本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Apache Airflow 存取模式
Amazon Managed Workflows for Apache Airflow 主控台包含內建選項,可設定您環境中 Apache Airflow Web 伺服器的私有或公有路由。本指南說明 Amazon Managed Workflows for Apache Airflow 環境上 Apache Airflow Web 伺服器可用的存取模式,以及如果您選擇私有網路選項,則需要在 Amazon VPC 中設定的其他資源。
**Contents**
+ [Apache Airflow 存取模式](#configuring-networking-onconsole)
+ [公有網路](#webserver-options-public-network-onconsole)
+ [私有網路](#webserver-options-private-network)
+ [存取模式概觀](#configuring-networking-access-overview)
+ [公有網路存取模式](#access-overview-public)
+ [私有網路存取模式](#access-overview-private)
+ [私有和公有存取模式的設定](#access-network-choose)
+ [公有網路的設定](#access-network-public)
+ [私有網路的設定](#access-network-private)
+ [存取 Apache Airflow Web 伺服器的 VPC 端點 (私有網路存取)](#configuring-access-vpce)
## Apache Airflow 存取模式
您可以為 Apache Airflow Web 伺服器選擇私有或公有路由。若要啟用私有路由,請選擇**私有網路**。這會限制使用者存取 Amazon VPC 內的 Apache Airflow Web 伺服器。若要啟用公有路由,請選擇**公有網路**。這可讓使用者透過網際網路存取 Apache Airflow Web 伺服器。
### 公有網路
下列架構圖說明具有公有 Web 伺服器的 Amazon MWAA 環境。
公有網路存取模式允許授予[您環境 IAM 政策](access-policies.md)存取權的使用者透過網際網路存取 Apache Airflow UI。
下圖說明在 Amazon MWAA 主控台上尋找**公有網路**選項的位置。
### 私有網路
下列架構圖說明具有私有 Web 伺服器的 Amazon MWAA 環境。
私有網路存取模式會將對 Apache Airflow UI 的存取限制在 *Amazon VPC 中*已授予[您環境 IAM 政策](access-policies.md)存取權的使用者。
當您建立具有私有 Web 伺服器存取權的環境時,您必須在 Python wheel 封存檔 (`.whl`) 中封裝所有相依性,然後在 `.whl`中參考 `requirements.txt`。如需使用 wheel 封裝和安裝相依性的說明,請參閱[使用 Python wheel 管理相依性](best-practices-dependencies.md#best-practices-dependencies-python-wheels)。
下圖說明在 Amazon MWAA 主控台上尋找**私有網路**選項的位置。
## 存取模式概觀
本節說明當您選擇**公有網路**或**私有網路**存取模式時,在 Amazon VPC 中建立的 VPC 端點 (AWS PrivateLink)。
### 公有網路存取模式
如果您為 Apache Airflow Web 伺服器選擇**公有網路**存取模式,網路流量會透過網際網路公開路由。
+ Amazon MWAA 會為您的 Amazon Aurora PostgreSQL 中繼資料資料庫建立 VPC 介面端點。端點是在映射到您的私有子網路的可用區域中建立的,並且獨立於其他子網路 AWS 帳戶。
+ 然後,Amazon MWAA 會將私有子網路的 IP 地址繫結至介面端點。這旨在支援從 Amazon VPC 的每個可用區域繫結單一 IP 的最佳實務。
### 私有網路存取模式
如果您為 Apache Airflow Web 伺服器選擇**私有網路**存取模式,網路流量會在 *Amazon VPC 內*私下路由。
+ Amazon MWAA 會為您的 Apache Airflow Web 伺服器建立 VPC 介面端點,並為 Amazon Aurora PostgreSQL 中繼資料資料庫建立介面端點。端點會在映射至您私有子網路的可用區域中建立,並獨立於其他子網路 AWS 帳戶。
+ 然後,Amazon MWAA 會將私有子網路的 IP 地址繫結至介面端點。這旨在支援從 Amazon VPC 的每個可用區域繫結單一 IP 的最佳實務。
若要進一步了解,請參閱 [Amazon VPC 和 Apache Airflow 存取模式的範例使用案例](networking-about.md#networking-about-network-usecase)。
## 私有和公有存取模式的設定
下一節說明根據您為環境選擇的 Apache Airflow 存取模式,您需要的其他設定和組態。
### 公有網路的設定
如果您為 Apache Airflow Web 伺服器選擇**公有網路**選項,您可以在建立環境後開始使用 Apache Airflow UI。
您需要採取下列步驟,為您的使用者設定存取權,以及您的環境使用其他 AWS 服務的許可。
1. **新增許可**。Amazon MWAA 需要許可才能使用其他 AWS 服務。當您建立環境時,Amazon MWAA 會建立[服務連結角色](mwaa-slr.md),允許它針對 Amazon Elastic Container Registry (Amazon ECR)、CloudWatch Logs 和 Amazon EC2 使用特定 IAM 動作。
您可以新增許可,以使用這些服務的其他動作,或透過將許可新增至執行角色 AWS 來使用其他服務。若要進一步了解,請參閱 [Amazon MWAA 執行角色](mwaa-create-role.md)。
1. **建立使用者政策**。您可能需要為使用者建立多個 IAM 政策,以設定對您環境和 Apache Airflow UI 的存取。若要進一步了解,請參閱 [存取 Amazon MWAA 環境](access-policies.md)。
### 私有網路的設定
如果您選擇 Apache Airflow Webserver 的**私有網路**選項,則需要為使用者設定存取權、環境使用其他服務的許可 AWS ,以及建立從電腦存取 Amazon VPC 中資源的機制。
1. **新增許可**。Amazon MWAA 需要許可才能使用其他 AWS 服務。當您建立環境時,Amazon MWAA 會建立[服務連結角色](mwaa-slr.md),允許它針對 Amazon Elastic Container Registry (Amazon ECR)、CloudWatch Logs 和 Amazon EC2 使用特定 IAM 動作。
您可以新增許可,以使用這些服務的其他動作,或透過將許可新增至執行角色 AWS 來使用其他服務。若要進一步了解,請參閱 [Amazon MWAA 執行角色](mwaa-create-role.md)。
1. **建立使用者政策**。您可能需要為使用者建立多個 IAM 政策,以設定對您環境和 Apache Airflow UI 的存取。若要進一步了解,請參閱 [存取 Amazon MWAA 環境](access-policies.md)。
1. **啟用網路存取**。您需要在 Amazon VPC 中建立機制,才能連線至 Apache Airflow Web 伺服器的 VPC 端點 (AWS PrivateLink)。例如,透過使用 從您的電腦建立 VPN 通道 AWS Client VPN。
## 存取 Apache Airflow Web 伺服器的 VPC 端點 (私有網路存取)
如果您已選擇**私有網路**選項,則需要在 Amazon VPC 中建立機制,以存取 Apache Airflow Web 伺服器的 VPC 端點 (AWS PrivateLink)。建議您針對這些資源使用與 Amazon MWAA 環境相同的 Amazon VPC、VPC 安全群組和私有子網路。
若要進一步了解,請參閱[管理 VPC 端點的存取](https://docs.aws.amazon.com/mwaa/latest/userguide/vpc-vpe-access.html)。