Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menghubungkan HealthOmics alur kerja ke VPC
Dengan Amazon Virtual Private Cloud (Amazon VPC), Anda dapat meluncurkan AWS sumber daya di jaringan virtual pribadi yang telah Anda tentukan. Anda dapat memberikan HealthOmics alur kerja Anda akses ke sumber daya di VPC Anda dengan mengonfigurasi proses Anda untuk menggunakan mode jaringan VPC. Ketika jaringan VPC diaktifkan, proses Anda dapat mengakses sumber daya dalam VPC Anda dan terhubung ke sumber daya eksternal melalui internet publik jika VPC Anda memiliki akses internet yang dikonfigurasi.
**catatan**
Setiap HealthOmics alur kerja dijalankan dijalankan di dalam VPC yang dimiliki dan dikelola oleh layanan. HealthOmics VPC ini dikelola secara otomatis dan tidak terlihat oleh pelanggan. Mengonfigurasi proses Anda untuk mengakses sumber daya di VPC Amazon Anda tidak berpengaruh pada HealthOmics-managed VPC.
## Kapan menggunakan jaringan VPC
Gunakan jaringan VPC saat proses Anda perlu:
+ Akses kumpulan data yang tersedia untuk umum melalui internet (misalnya, kumpulan data NIH, repositori akademik)
+ Connect ke server lisensi pihak ketiga atau API eksternal
+ Membaca atau menulis data dari bucket Amazon S3 di Wilayah lain AWS
+ Mengakses sumber daya lokal di jaringan pribadi Anda
+ Connect ke sumber daya AWS dalam VPC Anda
**catatan**
Ketika Anda menghubungkan run ke VPC, itu hanya dapat mengakses sumber daya yang tersedia dalam VPC itu. Untuk memberikan akses run Anda ke internet, Anda juga harus mengonfigurasi VPC Anda untuk akses internet. Untuk informasi selengkapnya, lihat [Akses internet untuk VPC-connected alur kerja](workflows-vpc-internet.md).
**Topics**
+ [Kapan menggunakan jaringan VPC](#vpc-when-to-use)
+ [Mode jaringan](#vpc-networking-modes)
+ [Memulai](#vpc-getting-started)
+ [Persyaratan VPC](#vpc-requirements)
+ [Peran terkait layanan untuk jaringan VPC](vpc-service-linked-role.md)
+ [Menghubungkan ke VPC di akun lain](workflows-vpc-cross-account.md)
+ [API konfigurasi](#vpc-configuration-apis)
+ [Menjalankan alur kerja dengan jaringan VPC](#vpc-running-workflows)
+ [Pemecahan masalah jaringan VPC](vpc-troubleshooting-guide.md)
+ [Praktik terbaik](#vpc-best-practices)
+ [Kuota jaringan VPC](#vpc-quotas)
## Mode jaringan
HealthOmics Alur kerja mendukung dua mode jaringan. Secara default, alur kerja berjalan beroperasi dalam mode TERBATAS. Anda dapat mengaktifkan jaringan VPC secara per-run saat memulai alur kerja.
**DIBATASI (default)**
Runs hanya dapat mengakses sumber daya Amazon S3 dan Amazon ECR dalam Wilayah yang sama. AWS Runs tidak dapat mengakses AWS layanan lain, sumber daya di seluruh AWS Wilayah, atau internet publik.
**VPC**
Jalankan lalu lintas dirutekan melalui antarmuka jaringan elastis (ENI) yang disediakan oleh subnet VPC Anda. HealthOmics Anda mengontrol perutean jaringan, grup keamanan, ACL jaringan, dan akses internet melalui gateway NAT. Mode ini memungkinkan akses ke:
+ Sumber daya internet publik (memerlukan konfigurasi NAT Gateway)
+ AWS layanan di Wilayah lain
+ Sumber daya pribadi di VPC Anda
+ Mengakses sumber daya lokal di jaringan pribadi Anda
Anda menentukan mode jaringan saat memulai alur kerja yang dijalankan menggunakan `networkingMode` parameter di `StartRun` API.
