BYOC do Openflow – Configurar entrada personalizada¶

Benefícios¶

A entrada personalizada para implantações BYOC do Openflow oferece à sua organização:

• Segurança reforçada com restrições no nível da rede que podem limitar o acesso apenas à sua VPN ou rede privada.

• Controle completo do URL e do certificado TLS usado para acessar o Openflow para atender aos seus requisitos de segurança e conformidade.

Considerações¶

Com a entrada gerenciada pelo Snowflake, o Openflow cria os registros DNS e o balanceador de carga público necessários e gerencia o certificado TLS para os tempos de execução do Openflow em sua implantação BYOC.

Ao ativar a entrada personalizada, o Openflow não gerenciará mais automaticamente os registros DNS externos, não criará um balanceador de carga público automaticamente e não gerenciará mais os certificados para os tempos de execução do Openflow. É necessário gerenciar esses recursos em sua própria conta AWS.

Configurar a entrada personalizada no Snowflake Openflow¶

1. Ative a entrada personalizada durante a criação da implantação.

   • Durante a criação da implantação, habilite Custom ingress e especifique seu nome de domínio totalmente qualificado (Fully Qualified Domain Name, FQDN) preferencial no campo Hostname.

   • Você deve poder gerenciar esse registro DNS e criar um certificado TLS para o FQDN. Não use um subdomínio de snowflakecomputing.com.

   • Você não deve incluir o protocolo https:// ou uma barra final / no FQDN.

   • Por exemplo, se você especificar openflow01.your-domain.org, acessará um tempo de execução chamado «My Runtime» em https://openflow01.your-domain.org/my-runtime/nifi/.

2. Baixe o modelo CloudFormation. Esse arquivo tem todas as configurações necessárias para que o Openflow seja executado como seu domínio de entrada personalizado.

Configurar a entrada personalizada na AWS¶

1. Adicione a seguinte tag às sub-redes privadas em sua implantação do Openflow:

   • Chave: kubernetes.io/role/internal-elb

   • Valor: 1

2. Se suas sub-redes privadas forem usadas por outros clusters EKS, você também deverá marcá-los com o nome do cluster Openflow. Isso permite que o Openflow crie um balanceador de carga junto com outros balanceadores de carga.

   • Chave: kubernetes.io/cluster/{deployment-key}

   • Valor: 1

3. Carregue o modelo CloudFormation. Aguarde aproximadamente 30 minutos para que o Openflow crie o balanceador de carga de rede interno.

   • Você pode encontrar o balanceador de carga de rede interno no console da AWS em EC2 » Load Balancers.

   • O balanceador de carga será chamado runtime-ingress-{deployment-key}.

4. Obtenha o endereço IP interno do balanceador de carga de rede interno da AWS gerenciado pelo Openflow.

   • Em EC2 » Load Balancers, navegue até a página de detalhes e copie o DNS name do balanceador de carga.

   • Faça login em sua instância EC2 do agente (identificada como openflow-agent-{deployment-key}) e execute o comando nslookup {openflow-load-balancer-dns-name}.

   • Copie os endereços IP do balanceador de carga de rede interno da AWS gerenciado pelo Openflow. Esses são os destinos para o grupo de destino do balanceador de carga que você criará em uma etapa a seguir.

5. Provisione um certificado TLS.

   • Obtenha um certificado TLS para o balanceador de carga que manipulará o tráfego para as UIs de tempo de execução do Openflow. Você pode gerar um certificado usando o AWS Certificate Manager (ACM) ou importar um certificado existente.

6. Crie um balanceador de carga de rede que roteie o tráfego para o balanceador de carga de rede interno da AWS gerenciado pelo Openflow.

   1. Na sua conta AWS, crie um balanceador de carga de rede com a seguinte configuração:

      • Nome: Recomendamos a convenção de nomenclatura custom-ingress-external-{deployment-key}, em que {deployment-key} é a chave da sua implantação do Openflow.

      • Tipo: Network Load Balancer

      • Esquema: Internal ou Internet-facing, dependendo dos requisitos.

      • VPC: selecione a VPC da sua implantação

      • Zonas de disponibilidade: selecione as duas zonas de disponibilidade onde sua implantação do Openflow está em execução.

      • Sub-redes: Selecione as sub-redes privadas de VPC para um balanceador de carga Internal ou as sub-redes públicas de VPC para um balanceador de carga Internet-facing.

      • Grupos de segurança: selecione ou crie um grupo de segurança que permita tráfego na porta 443

      • Certificado de servidor SSL/TLS padrão: importe seu certificado SSL/TLS

      • Grupo de destino: crie um novo grupo de destino com as seguintes configurações:

        • Tipo de destino: IP addresses

        • Protocolo: TLS

        • Porta: 443

        • VPC: verifique se a VPC corresponde à sua implantação

        • Digite o endereço IP do balanceador de carga de rede interno criado pelo Openflow (obtido na etapa anterior) como o destino e selecione Include as pending below.

   2. Após a criação do balanceador de carga, copie o nome DNS dele para usar na próxima etapa.

   3. Para obter mais informações sobre como criar um balanceador de carga de rede, consulte Criar um balanceador de carga de rede.

7. Crie um registro DNS CNAME que mapeia o FQDN da sua entrada personalizada para o nome DNS do balanceador de carga da AWS.

   • Para obter instruções detalhadas de configuração do DNS no Route 53, consulte Criar registros no Route 53.

Verificação¶

1. A implantação do Openflow mostra o status Active na página Deployments.

2. Crie um tempo de execução na implantação do Openflow.

3. Quando o tempo de execução é Active, clique no nome dele ou use a opção de menu View canvas para acessar a UI dele.

4. O Openflow direciona você para o tempo de execução com o nome de host especificado durante a criação da implantação. Por exemplo, https://openflow01.your-domain.org/my-runtime/nifi/.