Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione degli endpoint Amazon VPC personali su Amazon MWAA
Amazon MWAA utilizza gli endpoint Amazon VPC per l'integrazione con vari AWS servizi necessari per configurare un ambiente Apache Airflow. La gestione dei propri endpoint ha due casi d’uso principali:
1. Significa che puoi creare ambienti Apache Airflow in un Amazon VPC condiviso quando usi [AWS Organizations](https://aws.amazon.com/organizations/)An per gestire più risorse e condividerle. Account AWS
1. Ti consente di utilizzare politiche di accesso più restrittive restringendo le autorizzazioni alle risorse specifiche che utilizzano i tuoi endpoint.
Se scegli di gestire i tuoi endpoint VPC, sei responsabile della creazione dei tuoi endpoint per l'ambiente RDS per il database PostgreSQL e per l'ambiente webserver.
[Per ulteriori informazioni su come Amazon MWAA implementa Apache Airflow nel cloud, consulta il diagramma dell'architettura di Amazon MWAA.](what-is-mwaa.md#architecture-mwaa)
**Importante**
Amazon MWAA non convalida la selezione del tipo di indirizzo IP (`AddressType`) per gli endpoint gestiti dal cliente, quindi assicurati di specificare correttamente `AddressType` (le opzioni valide sono o). IPv4 IPv6
## Creazione di un ambiente in un Amazon VPC condiviso
Se gestisci più risorse Account AWS che condividono, puoi utilizzare endpoint VPC gestiti dal cliente con Amazon MWAA per condividere le risorse dell'ambiente con un altro account della tua organizzazione. [AWS Organizations](https://aws.amazon.com/organizations/)
Quando configuri l'accesso VPC condiviso, l'account che possiede l'Amazon VPC principale (*proprietario*) condivide le due sottoreti private richieste da Amazon MWAA con altri account *(*partecipanti) che appartengono alla stessa organizzazione. Gli account dei partecipanti che condividono tali sottoreti possono visualizzare, creare, modificare ed eliminare ambienti nell'Amazon VPC condiviso.
Supponiamo di avere un account`Owner`, che funge da `Root` account nell'organizzazione e possiede le risorse Amazon VPC, e un account partecipante`Participant`, membro della stessa organizzazione. Quando `Participant` crea un nuovo Amazon MWAA in Amazon VPC con cui lo condivide, `Owner` Amazon MWAA crea prima le risorse VPC del servizio, quindi entra in uno stato per un massimo di 72 ore. [https://docs.aws.amazon.com/mwaa/latest/API/API_Environment.html#mwaa-Type-Environment-Status](https://docs.aws.amazon.com/mwaa/latest/API/API_Environment.html#mwaa-Type-Environment-Status)
Dopo che lo stato dell'ambiente cambia da `CREATING` a`PENDING`, un principale che agisce per conto di crea gli endpoint richiesti. `Owner` A tale scopo, Amazon MWAA elenca il database e l'endpoint del server Web nella console Amazon MWAA. Puoi anche richiamare l'azione []()API per ottenere gli endpoint del servizio.
**Nota**
Se l'Amazon VPC che usi per condividere risorse è un Amazon VPC privato, devi comunque completare i passaggi descritti in. [Gestione dell'accesso agli endpoint Amazon VPC specifici del servizio su Amazon MWAA](vpc-vpe-access.md) L'argomento tratta la configurazione di un set diverso di endpoint Amazon VPC relativi ad altri AWS servizi con cui AWS si integra, come Amazon ECR, Amazon ECS e Amazon SQS. Questi servizi sono essenziali per il funzionamento e la gestione dell'ambiente Apache Airflow nel cloud.
### Prerequisiti
Prima di creare un ambiente Amazon MWAA in un VPC condiviso, sono necessarie le seguenti risorse:
+ E Account AWS, `Owner` da utilizzare come account proprietario di Amazon VPC.
+ Un'unità [AWS Organizations](https://aws.amazon.com/organizations/)organizzativa, `MyOrganization` creata come *radice*.
+ Una seconda Account AWS`Participant`, destinata `MyOrganization` a servire l'account del partecipante che crea il nuovo ambiente.
Inoltre, ti consigliamo di acquisire familiarità con le [responsabilità e le autorizzazioni dei proprietari e dei partecipanti](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations) quando condividono risorse in Amazon VPC.
### Crea Amazon VPC
Innanzitutto, crea un nuovo Amazon VPC che gli account del proprietario e del partecipante condivideranno:
1. Accedi alla console utilizzando`Owner`, quindi, apri la CloudFormation console. Usa il seguente modello per creare uno stack. Questo stack fornisce una serie di risorse di rete, tra cui un Amazon VPC e le sottoreti che i due account condivideranno in questo scenario.
```
AWSTemplateFormatVersion: "2010-09-09"
Description: >-
This template deploys a VPC, with a pair of public and private subnets spread across two Availability Zones. It deploys an internet gateway, with a default route on the public subnets. It deploys a pair of NAT gateways (one in each AZ), and default routes for them in the private subnets.