## Memulai
Bagian ini memandu Anda melalui pengaturan jaringan VPC untuk HealthOmics Alur Kerja untuk pertama kalinya.
### Prasyarat
Sebelum mengonfigurasi jaringan VPC HealthOmics untuk Alur Kerja, pastikan Anda memiliki yang berikut:
+ VPC yang ada dengan subnet dan grup keamanan yang sesuai. VPC harus berada di Wilayah yang sama dengan alur kerja Anda.
+ Setidaknya satu subnet di Availability Zone tempat HealthOmics beroperasi di Wilayah Anda.
+ Izin IAM yang sesuai untuk membuat dan mengelola HealthOmics konfigurasi.
+ Memahami konsep jaringan VPC (subnet, grup keamanan, tabel rute).
+ Kapasitas ENI yang cukup di AWS akun Anda. HealthOmics menskalakan dan mengelola ENI di VPC Anda menggunakan peran terkait layanan. Jumlah ENI yang dibutuhkan tergantung pada beban kerja Anda. Pantau penggunaan ENI Anda di konsol Amazon EC2 untuk memastikan Anda memiliki kapasitas yang memadai.
**penting**
Konfigurasi VPC Anda harus menyertakan setidaknya satu subnet di Availability Zone yang HealthOmics beroperasi di Wilayah Anda untuk mendukung penempatan tugas alur kerja. Saat menggunakan mode jaringan VPC, Anda bertanggung jawab untuk menentukan apakah aman dan sesuai untuk mentransfer atau menggunakan data di seluruh Wilayah. AWS
### Langkah 1: Buat atau konfigurasikan VPC Anda
Buat VPC dengan subnet pribadi, grup keamanan, dan gateway NAT (jika akses internet diperlukan). Untuk petunjuk langkah demi langkah yang terperinci, lihat[Akses internet untuk VPC-connected alur kerja](workflows-vpc-internet.md).
### Langkah 2: Konfigurasikan grup keamanan
Buat grup keamanan yang memungkinkan lalu lintas keluar ke tujuan yang perlu Anda akses. Konfigurasikan grup keamanan untuk mengizinkan hanya lalu lintas keluar minimum yang diperlukan mengikuti prinsip hak istimewa paling sedikit.
Misalnya konfigurasi dan panduan terperinci, lihat bagian grup keamanan di[Akses internet untuk VPC-connected alur kerja](workflows-vpc-internet.md).
### Langkah 3: Verifikasi tabel rute
Pastikan subnet pribadi Anda memiliki rute ke NAT Gateway untuk akses internet. Misalnya konfigurasi tabel rute, lihat bagian tabel rute di[Akses internet untuk VPC-connected alur kerja](workflows-vpc-internet.md).
**catatan**
Menghubungkan run ke subnet publik tidak memberikan akses internet atau alamat IP publik. Selalu gunakan subnet pribadi dengan rute NAT Gateway untuk menjalankan yang membutuhkan konektivitas internet.
### Langkah 4: Buat sumber daya konfigurasi
Buat sumber daya HealthOmics Konfigurasi yang menentukan pengaturan jaringan VPC Anda:
```
aws omics create-configuration \
--name {{my-vpc-config}} \
--description "VPC configuration for genomics workflows" \
--run-configurations '{
"vpcConfig": {
"securityGroupIds": ["{{sg-0123456789abcdef0}}"],
"subnetIds": [
"{{subnet-0a1b2c3d4e5f6g7h8}}",
"{{subnet-1a2b3c4d5e6f7g8h9}}"
]
}
}' \
--region {{us-west-2}}
```
Konfigurasi akan bertransisi dari `CREATING` ke `ACTIVE` status setelah sumber daya jaringan disediakan. Ini membutuhkan waktu hingga 15 menit.
