DokumentationCommerceHandbuch zu Commerce mit Cloud Infrastructure

PrivateLink-Dienst

Last update: Thu Jul 18 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • Admin
  • Entwickler

Adobe Commerce in der Cloud-Infrastruktur unterstützt die Integration in den Dienst AWS PrivateLink oder Azure Private Link . Sie können PrivateLink verwenden, um eine sichere, private Kommunikation zwischen Adobe Commerce in Cloud-Infrastrukturumgebungen mit Diensten und Anwendungen herzustellen, die auf externen Systemen gehostet werden. Sowohl die Adobe Commerce-Anwendung als auch externe Systeme müssen über Virtual Private Cloud (VPC)-Endpunkte zugänglich sein, die auf derselben Cloud-Plattform (AWS oder Azure) innerhalb derselben Cloud-Region konfiguriert sind.

TIP
PrivateLink eignet sich am besten zum Schützen von Verbindungen für Nicht-HTTP(S)-Integrationen, wie z. B. Datenbank- oder Dateiübertragungen. Wenn Sie Ihre Anwendung mit Adobe Commerce-APIs integrieren möchten, finden Sie weitere Informationen zum Erstellen eines Adobe-API-Mesh im API-Mesh für Adobe Developer App Builder.

Funktionen und Support

Die PrivateLink-Dienstintegration für Adobe Commerce in Cloud-Infrastrukturprojekten umfasst die folgenden Funktionen und Support:

  • Eine sichere Verbindung zwischen einer Virtual Private Cloud (VPC) eines Kunden und dem Adobe VPC auf derselben Cloud-Plattform (AWS oder Azure) innerhalb derselben Cloud-Region.

  • Unterstützung der unidirektionalen oder bidirektionalen Kommunikation zwischen Endpunktdiensten, die unter Adobe und Kunden-VPC verfügbar sind.

  • Dienstaktivierung:

    • Öffnen erforderlicher Ports in Adobe Commerce in der Cloud-Infrastruktur-Umgebung
    • Erstverbindung zwischen dem Kunden und Adobe-VPC herstellen
    • Beheben von Verbindungsproblemen bei der Aktivierung

Einschränkungen

  • Unterstützung für PrivateLink ist nur in Pro Produktions- und Staging-Umgebungen verfügbar. Sie ist nicht in lokalen oder Integrationsumgebungen oder in Starter-Projekten verfügbar.
  • Sie können keine SSH-Verbindungen mit PrivateLink herstellen. Siehe SSH-Schlüssel aktivieren.
  • Die Adobe Commerce-Unterstützung deckt nicht die Fehlerbehebung von Problemen mit AWS PrivateLink ab, die über die Erstaktivierung hinausgehen.
  • Die Kunden sind für die Kosten im Zusammenhang mit der Verwaltung ihres eigenen VPC verantwortlich.
  • Sie können das HTTPS-Protokoll (Port 443) nicht verwenden, um über Azure Private Link in der Cloud-Infrastruktur eine Verbindung zu Adobe Commerce herzustellen, da die Quelle Fastly origin cloaking ist. Diese Einschränkung gilt nicht für AWS PrivateLink.
  • PrivateDNS ist nicht verfügbar.

Es sind zwei PrivateLink-Verbindungstypen verfügbar, die im folgenden Netzwerkdiagramm dargestellt sind, um eine sichere Kommunikation zwischen Ihrem Speicher und externen Systemen zu gewährleisten, die außerhalb der Cloud-Umgebung gehostet werden.

PrivateLink-Netzwerkdiagramm

Wählen Sie einen der PrivateLink-Verbindungstypen aus, die am besten für Ihre Adobe Commerce in Cloud-Infrastrukturumgebungen geeignet sind:

  • Unidirektionaler PrivateLink - Wählen Sie diese Konfiguration, um Daten sicher aus einem Adobe Commerce im Cloud-Infrastrukturspeicher abzurufen.

  • Bidirektionaler PrivateLink - Wählen Sie diese Konfiguration, um sichere Verbindungen zu und von Systemen außerhalb von Adobe Commerce in der Cloud-Infrastruktur-Umgebung herzustellen. Die bidirektionale Option erfordert zwei Verbindungen:

    • Eine Verbindung zwischen dem VPC des Kunden und dem Adobe VPC
    • Eine Verbindung zwischen dem Adobe VPC und dem VPC des Kunden
TIP
Wenden Sie sich an Ihren Netzwerkadministrator oder Cloud-Plattformanbieter, um Hilfe bei der Auswahl des Verbindungstyps PrivateLink zu erhalten oder um Hilfe bei der Einrichtung und Verwaltung des VPC zu erhalten. Weitere Informationen finden Sie in der Dokumentation zu PrivateLink der Cloud-Plattform: AWS PrivateLink oder Azure Private Link.
WARNING
Die Aktivierung von PrivateLink kann bis zu 5 Werktage dauern. Die Bereitstellung unvollständiger oder ungenauer Informationen kann den Prozess verzögern.