Parameters:
EnvironmentName:
Description: An environment name that is prefixed to resource names
Type: String
Default: mwaa-
VpcCIDR:
Description: Please enter the IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PublicSubnet1CIDR:
Description: >-
Please enter the IP range (CIDR notation) for the public subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PublicSubnet2CIDR:
Description: >-
Please enter the IP range (CIDR notation) for the public subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
PrivateSubnet1CIDR:
Description: >-
Please enter the IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.20.0/24
PrivateSubnet2CIDR:
Description: >-
Please enter the IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.21.0/24
Resources:
VPC:
Type: 'AWS::EC2::VPC'
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGateway:
Type: 'AWS::EC2::InternetGateway'
Properties:
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGatewayAttachment:
Type: 'AWS::EC2::VPCGatewayAttachment'
Properties:
InternetGatewayId: !Ref InternetGateway
VpcId: !Ref VPC
PublicSubnet1:
Type: 'AWS::EC2::Subnet'
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select
- 0
- !GetAZs ''
CidrBlock: !Ref PublicSubnet1CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub '${EnvironmentName} Public Subnet (AZ1)'
PublicSubnet2:
Type: 'AWS::EC2::Subnet'
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select
- 1
- !GetAZs ''
CidrBlock: !Ref PublicSubnet2CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub '${EnvironmentName} Public Subnet (AZ2)'
PrivateSubnet1:
Type: 'AWS::EC2::Subnet'
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select
- 0
- !GetAZs ''
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub '${EnvironmentName} Private Subnet (AZ1)'
PrivateSubnet2:
Type: 'AWS::EC2::Subnet'
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select
- 1
- !GetAZs ''
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub '${EnvironmentName} Private Subnet (AZ2)'
NatGateway1EIP:
Type: 'AWS::EC2::EIP'
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway2EIP:
Type: 'AWS::EC2::EIP'
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway1:
Type: 'AWS::EC2::NatGateway'
Properties:
AllocationId: !GetAtt NatGateway1EIP.AllocationId
SubnetId: !Ref PublicSubnet1
NatGateway2:
Type: 'AWS::EC2::NatGateway'
Properties:
AllocationId: !GetAtt NatGateway2EIP.AllocationId
SubnetId: !Ref PublicSubnet2
PublicRouteTable:
Type: 'AWS::EC2::RouteTable'
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub '${EnvironmentName} Public Routes'
DefaultPublicRoute:
Type: 'AWS::EC2::Route'
DependsOn: InternetGatewayAttachment
Properties:
RouteTableId: !Ref PublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref InternetGateway
PublicSubnet1RouteTableAssociation:
Type: 'AWS::EC2::SubnetRouteTableAssociation'
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet1
PublicSubnet2RouteTableAssociation:
Type: 'AWS::EC2::SubnetRouteTableAssociation'
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet2
PrivateRouteTable1:
Type: 'AWS::EC2::RouteTable'
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub '${EnvironmentName} Private Routes (AZ1)'
DefaultPrivateRoute1:
Type: 'AWS::EC2::Route'
Properties:
RouteTableId: !Ref PrivateRouteTable1
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway1
PrivateSubnet1RouteTableAssociation:
Type: 'AWS::EC2::SubnetRouteTableAssociation'
Properties:
RouteTableId: !Ref PrivateRouteTable1
SubnetId: !Ref PrivateSubnet1
PrivateRouteTable2:
Type: 'AWS::EC2::RouteTable'
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub '${EnvironmentName} Private Routes (AZ2)'
DefaultPrivateRoute2:
Type: 'AWS::EC2::Route'
Properties:
RouteTableId: !Ref PrivateRouteTable2
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway2
PrivateSubnet2RouteTableAssociation:
Type: 'AWS::EC2::SubnetRouteTableAssociation'
Properties:
RouteTableId: !Ref PrivateRouteTable2
SubnetId: !Ref PrivateSubnet2
SecurityGroup:
Type: 'AWS::EC2::SecurityGroup'
Properties:
GroupName: mwaa-security-group
GroupDescription: Security group with a self-referencing inbound rule.
VpcId: !Ref VPC
SecurityGroupIngress:
Type: 'AWS::EC2::SecurityGroupIngress'
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: '-1'
SourceSecurityGroupId: !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
PublicSubnets:
Description: A list of the public subnets
Value: !Join
- ','
- - !Ref PublicSubnet1
- !Ref PublicSubnet2
PrivateSubnets:
Description: A list of the private subnets
Value: !Join
- ','
- - !Ref PrivateSubnet1
- !Ref PrivateSubnet2
PublicSubnet1:
Description: A reference to the public subnet in the 1st Availability Zone
Value: !Ref PublicSubnet1
PublicSubnet2:
Description: A reference to the public subnet in the 2nd Availability Zone
Value: !Ref PublicSubnet2
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
SecurityGroupIngress:
Description: Security group with self-referencing inbound rule
Value: !Ref SecurityGroupIngress
```
1. Dopo aver effettuato il provisioning delle nuove risorse Amazon VPC, accedi alla AWS Resource Access Manager console, quindi scegli **Crea** condivisione di risorse.
