必须为所有流量(
0.0.0.0/0)指定出站规则。 -
安全组必须允许自引用规则中的所有流量。例如,(推荐)所有访问自引用安全组示例 。
-
安全组可以选择通过指定 HTTPS 端口范围
443和 TCP 端口范围5432来进一步限制流量。例如,(可选)限制入站访问端口 5432 的安全组示例 和 (可选)限制入站访问端口 443 的安全组示例。
-
-
两个公有子网。公有子网是指与包含指向互联网网关的路由的路由表关联的子网。
-
需要两个公有子网。这样,如果一个容器出现故障,Amazon MWAA 就可以为另一个可用区中的环境构建新的容器镜像。
-
这些子网必须位于不同的可用区中。例如
us-east-1a、us-east-1b。 -
子网必须路由到具有弹性 IP 地址(EIP)的 NAT 网关(或 NAT 实例)。
-
子网必须具有将互联网绑定流量定向到互联网网关的路由表。
-
-
两个私有子网。公有子网是指与包含指向互联网网关的路由的路由表不关联的子网。
-
需要两个私有子网。这样,如果一个容器出现故障,Amazon MWAA 就可以为另一个可用区中的环境构建新的容器镜像。
-
这些子网必须位于不同的可用区中。例如
us-east-1a、us-east-1b。 -
这些子网必须有通往 NAT 设备(网关或实例)的路由表。
-
这些子网不得通向互联网网关的路由。
-
-
网络访问控制列表(ACL) NACL 管理(通过允许或拒绝规则)子网级别的入站和出站流量。
-
NACL 必须有允许所有流量的入站规则 (
0.0.0.0/0)。 -
NACL 必须有拒绝所有流量的出站规则 (
0.0.0.0/0)。 -
例如,(推荐)ACL 示例。
-
-
两个 NAT 网关(或 NAT 实例)。NAT 设备将流量从私有子网中的实例转发到 Internet 或其他 Amazon 服务,然后将响应路由回实例。
-
NAT 设备必须连接公有子网。(每个公有子网一个 NAT 设备。)
-
NAT 设备必须将弹性 IPv4 地址(EIP)附加到每个公有子网。
-
-
互联网网关。互联网网关将 Amazon VPC 连接到互联网和其他 Amazon 服务。
-
互联网网关必须连接到 Amazon VPC。
-
无法访问互联网的私有路由
本节介绍具有私有路由的环境的 Amazon VPC 基础设施。您需要以下 VPC 基础设施:
-
一个 VPC 安全组 VPC 安全组 充当虚拟防火墙,以控制实例上的入口(入站)和出口(出站)流量。
-
最多可以指定 5 个安全组。
-
安全组必须为自己指定自引用的入站规则。
-
安全组必须为所有流量(
0.0.0.0/0)指定出站规则。 -
安全组必须允许自引用规则中的所有流量。例如,(推荐)所有访问自引用安全组示例 。
-
安全组可以选择通过指定 HTTPS 端口范围
443和 TCP 端口范围5432来进一步限制流量。例如,(可选)限制入站访问端口 5432 的安全组示例 和 (可选)限制入站访问端口 443 的安全组示例。
-
-
两个私有子网。公有子网是指与包含指向互联网网关的路由的路由表不关联的子网。
-
需要两个私有子网。这样,如果一个容器出现故障,Amazon MWAA 就可以为另一个可用区中的环境构建新的容器镜像。
-
这些子网必须位于不同的可用区中。例如
us-east-1a、us-east-1b。 -
这些子网必须有通往 VPC 端点的路由表。
-
这些子网不得有通往 NAT 设备(网关或实例)的路由表,也不能有互联网网关。
-
-
网络访问控制列表(ACL) NACL 管理(通过允许或拒绝规则)子网级别的入站和出站流量。
-
NACL 必须有允许所有流量的入站规则 (
0.0.0.0/0)。 -
NACL 必须有拒绝所有流量的出站规则 (
0.0.0.0/0)。 -
例如,(推荐)ACL 示例。
-
-
本地路由表。本地路由表是指用于 VPC 内通信的默认路由。
-
本地路由表必须与私有子网关联。
-
本地路由表必须启用 VPC 中的实例与您自己的网络进行通信。例如,如果您使用访问您的 Apache Airflow Web 服务器的 VPC 接口终端节点,则路由表必须路由到 VPC 终端节点。 Amazon Client VPN
-
-
您的环境使用的每项 Amazon 服务的 VPC 终端节点,以及与您的亚马逊 MWAA 环境位于同一 Amazon 区域和亚马逊 VPC 的 Apache Airflow VPC 终端节点。
-
环境使用的每项 Amazon 服务的 VPC 终端节点和 Apache Airflow 的 VPC 终端节点。例如,(必需)VPC 端点。