Voraussetzungen

check Ein Cloud-Konto (AWS oder Azure) in derselben Region wie die Adobe Commerce in der Cloud-Infrastrukturinstanz.

check Ein VPC in der Kundenumgebung, der die Dienste hostet, die über PrivateLink verbunden werden sollen. Hilfe zur VPC-Einrichtung finden Sie in der Dokumentation zu AWS oder Azure oder wenden Sie sich an Ihren Netzwerkadministrator.

check Bei bidirektionalen PrivateLink-Verbindungen müssen Sie die Endpunktdienstkonfiguration für Ihre Anwendung oder Ihren Dienst erstellen und einen Endpunkt in Ihrer VPC-Umgebung erstellen, bevor Sie die Aktivierung von PrivateLink anfordern. Siehe Für bidirektionale PrivateLink-Verbindungen einrichten.

Erfassen Sie die folgenden Daten, die für die Aktivierung von PrivateLink erforderlich sind:

  • Kundenkontonummer (AWS oder Azure): Muss sich in derselben Region wie die Adobe Commerce in der Cloud-Infrastrukturinstanz befinden

  • Cloud-Region - Geben Sie die Cloud-Region an, in der das Konto zu Verifizierungszwecken gehostet wird.

  • Dienste und Kommunikationsanschlüsse - Adobe muss Ports öffnen, um die Dienstkommunikation zwischen VPCs zu ermöglichen, z. B. SQL-Port 3306, SFTP-Port 222

  • Projekt-ID: Geben Sie die Adobe Commerce on Cloud Infrastructure Pro-Projekt-ID an. Sie können die Projekt-ID und andere Projektinformationen mit dem folgenden Befehl Cloud CLI abrufen: magento-cloud project:info

  • Verbindungstyp: Geben Sie für den Verbindungstyp unidirektional oder bidirektional an.

  • Endpoint-Dienst - Geben Sie bei bidirektionalen PrivateLink-Verbindungen die DNS-URL für den VPC-Endpunktdienst an, mit dem Adobe eine Verbindung herstellen muss, z. B.: com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>

  • Endpoint-Dienstzugriff gewährt - Um eine Verbindung zum externen Dienst herzustellen, gewähren Sie dem Endpunktdienst Zugriff auf den folgenden AWS-Kontoprinzipal: arn:aws:iam::402592597372:root

    note warning
    WARNING
    Wenn der Zugriff auf den Endpunktdienst nicht möglich ist, wird die bidirektionale PrivateLink-Verbindung zum Dienst in Ihrem VPC um nicht erhöht, was die Einrichtung verzögert.

  • Geben Sie die Cluster-ID an. Melden Sie sich mit SSH bei der Remote-Verbindung an und verwenden Sie den Befehl: cat /etc/platform_cluster

  • Für die Verbindung eines externen Dienstes mit Ihrem Adobe Commerce Pro-Cluster benötigen Sie Folgendes:

    • Eine Liste der Ports auf Ihrem Pro-Cluster, die für den neuen externen privaten Endpunkt verfügbar gemacht werden sollen
    • Eine Liste der Azure-Anmelde-IDs für die privaten Endpunktverbindungen

  • Um Ihren Adobe Commerce Pro-Cluster mit einem externen Dienst zu verbinden, benötigen Sie Folgendes:

    • Eine Liste der Ressourcen-IDs für die Zieldienste. Externe IDs des privaten Link-Dienstes sehen in etwa wie folgt aus:
    code language-text 
    /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/privateLinkServices/{svcNameID}

Aktivierungs-Workflow

Im folgenden Workflow wird der Aktivierungsprozess für die PrivateLink-Integration mit Adobe Commerce in der Cloud-Infrastruktur beschrieben.

  1. Kunde sendet ein Supportticket, mit dem die Aktivierung von PrivateLink mit der Betreffzeile PrivateLink support for <company> angefordert wird. Schließen Sie die für die Aktivierung erforderlichen Daten in das Ticket ein. Adobe verwendet das Supportticket, um die Kommunikation während des Aktivierungsprozesses zu koordinieren.

  2. Adobe ermöglicht dem Kundenkonto den Zugriff auf den Endpunktdienst im Adobe VPC.

    • Aktualisieren Sie die Adobe-Endpunktdienstkonfiguration, um Anfragen zu akzeptieren, die vom AWS- oder Azure-Kundenkonto initiiert wurden.
    • Aktualisieren Sie das Support-Ticket, um den Dienstnamen für den Adobe VPC-Endpunkt anzugeben, mit dem eine Verbindung hergestellt werden soll, z. B. com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>.

  3. Kunde fügt den Adobe-Endpunktdienst zu seinem Cloud-Konto (AWS oder Azure) hinzu, wodurch eine Verbindungsanforderung an Adobe Trigger wird. Anweisungen finden Sie in der Dokumentation zur Cloud-Plattform :

    • Informationen zu AWS finden Sie unter [Akzeptieren und Ablehnen von Verbindungsanfragen für Schnittstellenendpunkte].
    • Informationen zu Azure finden Sie unter [Verwalten von Verbindungsanfragen].