1. Scegli le sottoreti che hai creato nel primo passaggio dall'elenco delle sottoreti disponibili con cui puoi condividere. `Participant`
### Creazione dell'ambiente
Completa i seguenti passaggi per creare un ambiente Amazon MWAA con endpoint Amazon VPC gestiti dal cliente.
1. Accedi utilizzando `Participant` e apri la console Amazon MWAA. Completa la **prima fase: specifica i dettagli** per specificare un bucket Amazon S3, una cartella DAG e le dipendenze per il nuovo ambiente. [Per ulteriori informazioni, consulta la sezione Guida introduttiva.](create-environment.md#create-environment-start-details)
1. Nella pagina **Configura impostazioni avanzate**, in **Rete**, scegli le sottoreti dall'Amazon VPC condiviso.
1. In **Gestione degli endpoint**, scegli **CLIENTE** dall'elenco a discesa.
1. Mantieni l'impostazione predefinita per le opzioni rimanenti sulla pagina, quindi scegli **Crea ambiente** nella pagina **Rivedi e crea**.
L'ambiente inizia in uno `CREATING` stato, poi diventa`PENDING`. Quando l'ambiente lo è`PENDING`, annota il nome del **servizio endpoint del database e il nome** del **servizio endpoint del server web** (se hai configurato un server web privato) utilizzando la console.
Quando crei un nuovo ambiente utilizzando la console Amazon MWAA. Amazon MWAA crea un nuovo gruppo di sicurezza con le regole in entrata e in uscita richieste. Annotare l'ID del gruppo di sicurezza.
Nella prossima sezione, `Owner` utilizzerà gli endpoint del servizio e l'ID del gruppo di sicurezza per creare nuovi endpoint Amazon VPC nell'Amazon VPC condiviso.
### Crea gli endpoint Amazon VPC
Completa i seguenti passaggi per creare gli endpoint Amazon VPC richiesti per il tuo ambiente.
1. Accedi a Console di gestione AWS using`Owner`, open. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Scegli **Gruppi di sicurezza** dal pannello di navigazione a sinistra, quindi crea un nuovo gruppo di sicurezza nell'Amazon VPC condiviso utilizzando le seguenti regole in entrata e in uscita:
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/vpc-endpoint-management.html)
**avvertimento**
L'`Owner`account deve configurare un gruppo di sicurezza nell'`Owner`account per consentire il traffico dal nuovo ambiente all'Amazon VPC condiviso. Puoi farlo creando un nuovo gruppo di sicurezza in `Owner` o modificandone uno esistente.
1. Scegli **Endpoints**, quindi crea nuovi endpoint per il database dell'ambiente e il server web (se in modalità privata) utilizzando i nomi dei servizi endpoint dei passaggi precedenti. Scegli l'Amazon VPC condiviso, le sottoreti utilizzate per l'ambiente e il gruppo di sicurezza dell'ambiente.
In caso di successo, l'ambiente cambierà da zero `PENDING` a`CREATING`, poi finalmente a. `AVAILABLE` Quando lo è`AVAILABLE`, puoi accedere alla console Apache Airflow.
### Risoluzione dei problemi con Amazon VPC condiviso
Utilizza il seguente riferimento per risolvere i problemi riscontrati durante la creazione di ambienti in un Amazon VPC condiviso.
**Ambiente in `CREATE_FAILED` stato successivo `PENDING`**
+ Verifica che `Owner` stia condividendo le sottoreti con `Participant` using. [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ Verifica che gli endpoint Amazon VPC per il database e il server web siano creati nelle stesse sottoreti associate all'ambiente.
+ Verifica che il gruppo di sicurezza utilizzato con i tuoi endpoint consenta il traffico proveniente dai gruppi di sicurezza utilizzati per l'ambiente. L'`Owner`account crea regole che fanno riferimento al gruppo di sicurezza `Participant` come`{{123456789012}}/{{security-group-id}}`:.
[See the AWS documentation website for more details](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/vpc-endpoint-management.html)
Per ulteriori informazioni, consulta [Responsabilità e autorizzazioni per proprietari e partecipanti](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations)
**Ambiente bloccato nello `PENDING` stato**
Verifica lo stato di ogni endpoint VPC per assicurarti che lo sia. `Available` Se configuri un ambiente con un server web privato, devi anche creare un endpoint per il server web. Se l'ambiente è bloccato`PENDING`, ciò potrebbe indicare che manca l'endpoint del server web privato.
**Errore ricevuto `The Vpc Endpoint Service '{{vpce-service-name}}' does not exist`**
Se fai riferimento al seguente errore, verifica che l'account che crea gli endpoint sia nell'`Owner`account proprietario del VPC condiviso:
```
ClientError: An error occurred (InvalidServiceName) when calling the CreateVpcEndpoint operation:
The Vpc Endpoint Service '{{vpce-service-name}}' does not exist
```