### Langkah 5: Mulai menjalankan alur kerja dengan jaringan VPC
Setelah konfigurasi Anda`ACTIVE`, mulai menjalankan alur kerja dengan jaringan VPC diaktifkan:
```
aws omics start-run \
--workflow-id {{1234567}} \
--role-arn arn:aws:iam::{{123456789012}}:role/{{OmicsWorkflowRole}} \
--output-uri s3://{{my-bucket}}/outputs/ \
--networking-mode VPC \
--configuration-name {{my-vpc-config}} \
--region {{us-west-2}}
```
### Langkah 6: Verifikasi konektivitas
Pantau alur kerja Anda untuk memverifikasi bahwa alur kerja dapat mengakses sumber daya eksternal yang diperlukan. Periksa log alur kerja di CloudWatch Log untuk pesan keberhasilan atau kegagalan koneksi. Untuk panduan terperinci tentang pengujian konektivitas, lihat[Menguji konektivitas VPC](workflows-vpc-internet.md#vpc-testing-connectivity).
## Persyaratan VPC
VPC Anda harus memenuhi persyaratan berikut:
### Persyaratan subnet
+ **Minimum:** Setidaknya satu subnet di Availability Zone tempat beroperasi HealthOmics
+ **Maksimum:** 16 subnet per konfigurasi
+ **Pembatasan:** Maksimum satu subnet per Availability Zone
+ **Rekomendasi:** Gunakan subnet pribadi dengan rute NAT Gateway untuk menjalankan yang membutuhkan akses internet. Meskipun Anda dapat menentukan satu subnet, sebaiknya gunakan beberapa subnet di berbagai Availability Zone untuk ketersediaan yang lebih baik.
### Persyaratan grup keamanan
+ **Minimal:** 1 grup keamanan
+ **Maksimum:** 5 grup keamanan per konfigurasi
+ **Persyaratan:** Semua grup keamanan harus memiliki VPC yang sama dengan subnet
Grup keamanan mengontrol lalu lintas masuk dan keluar untuk perjalanan Anda.
**catatan**
Semua subnet dan grup keamanan harus termasuk dalam VPC yang sama.
### Persyaratan antarmuka jaringan
HealthOmics menyediakan antarmuka jaringan elastis (ENI) di VPC Anda untuk menghubungkan berjalan ke jaringan Anda. Pastikan AWS akun Anda memiliki kapasitas ENI yang memadai (batas default: 5.000 ENI per Wilayah).
ENI yang HealthOmics dibuat oleh ditandai dengan tag berikut:
```
"TagSet": [
{
"Key": "Service",
"Value": "HealthOmics"
},
{
"Key": "eniType",
"Value": "CUSTOMER"
}
]
```
**penting**
Jangan memodifikasi atau menghapus ENI yang dibuat oleh HealthOmics. Memodifikasi antarmuka jaringan ini dapat menyebabkan penundaan layanan atau gangguan pada alur kerja Anda berjalan.
## API konfigurasi
HealthOmics menyediakan API untuk membuat, mengelola, dan menghapus konfigurasi VPC. Anda dapat menggunakan kembali konfigurasi di beberapa alur kerja.
**Topics**
+ [CreateConfiguration](#vpc-create-configuration)
+ [GetConfiguration](#vpc-get-configuration)
+ [ListConfigurations](#vpc-list-configurations)
+ [DeleteConfiguration](#vpc-delete-configuration)
### CreateConfiguration
Membuat sumber daya konfigurasi baru dengan pengaturan jaringan VPC. Untuk contoh langkah demi langkah, lihat[Langkah 4: Buat sumber daya konfigurasi](#vpc-step-create-configuration).
