Comment accéder à l'interface utilisateur d'Apache Airflow en utilisant le mode d’accès au réseau privé dans mon environnement Amazon MWAA ?

Lecture de 4 minute(s)
0

Je reçois la notification d’erreur « Connexion expirée » lorsque j'essaie d'ouvrir l'interface utilisateur Apache Airflow dans mon environnement Amazon Managed Workflows for Apache Airflow (Amazon MWAA).

Brève description

L'environnement Amazon MWAA propose les modes d'accès publics et privés pour accéder à l'interface utilisateur Apache Airflow. En mode d'accès public, le serveur Web Apache Airflow est connecté à Internet, et donc accessible sans aucun besoin de configuration supplémentaire. Toutefois, il vous est impossible de contrôler l'accès réseau du serveur Web Apache Airflow à l'aide d'un groupe de sécurité. Par conséquent, ce mode est considérée moins sécurisé que le mode d'accès privé. En mode d'accès privé, le serveur Web Apache Airflow est uniquement connecté à Amazon Virtual Private Cloud (Amazon VPC) de l'environnement. Pour chaque environnement, Amazon MWAA créé un point de terminaison d’un VPC dans votre Cloud privé virtuel. Par conséquent, l’accès à l'interface utilisateur d'Apache Airflow est conditionné par l’accès au VPC. Le mode d'accès privé requière une configuration réseau supplémentaire.

Résolution

Il vous est possible d’accéder au serveur Web Apache Airflow en mode d'accès privé en utilisant l'une des approches suivantes.

AWS Direct Connect ou VPN

Si vous disposez d'une connexion AWS Direct Connect ou VPN pour connecter votre réseau sur site à Amazon VPC, contactez votre équipe réseau afin de configurer l'accès à l'adresse du serveur Web Amazon MWAA. Une fois le chemin réseau établi, examinez les groupes de sécurité liés à l'environnement afin de vous assurer que le serveur Web Amazon MWAA autorise le trafic HTTPS (TCP 443) en provenance de l'adresse IP ou du sous-réseau source. Vous pouvez également utiliser un VPN client AWS pour configurer l'accès au réseau privé.

Si des problèmes subsistent, essayez les approches suivantes :

  • Vérifiez la résolution DNS à l'aide d'outils tels que nslookup ou dig (dig<airflow-web-server-address>).
  • Vérifiez la connectivité du port à l'aide d'un outil tel que telnet (telnet<airflow-web-server-address-443>).

Si le problème persiste, vérifiez si un proxy Web est configuré sur le navigateur. Dans ce cas de figure, essayez de désactiver le proxy pour effectuer des tests, ou corrigez le problème dans la configuration du proxy.

Hôte Linux bastion

L’hôte bastion peut être utilisé comme intermédiaire entre le réseau Internet et le sous-réseau privé. L'hôte est généralement une machine Linux disposant d’un serveur SSH en cours d'exécution. Vous pouvez établir un tunnel SSH vers l'hôte bastion pour accéder aux ressources dans votre Amazon VPC. Vous pouvez ensuite utiliser un proxy de navigateur tel que FoxyProxy, pour ouvrir l'interface utilisateur d'Apache Airflow via le tunnel SSH. Consultez le Didacticiel : Configuration de l'accès au réseau privé à l'aide d'un hôte bastion Linux pour en savoir plus sur la configuration d’un hôte bastion Linux.

Si vous disposez d'une instance Amazon Elastic Compute Cloud (Amazon EC2) avec une interface utilisateur graphique (GUI), telle qu'une machine Windows, il vous est possible d’accéder à l'interface utilisateur Apache Airflow par le biais de cette instance.

Équilibreur de charge

L’équilibreur de charge peut également être utilisé comme intermédiaire entre le réseau Internet et le sous-réseau privé. Contrairement à l'hôte bastion, l’équilibreur de charge vous offre la possibilité d’accéder directement à son adresse sans aucune configuration supplémentaire.

Pour la configuration de l'équilibreur de charge, procédez comme suit :

  1. Identifiez les adresses IP privées du serveur Web MWAA. Effectuez une recherche DNS sur l'adresse de l'interface utilisateur Apache Airflow (dig +short<airflow-web-server-address>) pour obtenir ces adresses IP.
  2. Créez un groupe cible pour les adresses IP privées du serveur Web Amazon MWAA.
  3. Configurez les paramètres de surveillance de l'état du groupe cible pour inclure 200 et 302 pour concorder.
    Remarque : Sans cette configuration, les cibles peuvent être signalées comme défectueuses lorsque le serveur Web Apache Airflow répond par un Rediriger 302.
  4. Créez un Application Load Balancer avec un écouteur HTTPS et le groupe cible créé.
    Remarque : vous devez disposer d'un certificat SSL avant de créer un écouteur HTTPS. Vous pouvez créer un certificat SSL grâce à AWS Certificate Manager (ACM) en vous connectant au domaine ou sous-domaine de votre choix.
  5. Testez l'accès à l'interface utilisateur d'Apache Airflow en vous servant de l'adresse de l'Application Load Balancer que vous avez créé.

Remarque : pour accéder à l'interface utilisateur Apache Airflow, Amazon MWAA requière un jeton de connexion Web. Par conséquent, vous devez créer le jeton de connexion Web et le transmettre en tant que chaîne de requête au moment d’accéder à l'interface utilisateur Apache Airflow via l'Application Load Balancer. Consultez Accès à un environnement privé Amazon MWAA à l'aide d'identités fédérées pour automatiser la création de ce jeton.


Informations connexes

Modes d'accès Apache Airflow

Accès à l'interface utilisateur d'Apache Airflow

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans