

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 關於 Amazon MWAA 上的聯網
<a name="networking-about"></a>

Amazon VPC 是與您的 連結的虛擬網路 AWS 帳戶。它可讓您透過提供對虛擬基礎設施和網路流量分段的精細控制，獲得雲端安全性和動態擴展的能力。此頁面說明支援 Amazon Managed Workflows for Apache Airflow 環境所需的具有*公有路由*或*私有路由*的 Amazon VPC 基礎設施。

**Contents**
+ [條款](#networking-about-defs)
+ [支援的內容](#networking-about-supported)
+ [VPC 基礎設施概觀](#networking-about-overview)
  + [透過網際網路的公有路由](#networking-about-overview-public)
  + [沒有網際網路存取的私有路由](#networking-about-overview-private)
+ [Amazon VPC 和 Apache Airflow 存取模式的範例使用案例](#networking-about-network-usecase)
  + [允許網際網路存取 - 新的 Amazon VPC 網路](#networking-about-network-usecase-internet)
  + [不允許網際網路存取 - 新的 Amazon VPC 網路](#networking-about-network-usecase-nointernet)
  + [不允許網際網路存取 - 現有的 Amazon VPC 網路](#networking-about-network-usecase-nointernet-existing-vpc)

## 條款
<a name="networking-about-defs"></a>

**公有路由**  
可存取網際網路的 Amazon VPC 網路。

**私有路由**  
**無法存取**網際網路的 Amazon VPC 網路。

## 支援的內容
<a name="networking-about-supported"></a>

下表說明 Amazon VPCsAmazon MWAA 支援的類型。


| Amazon VPC 類型 | 支援 | 
| --- | --- | 
| 正在嘗試建立環境的帳戶所擁有的 Amazon VPC。 | 是 | 
| 共用的 Amazon VPC，其中多個 會 AWS 帳戶 建立其 AWS 資源。 | 是 | 

## VPC 基礎設施概觀
<a name="networking-about-overview"></a>

當您建立 Amazon MWAA 環境時，Amazon MWAA 會根據您為環境選擇的 Apache Airflow 存取模式，為您的環境建立一到兩個 VPC 端點。這些端點會在 Amazon VPC 中顯示為具有私有 IPs彈性網路界面 (ENIs)。建立這些端點之後，任何目的地為這些 IPs流量都會私下或公開路由至您環境所使用的對應 AWS 服務。

下節說明透過網際網路公開路由流量所需的 Amazon VPC 基礎設施，或在 *Amazon VPC 內*私下路由流量。

### 透過網際網路的公有路由
<a name="networking-about-overview-public"></a>

本節說明具有公有路由之環境的 Amazon VPC 基礎設施。您需要下列 VPC 基礎設施：
+ **一個 VPC 安全群組**。VPC 安全群組充當虛擬防火牆，以控制執行個體上的傳入 （傳入） 和傳出 （傳出） 網路流量。
  + 最多可指定 5 個安全群組。
  + 安全群組必須指定自我參考的傳入規則給自己。
  + 安全群組必須為所有流量指定傳出規則 (`0.0.0.0/0`對於 IPv6，請使用 `::/0`)。
  + 安全群組必須允許自我參考規則中的所有流量。例如 [（建議） 所有存取自我參考安全群組的範例](vpc-security.md#vpc-security-sg-example)。
  + 安全群組可以透過指定 HTTPS 連接埠範圍`443`和 TCP 連接埠範圍 來*選擇性地*進一步限制流量`5432`。例如，[（選用） 限制連接埠 5432 傳入存取的安全群組範例](vpc-security.md#vpc-security-sg-example-port5432) 和 [（選用） 限制連接埠 443 傳入存取的安全群組範例](vpc-security.md#vpc-security-sg-example-port443)。
+ **兩個公有子網路**。公有子網路是一種子網路，其與具有網際網路閘道路由的路由表相關聯。
  + 需要兩個公有子網路。這可讓 Amazon MWAA 在某個容器故障時，為其他可用區域中的環境建立新的容器映像。
  + 子網路必須位於不同的可用區域。例如 `us-east-1a` 和 `us-east-1b`。
  + 子網路必須使用彈性 IP 地址 (EIP) 路由至 NAT 閘道 （或 NAT 執行個體）。
  + 子網路必須具有路由表，將網際網路繫結流量導向網際網路閘道。
+ **兩個私有子網路**。私有子網路是與具有網際網路閘道路由的路由表**沒有**關聯的子網路。
  + 需要兩個私有子網路。這可讓 Amazon MWAA 在某個容器故障時，為其他可用區域中的環境建立新的容器映像。
  + 子網路必須位於不同的可用區域。例如 `us-east-1a` 和 `us-east-1b`。
  + 子網路*必須*具有 NAT 裝置 （閘道或執行個體） 的路由表。
  + 子網路**不得**路由至網際網路閘道。
  + 將 IPv6 子網路`true`的 `assignIpV6AddressOnCreation`設定為 。
  + 對於 IPv6 私有子網路，您必須擁有輸出限定網際網路閘道 (EIGW) 的連線。
+ **網路存取控制清單 (ACL)**。NACL 會在子網路層級管理 （透過允許或拒絕規則） 傳入和傳出流量。
  + NACL 必須具有允許所有流量的傳入規則 (`0.0.0.0/0`對於 IPv6，請使用 `::/0`)。
  + NACL 必須具有允許所有流量的傳出規則 (`0.0.0.0/0`對於 IPv6，請使用 `::/0`)。
  + 例如 [（建議） 範例 ACLs](vpc-security.md#vpc-security-acl-example)。
+ **兩個 NAT 閘道 （或 NAT 執行個體）**。NAT 裝置會將流量從私有子網路中的執行個體轉送到網際網路或其他 AWS 服務，然後將回應路由回執行個體。
  + NAT 裝置必須連接到公有子網路。（每個公有子網路一個 NAT 裝置。)
  + NAT 裝置必須具有連接到每個公有子網路的彈性 IPv4 地址 (EIP)。
+ **網際網路閘道**。網際網路閘道會將 Amazon VPC 連線至網際網路和其他 AWS 服務。
  + 網際網路閘道必須連接到 Amazon VPC。