**Permintaan sintaks:**
```
aws omics create-configuration \
--name {{configuration-name}} \
--description {{description}} \
--run-configurations '{"vpcConfig":{"securityGroupIds":["{{security-group-id}}"],"subnetIds":["{{subnet-id}}"]}}' \
--tags Key={{key}},Value={{value}} \
--region {{region}}
```
**Parameter:**
+ **nama** (wajib) - Nama unik untuk konfigurasi (maksimum 50 karakter).
+ **deskripsi** (opsional) — Deskripsi konfigurasi.
+ **run-configurations** (opsional) - Pengaturan konfigurasi VPC:
+ `vpcConfig.securityGroupIds`— Daftar 1-5 ID grup keamanan.
+ `vpcConfig.subnetIds`— Daftar 1—16 ID subnet.
+ **tag** (opsional) - Tag sumber daya.
**Tanggapan:**
```
{
"arn": "arn:aws:omics:{{region}}:{{account-id}}:configuration/{{configuration-name}}",
"uuid": "{{configuration-uuid}}",
"name": "{{configuration-name}}",
"runConfigurations": {
"vpcConfig": {
"securityGroupIds": ["{{security-group-id}}"],
"subnetIds": ["{{subnet-id}}"],
"vpcId": "{{vpc-id}}"
}
},
"status": "CREATING",
"creationTime": "{{timestamp}}",
"tags": {}
}
```
**Nilai status konfigurasi:**
+ **MENCIPTAKAN** - Konfigurasi sedang dibuat dan sumber daya jaringan sedang disediakan (hingga 15 menit).
+ **AKTIF** - Konfigurasi siap digunakan.
+ **MENGHAPUS** - Konfigurasi sedang dihapus.
+ **DIHAPUS** - Konfigurasi telah dihapus.
### GetConfiguration
Mengambil detail konfigurasi tertentu.
**Permintaan sintaks:**
```
aws omics get-configuration \
--name {{configuration-name}} \
--region {{region}}
```
**Tanggapan:**
```
{
"arn": "arn:aws:omics:{{region}}:{{account-id}}:configuration/{{configuration-name}}",
"uuid": "{{configuration-uuid}}",
"name": "{{configuration-name}}",
"runConfigurations": {
"vpcConfig": {
"securityGroupIds": ["{{security-group-id}}"],
"subnetIds": ["{{subnet-id}}"],
"vpcId": "{{vpc-id}}"
}
},
"status": "ACTIVE",
"creationTime": "{{timestamp}}",
"tags": {}
}
```
### ListConfigurations
Daftar semua konfigurasi di akun Anda.
**Permintaan sintaks:**
```
aws omics list-configurations \
--region {{region}}
```
**Tanggapan:**
```
{
"items": [
{
"arn": "arn:aws:omics:{{region}}:{{account-id}}:configuration/{{configuration-name}}",
"name": "{{configuration-name}}",
"description": "{{description}}",
"status": "ACTIVE",
"creationTime": "{{timestamp}}"
}
]
}
```
### DeleteConfiguration
Menghapus konfigurasi. Anda tidak dapat menghapus konfigurasi yang saat ini digunakan oleh alur kerja aktif berjalan.
**Permintaan sintaks:**
```
aws omics delete-configuration \
--name {{configuration-name}} \
--region {{region}}
```
**catatan**
Status konfigurasi berubah menjadi DELETING saat sumber daya jaringan sedang dibersihkan, dan kemudian ke DELETED setelah proses selesai.
## Menjalankan alur kerja dengan jaringan VPC
### Memulai lari dengan jaringan VPC
Untuk menggunakan jaringan VPC dalam menjalankan alur kerja, tentukan `networking-mode` parameter dan: `configuration-name`
```
aws omics start-run \
--workflow-id {{1234567}} \
--role-arn arn:aws:iam::{{123456789012}}:role/{{OmicsWorkflowRole}} \
--output-uri s3://{{my-bucket}}/outputs/ \
--networking-mode VPC \
--configuration-name {{my-vpc-config}} \
--region {{us-west-2}}
```
**Parameter:**
+ **mode jaringan - Atur** untuk `VPC` mengaktifkan jaringan VPC. Nilai default-nya `RESTRICTED`.
