Openflow BYOC - Configurer une entrée personnalisée¶

Avantages¶

Une entrée personnalisée pour les déploiements Openflow BYOC fournit à votre organisation les avantages suivants :

• Une sécurité renforcée avec des restrictions au niveau du réseau qui peuvent limiter l’accès à votre VPN ou à votre réseau privé uniquement.

• Accès total à l’URL et au certificat TLS utilisé pour accéder à Openflow afin de répondre à vos exigences en matière de sécurité et de conformité.

Considérations¶

Avec l’entrée gérée par Snowflake, Openflow crée les enregistrements DNS et l’équilibreur de charge public nécessaires, et gère le certificat TLS pour les exécutions Openflow dans votre déploiement BYOC.

Lorsque vous activez une entrée personnalisée, Openflow ne gérera plus automatiquement les enregistrements DNS externes, ne créera pas automatiquement un équilibreur de charge public, et ne gérera plus les certificats pour les environnements d’exécution Openflow. Vous devez gérer ces ressources à l’intérieur de votre propre compte AWS.

Configurer une entrée personnalisée dans Snowflake Openflow¶

1. Activer l’ingress personnalisée lors de la création du déploiement.

   • Lors de la création du déploiement, activez Custom ingress et spécifiez votre nom de domaine pleinement qualifié favori (FQDN) dans le champ Hostname.

   • Vous devez être en mesure de gérer cet enregistrement DNS et créer un certificat TLS pour ce FQDN. N’utilisez pas un sous-domaine de snowflakecomputing.com.

   • Vous ne devez pas inclure le protocole https:// ou une barre oblique de fin / dans le FQDN.

   • Par exemple, si vous spécifiez openflow01.your-domain.org, vous accéderez à une exécution nommée « Mon exécution » à l’adresse suivante https://openflow01.your-domain.org/my-runtime/nifi/.

2. Téléchargez le modèle CloudFormation. Ce fichier contient tous les paramètres nécessaires à Openflow pour qu’il s’exécute comme votre domaine d’entrée personnalisé.

Configurer une entrée personnalisée dans AWS¶

1. Ajoutez la balise suivante aux sous-réseaux privés pour votre déploiement Openflow :

   • Clé : kubernetes.io/role/internal-elb

   • Valeur : 1

2. Si vos sous-réseaux privés sont utilisés par d’autres clusters EKS, vous devez également les baliser avec le nom du cluster Openflow. Cela permet à Openflow de créer un équilibreur de charge à côté d’autres équilibreurs de charge.

   • Clé : kubernetes.io/cluster/{deployment-key}

   • Valeur : 1

3. Chargez le modèle CloudFormation. Attendez environ 30 minutes qu’Openflow crée l’équilibreur de charge du réseau interne.

   • Vous pouvez trouver l’équilibreur de charge du réseau interne dans la console AWS sous EC2 » Load Balancers.

   • L’équilibreur de charge sera nommé runtime-ingress-{deployment-key}.

4. Obtenez l’adresse IP interne de l’équilibreur de charge du réseau interne AWS géré par Openflow.

   • Sous EC2 » Load Balancers, naviguez jusqu’à la page de détails et copiez le DNS name de l’équilibreur de charge.

   • Connectez-vous à votre instance EC2 d’agent (identifiée comme openflow-agent-{deployment-key}) et exécutez la commande nslookup {openflow-load-balancer-dns-name}.

   • Copier les adresses IP de l’équilibreur de charge du réseau interne AWS géré par Openflow. Il s’agit des destinations pour le groupe cible de l’équilibreur de charge que vous allez créer ultérieurement.

5. Fournissez un certificat TLS.

   • Obtenez un certificat TLS de l’équilibreur de charge qui gérera le trafic vers les UIs de l’environnement d’exécution Openflow. Vous pouvez générer un certificat en utilisant le gestionnaire de certificats AWS (ACM) ou importer un certificat existant.

6. Créez un équilibreur de charge du réseau qui acheminera le trafic vers l’équilibreur de charge du réseau interne AWS géré par Openflow.

   1. Dans votre compte AWS, créez un équilibreur de charge réseau avec la configuration suivante :

      • Nom : Nous recommandons la convention de dénomination custom-ingress-external-{deployment-key}, où {deployment-key} correspond à la clé de votre déploiement Openflow.

      • Type : Network Load Balancer

      • Schéma : Internal ou Internet-facing, en fonction de vos exigences.

      • VPC : sélectionnez le VPC de votre déploiement

      • Zones de disponibilité : Sélectionnez les deux zones de disponibilité dans lesquelles votre déploiement Openflow est en cours d’exécution.

      • Sous-réseaux : Sélectionner les sous-réseaux privés de votre VPC pour un équilibreur de charge Internal ou les sous-réseaux publics de votre VPC pour un équilibreur de charge Internet-facing.

      • Groupes de sécurité : Sélectionnez ou créez un groupe de sécurité qui autorise le trafic sur le port 443.

      • Certificat de serveur SSL/TLS par défaut : Importer votre certificat SSL/TLS

      • Groupe cible : Créez un nouveau groupe cible avec les paramètres suivants :

        • Type de cible : IP addresses

        • Protocole : TLS

        • Port : 443

        • VPC : Vérifier que le VPC correspond à votre déploiement

        • Tapez l’adresse IP de l’équilibreur de charge du réseau interne créé par Openflow (obtenu à l’étape précédente) comme cible et sélectionnez Include as pending below.

   2. Une fois l’équilibreur de charge créé, copiez le nom DNS de l’équilibreur de charge à utiliser à l’étape suivante.

   3. Pour plus d’informations sur la création d’un équilibreur de charge du réseau, consultez Créer un équilibreur de charge du réseau.

7. Créez un enregistrement DNS CNAME qui mappe votre FQDN d’entrée personnalisée vers le nom DNS de l’équilibreur de charge AWS.

   • Pour des instructions de configuration DNS détaillées dans Route 53, voir Créer des enregistrements dans Route 53.

Vérification¶

1. Le déploiement Openflow affiche un état Active dans la page Deployments.

2. Créez une exécution dans le déploiement Openflow.

3. Une fois que l’exécution est Active, cliquez sur le nom de l’exécution ou utilisez l’option de menu View canvas pour accéder à l’UI.

4. Openflow vous dirige vers l’exécution avec le nom d’hôte spécifié lors de la création du déploiement. Par exemple, https://openflow01.your-domain.org/my-runtime/nifi/.