### 沒有網際網路存取的私有路由
<a name="networking-about-overview-private"></a>

本節說明具有*私有路由*之環境的 Amazon VPC 基礎設施。您需要下列 VPC 基礎設施：
+ **一個 VPC 安全群組**。VPC 安全群組充當虛擬防火牆，以控制執行個體上的傳入 （傳入） 和傳出 （傳出） 網路流量。
  + 最多可指定 5 個安全群組。
  + 安全群組必須指定自我參考的傳入規則給自己。
  + 安全群組必須為所有流量指定傳出規則 (`0.0.0.0/0`對於 IPv6，請使用 `::/0`)。
  + 安全群組必須允許自我參考規則中的所有流量。例如 [（建議） 所有存取自我參考安全群組的範例](vpc-security.md#vpc-security-sg-example)。
  + 安全群組可以透過指定 HTTPS 連接埠範圍`443`和 TCP 連接埠範圍 來*選擇性地*進一步限制流量`5432`。例如，[（選用） 限制連接埠 5432 傳入存取的安全群組範例](vpc-security.md#vpc-security-sg-example-port5432) 和 [（選用） 限制連接埠 443 傳入存取的安全群組範例](vpc-security.md#vpc-security-sg-example-port443)。
+ **兩個私有子網路**。私有子網路是與具有網際網路閘道路由的路由表**沒有**關聯的子網路。
  + 需要兩個私有子網路。這可讓 Amazon MWAA 在某個容器故障時，為其他可用區域中的環境建立新的容器映像。
  + 子網路必須位於不同的可用區域。例如 `us-east-1a` 和 `us-east-1b`。
  + 子網路必須具有 VPC 端點的路由表。
  + 子網路必須具有 EIGW 的路由表，才能從網際網路下載做為 DAG 的一部分。
  + 子網路不得具有 NAT 裝置 （閘道或執行個體） 的路由表**，也****不得**具有網際網路閘道。
+ **網路存取控制清單 (ACL)**。NACL 會在子網路層級管理 （透過允許或拒絕規則） 傳入和傳出流量。
  + NACL 必須具有允許所有流量的傳入規則 (`0.0.0.0/0`對於 IPv6，請使用 `::/0`)。
  + NACL 必須具有拒絕所有流量的傳出規則 (`0.0.0.0/0`對於 IPv6，請使用 `::/0`)。
  + 例如 [（建議） 範例 ACLs](vpc-security.md#vpc-security-acl-example)。
+ **本機路由表**。本機路由表是 VPC 內通訊的預設路由。
  + 本機路由表必須與私有子網路相關聯。
  + 本機路由表必須啟用 VPC 中的執行個體，才能與您自己的網路通訊。例如，如果您使用 AWS Client VPN 存取 Apache Airflow Web 伺服器的 VPC 介面端點，路由表必須路由至 VPC 端點。
+ 您環境所使用的每個 AWS 服務的 **VPC 端點**，以及與 Amazon MWAA 環境位於相同 AWS 區域 和 Amazon VPC 中的 Apache Airflow VPC 端點。
  + Apache Airflow 的環境和 VPC 端點所使用的每個 AWS 服務的 VPC 端點。例如 [（必要） VPC 端點](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-examples)。
  + VPC 端點必須啟用私有 DNS。
  + VPC 端點必須與您環境的兩個私有子網路相關聯。
  + VPC 端點必須與環境的安全群組相關聯。
  + 每個端點的 VPC 端點政策必須設定為允許存取環境使用 AWS 的服務。例如 [（建議） 允許所有存取的 VPC 端點政策範例](vpc-security.md#vpc-external-vpce-policies-all)。
  + Amazon S3 的 VPC 端點政策必須設定為允許儲存貯體存取。例如 [（建議） 允許儲存貯體存取的 Amazon S3 閘道端點政策範例](vpc-security.md#vpc-external-vpce-policies-s3)。