+ **configuration-name** (required) — Nama konfigurasi yang akan digunakan.
### Melihat konfigurasi jaringan run
Gunakan `GetRun` untuk melihat konfigurasi jaringan untuk menjalankan:
```
aws omics get-run \
--id {{run-id}} \
--region {{region}}
```
Responsnya mencakup mode jaringan, detail konfigurasi, dan konfigurasi VPC. Contoh berikut menunjukkan VPC-related bidang dari respon:
```
{
"arn": "arn:aws:omics:{{region}}:{{account-id}}:run/{{run-id}}",
"id": "{{run-id}}",
"status": "{{status}}",
"workflowId": "{{workflow-id}}",
"networkingMode": "VPC",
"configuration": {
"name": "{{configuration-name}}",
"arn": "arn:aws:omics:{{region}}:{{account-id}}:configuration/{{configuration-name}}",
"uuid": "{{configuration-uuid}}"
},
"vpcConfig": {
"subnets": ["{{subnet-id-1}}", "{{subnet-id-2}}"],
"securityGroupIds": ["{{security-group-id}}"],
"vpcId": "{{vpc-id}}"
}
}
```
### Konfigurasi kekekalan
Alur kerja menggunakan snapshot konfigurasi seperti yang ada saat proses dimulai. Anda dapat dengan aman memodifikasi atau menghapus konfigurasi selama eksekusi run tanpa mempengaruhi proses aktif.
### Panggil pertimbangan caching
Saat menggunakan jaringan VPC dengan caching panggilan, pastikan mesin alur kerja Anda dikonfigurasi dengan tepat. Untuk panduan terperinci tentang caching panggilan per mesin, lihat[Engine-specific fitur caching](workflow-cache-per-engine.md).
**penting**
Saat menghubungkan ke sumber daya non-deterministik atau dinamis (misalnya, database pihak ketiga di internet publik), pertimbangkan untuk menggunakan fitur penyisihan tugas cache di alur kerja Anda untuk menghindari caching kumpulan data dinamis yang dapat memengaruhi keluaran run.
## Praktik terbaik
### Keamanan
1. **Gunakan grup keamanan dengan hak istimewa paling sedikit.** Izinkan hanya lalu lintas keluar minimum yang diperlukan. Gunakan blok CIDR tujuan tertentu, bukan 0.0.0. 0/0 bila memungkinkan. Dokumentasikan tujuan dari setiap aturan kelompok keamanan.
1. **Konfigurasi terpisah berdasarkan lingkungan.** Buat konfigurasi terpisah untuk pengembangan, pementasan, dan produksi. Gunakan VPC atau subnet yang berbeda untuk setiap lingkungan. Terapkan tag yang sesuai untuk konfigurasi untuk organisasi.
1. **Menerapkan pemantauan jaringan.** Aktifkan Log Aliran VPC untuk analisis keamanan. Siapkan CloudWatch alarm untuk pola lalu lintas yang tidak biasa. Tinjau CloudTrail log secara teratur untuk perubahan konfigurasi.
1. **Gunakan titik akhir VPC untuk layanan. AWS ** Konfigurasikan titik akhir VPC untuk Amazon S3, Amazon ECR, dan layanan lainnya. AWS Ini mengurangi biaya NAT Gateway, meningkatkan kinerja, dan memberikan keamanan tambahan dengan menjaga lalu lintas dalam AWS jaringan.
### Performa
1. **Rencanakan penskalaan jaringan.** Throughput jaringan dimulai pada 10 Gbps dan skala hingga 100 Gbps dari waktu ke waktu. Untuk kebutuhan throughput tinggi segera, rencanakan ke depan dan minta pra-pemanasan. Pantau metrik jaringan untuk memahami persyaratan alur kerja Anda.