-
VPC 端点必须有启用的私有 DNS。
-
VPC 端点必须与您环境的两个私有子网关联。
-
VPC 端点必须与您环境的安全组相关联。
-
应将每个终端节点的 VPC 终端节点策略配置为允许访问环境使用的 Amazon 服务。例如,(推荐)允许所有人访问的 VPC 端点策略示例。
-
Amazon S3 的 VPC 端点策略应配置为允许访问存储桶。例如,(推荐)允许访问存储桶的 Amazon S3 网关端点策略示例。
-
Amazon VPC 和 Apache Airflow 访问模式的示例用例
本节介绍 Amazon VPC 中网络访问的不同用例,以及您应在 Amazon MWAA 控制台上选择的 Apache Airflow Web 服务器访问模式。
允许访问互联网-新的 Amazon VPC 网络
如果贵组织允许在 VPC 中访问互联网,并且您希望用户通过互联网访问 Apache Airflow Web 服务器,请执行以下操作:
-
创建可访问互联网的 Amazon VPC 网络。
-
为 Apache Airflow Web 服务器创建具有公有网络访问模式的环境。
-
我们的建议:我们建议使用 Amazon CloudFormation 快速入门模板来同时创建 Amazon VPC 基础设施、Amazon S3 存储桶和 Amazon MWAA 环境。要了解更多信息,请参阅Amazon MWAA 的快速入门教程。
如果贵组织允许在 VPC 中访问互联网,并且您希望在 VPC 内限制访问 Apache Airflow Web 服务器的用户,请执行以下操作:
-
创建可访问互联网的 Amazon VPC 网络。
-
创建一种机制,用于从计算机访问 Apache Airflow Web 服务器的 VPC 接口端点。
-
为 Apache Airflow Web 服务器创建具有私有网络访问模式的环境。
-
我们的建议:
-
我们建议使用中的 Amazon MWAA 控制台或中的选项一:在 Amazon MWAA 控制台上创建 VPC 网络 Amazon CloudFormation 模板。选项二:创建可互联网访问的 Amazon VPC 网络
-
我们建议在中使用配置 Amazon Client VPN 对您的 Apache Airflow Web 服务器的访问权限。教程:使用 Amazon Client VPN 配置私有网络访问权限
-
不允许访问互联网-新的 Amazon VPC 网络
如果贵组织不允许在 VPC 中访问互联网:
-
创建没有互联网访问权限的 Amazon VPC 网络。
-
创建一种机制,用于从计算机访问 Apache Airflow Web 服务器的 VPC 接口端点。
-
为您的环境使用的每项 Amazon 服务创建 VPC 终端节点。
-
为 Apache Airflow Web 服务器创建具有私有网络访问模式的环境。
-
我们的建议:
-
我们建议使用该 Amazon CloudFormation 模板创建无法访问互联网的 Amazon VPC,并为 Amazon MWAA 在中使用的每项 Amazon 服务创建 VPC 终端节点。选项三:创建不可互联网访问的 Amazon VPC 网络
-
我们建议在中使用配置 Amazon Client VPN 对您的 Apache Airflow Web 服务器的访问权限。教程:使用 Amazon Client VPN 配置私有网络访问权限
-
不允许访问互联网-现有 Amazon VPC 网络
如果贵组织不允许在 VPC 中访问互联网,并且您已经拥有所需的无法访问互联网的 Amazon VPC 网络:
-
为您的环境使用的每项 Amazon 服务创建 VPC 终端节点。
-
为 Apache Airflow 创建 VPC 端点。
-
创建一种机制,用于从计算机访问 Apache Airflow Web 服务器的 VPC 接口端点。
-
为 Apache Airflow Web 服务器创建具有私有网络访问模式的环境。
-
我们的建议:
-
我们建议创建并连接 Amazon MWAA 使用的每项 Amazon 服务所需的 VPC 终端节点,以及在 Apache Airflow 中使用的 VPC 终端节点。使用私有路由在 Amazon VPC 中创建所需的 VPC 服务端点
-
我们建议在中使用配置 Amazon Client VPN 对您的 Apache Airflow Web 服务器的访问权限。教程:使用 Amazon Client VPN 配置私有网络访问权限
-