## Amazon VPC 和 Apache Airflow 存取模式的範例使用案例
<a name="networking-about-network-usecase"></a>

本節說明 Amazon VPC 中網路存取的不同使用案例，以及 Amazon MWAA 主控台上的 Apache Airflow Web 伺服器存取模式選擇。

### 允許網際網路存取 - 新的 Amazon VPC 網路
<a name="networking-about-network-usecase-internet"></a>

如果您的組織允許 VPC 中的網際網路存取，*而且*您希望使用者透過網際網路存取 Apache Airflow Web 伺服器：

1. 建立具有網際網路存取的 Amazon VPC 網路。

1. 為您的 Apache Airflow Web 伺服器建立具有**公有網路**存取模式的環境。

1. **建議的內容**：我們建議您同時使用建立 Amazon VPC 基礎設施、Amazon S3 儲存貯體和 Amazon MWAA 環境的 CloudFormation 快速入門範本。若要進一步了解，請參閱 [Amazon Managed Workflows for Apache Airflow 的快速入門教學課程](quick-start.md)。

如果您的組織允許 VPC 中的網際網路存取，*而且*您想要將 Apache Airflow Webserver 存取限制在 VPC 內的使用者：

1. 建立具有網際網路存取的 Amazon VPC 網路。

1. 建立從電腦存取 Apache Airflow Webserver VPC 介面端點的機制。

1. 為您的 Apache Airflow Web 伺服器建立具有**私有網路**存取模式的環境。

1. **我們建議的內容**：

   1. 建議您在 中使用 Amazon MWAA 主控台[選項一：在 Amazon MWAA 主控台上建立 VPC 網路](vpc-create.md#vpc-create-mwaa-console)，或在 中使用 CloudFormation 範本[選項二：建立*具有*網際網路存取的 Amazon VPC 網路](vpc-create.md#vpc-create-template-private-or-public)。

   1. 建議您在 中使用 AWS Client VPN 設定對 Apache Airflow Webserver 的存取[教學課程：使用 設定私有網路存取 AWS Client VPN](tutorials-private-network-vpn-client.md)。

### 不允許網際網路存取 - 新的 Amazon VPC 網路
<a name="networking-about-network-usecase-nointernet"></a>

如果您的組織**不允許** VPC 中的網際網路存取：

1. 建立沒有網際網路存取的 Amazon VPC 網路。

1. 建立從電腦存取 Apache Airflow Webserver VPC 介面端點的機制。

1. 為您的環境使用的每個 AWS 服務建立 VPC 端點。

1. 為您的 Apache Airflow Web 伺服器建立具有**私有網路**存取模式的環境。

1. **我們建議的內容**：

   1. 我們建議您使用 CloudFormation 範本來建立沒有網際網路存取的 Amazon VPC，以及 Amazon MWAA 在 中使用之每個 AWS 服務的 VPC 端點[選項三：在沒有網際網路存取*的情況下*建立 Amazon VPC 網路](vpc-create.md#vpc-create-template-private-only)。

   1. 建議您在 中使用 AWS Client VPN 設定對 Apache Airflow Webserver 的存取[教學課程：使用 設定私有網路存取 AWS Client VPN](tutorials-private-network-vpn-client.md)。

### 不允許網際網路存取 - 現有的 Amazon VPC 網路
<a name="networking-about-network-usecase-nointernet-existing-vpc"></a>

如果您的組織**不允許** VPC 中的網際網路存取，*且*您已擁有沒有網際網路存取的必要 Amazon VPC 網路：

1. 為您的環境使用的每個 AWS 服務建立 VPC 端點。

1. 為 Apache Airflow 建立 VPC 端點。

1. 建立從電腦存取 Apache Airflow Webserver VPC 介面端點的機制。

1. 為您的 Apache Airflow Web 伺服器建立具有**私有網路**存取模式的環境。

1. **我們建議的內容**：

   1. 建議您建立和連接 Amazon MWAA 使用的每個 AWS 服務所需的 VPC 端點，以及 中 Apache Airflow 所需的 VPC 端點[在具有私有路由的 Amazon VPC 中建立所需的 VPC 服務端點](vpc-vpe-create-access.md)。

   1. 建議您在 中使用 AWS Client VPN 設定對 Apache Airflow Webserver 的存取[教學課程：使用 設定私有網路存取 AWS Client VPN](tutorials-private-network-vpn-client.md)。