1. **Terapkan Gateway NAT per Zona Ketersediaan.** Gunakan satu NAT Gateway per AZ untuk beban kerja produksi. Ini meningkatkan ketahanan dan throughput, serta mengurangi biaya transfer data lintas-AZ.
1. **Gunakan kembali konfigurasi.** Buat konfigurasi yang dapat dibagikan di beberapa alur kerja. Ini mengurangi overhead manajemen konfigurasi dan memastikan pengaturan jaringan yang konsisten.
1. **Uji konfigurasi sebelum penggunaan produksi.** Validasi konektivitas jaringan dengan alur kerja pengujian. Verifikasi aturan grup keamanan memungkinkan lalu lintas yang diperlukan. Uji skenario failover dengan konfigurasi Multi-AZ.
### Optimalisasi biaya
1. **Gunakan titik akhir VPC alih-alih NAT Gateway.** Untuk akses AWS layanan, gunakan titik akhir VPC (tanpa biaya pemrosesan data). Titik akhir Amazon S3 Gateway tidak memiliki biaya tambahan. Endpoint antarmuka memiliki biaya per jam tetapi bisa lebih hemat biaya daripada NAT Gateway.
1. **Pantau biaya transfer data.** Transfer data tidak dikenakan biaya. Transfer data ke internet menimbulkan kecepatan transfer AWS data standar. Cross-Region transfer data memiliki tingkat yang lebih tinggi. Gunakan AWS Cost Explorer untuk melacak VPC-related biaya.
1. **Right-size Penerapan NAT Gateway.** Untuk pengembangan, gunakan satu NAT Gateway untuk semua AZ. Untuk produksi, gunakan satu NAT Gateway per AZ untuk ketahanan. Pantau pemanfaatan NAT Gateway untuk menghindari penyediaan berlebih.
1. **Hapus konfigurasi yang tidak digunakan.** Secara teratur meninjau dan menghapus konfigurasi yang tidak lagi digunakan. Gunakan tag untuk mengidentifikasi kepemilikan dan tujuan konfigurasi.
### Operasional
1. **Gunakan nama konfigurasi deskriptif.** Sertakan lingkungan, tujuan, dan tim dalam nama (misalnya,`prod-genomics-vpc`,`dev-clinical-trials-vpc`).
1. **Tandai semua konfigurasi.** Gunakan strategi penandaan yang konsisten di semua sumber daya. Sertakan tag untuk Lingkungan, Pemilik CostCenter, dan Tujuan.
1. **Persyaratan jaringan dokumen.** Dokumentasikan layanan eksternal mana yang diakses setiap konfigurasi. Mempertahankan peta aturan kelompok keamanan dan tujuannya. Bagikan diagram arsitektur jaringan dengan tim Anda.
## Kuota jaringan VPC
Tabel berikut mencantumkan kuota untuk konfigurasi jaringan VPC:
| Sumber daya | Batas default | Dapat Disesuaikan |
| --- | --- | --- |
| Konfigurasi maksimum per akun | 10 | Ya |
| Grup keamanan maksimum per konfigurasi | 5 | Tidak |
| Subnet maksimum per konfigurasi | 16 | Tidak |
| Subnet maksimum per Zona Ketersediaan | 1 | Tidak |
| CreateConfiguration TPS API | 1 | Ya |
| Antarmuka jaringan elastis per Wilayah (VPC pelanggan) | 5.000 | Ya |
Untuk meminta peningkatan kuota, buka konsol [Service Quotas](https://console.aws.amazon.com/servicequotas/home), pilih layanan, **AWS HealthOmics**cari, **AWS pilih** kuota yang ingin Anda tambah, dan **pilih** Permintaan kenaikan kuota. Permintaan kenaikan kuota biasanya diproses dalam 1-2 hari kerja.