  4. Adobe genehmigt die Verbindungsanforderung.

  5. Nach Genehmigung der Verbindungsanforderung überprüft der Kunde die Verbindung zwischen seinem VPC und dem Adobe VPC.

  6. Zusätzliche Schritte zur Aktivierung bidirektionaler Verbindungen:

    • Adobe stellt den Prinzipal des Adobe-Kontos (Stammbenutzer für AWS- oder Azure-Konten) bereit und fordert Zugriff auf den VPC-Endpunktdienst des Kunden an.

    • Kunde ermöglicht Adobe den Zugriff auf den Endpunktdienst im Kunden-VPC. Dies setzt voraus, dass der Prinzipal des Adobe-Kontos Zugriff auf arn:aws:iam::402592597372:root hat, wie zuvor in der Voraussetzung Zugriff des Endpoint-Dienstes gewährt beschrieben.

      • Aktualisieren Sie die Konfiguration des Kundenendpunktdienstes, um vom Adobe-Konto initiierte Anfragen zu akzeptieren. Anweisungen finden Sie in der Dokumentation zur Cloud-Plattform :

      • Stellen Sie Adobe mit dem Endpunktdienstnamen für den Kunden-VPC bereit.

    • Adobe fügt den Endpunktdienst für Kunden zum Adobe-Plattformkonto (AWS oder Azure) hinzu, wodurch eine Verbindungsanforderung an den VPC des Kunden Trigger wird.

    • Kunde genehmigt die Verbindungsanforderung von Adobe, um das Setup abzuschließen.

    • Kunde überprüft die Verbindung vom Adobe-VPC.

Verbindung zum VEC-Endpunktdienst testen

Sie können die Telnet-Anwendung verwenden, um die Verbindung zum VPC-Endpunktdienst zu testen.

So testen Sie die Verbindung zum VPC-Endpunktdienst:

  1. Checken Sie im Projektstammverzeichnis aus, welche Staging- oder Produktionsumgebung für den Zugriff auf den PrivateLink-Endpunktdienst konfiguriert ist, aus.

    code language-bash 
    magento-cloud environment:checkout <environment-id>

  2. Führen Sie den folgenden CURL-Befehl aus:

    code language-bash 
    curl -v telnet://<endpoint-service-dns-url>:<port>/

    Beispiel:

    code language-none 
    $ curl -v telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 -vvv

    Beispielerfolgreiche Antwort:

    code language-none 
    * Rebuilt URL to: telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80
* Connected to vpce-0088d56482571241d-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com (191.210.82.246) port 80 (#0)

    Beispiel für fehlgeschlagene Antwort:

    code language-none 
    Failed to connect to vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.ap-southeast-1.vpce.amazonaws.com port 80: Connection timed out
* Closing connection 0

  3. Stellen Sie sicher, dass der Dienst auf VM wartet.

    code language-bash 
    netstat -na | grep <port>

  4. Überprüfen Sie den Paketfluss.

    code language-bash 
    tcpdump -i <ethernet-interface> -tt -nn port <destination-port> and host <source-host>

    Überprüfen Sie die folgenden internen Einstellungen, um sicherzustellen, dass die Konfiguration gültig ist:

    • Einstellungen für Endpunkt- und Endpunktdienste
    • Einstellungen für den Netzwerk-Lastenausgleich (NLB)
    • Die Zielgruppen der NLB und ihre Gesundheit
    • Die netcat/curl-Endpunkt-URL von jeder VM (siehe oben)

    In den folgenden Artikeln finden Sie Hilfe zur Fehlerbehebung bei Verbindungsproblemen:

    Wenn Sie die Fehler nicht beheben können, aktualisieren Sie das Adobe Commerce Support-Ticket, um Hilfe bei der Verbindungsherstellung anzufordern.

Senden Sie ein Adobe Commerce Support-Ticket , um eine vorhandene PrivateLink-Konfiguration zu ändern. Sie können beispielsweise Änderungen wie die folgenden anfordern:

  • Entfernen Sie die PrivateLink-Verbindung aus der Adobe Commerce in der Produktions- oder Staging-Umgebung der Cloud-Infrastruktur.
  • Ändern Sie die Kundennummer des Cloud-Plattformkontos für den Zugriff auf den Adobe-Endpunktdienst.
  • Fügen Sie PrivateLink-Verbindungen vom Adobe VPC zu anderen Endpunktdiensten hinzu oder entfernen Sie diese, die in der VPC-Umgebung des Kunden verfügbar sind.

Der VPC des Kunden muss über die folgenden Ressourcen verfügen, um bidirektionale PrivateLink-Verbindungen zu unterstützen:

  • Netzlastausgleich (NLB)
  • Eine Endpunktdienstkonfiguration, die den Zugriff auf eine Anwendung oder einen Dienst über den VPC des Kunden ermöglicht
  • Ein Schnittstellenendpunkt (AWS) oder ein privater Endpunkt (Azure), der es Adobe ermöglicht, eine Verbindung zu Endpunktdiensten herzustellen, die in Ihrem VPC gehostet werden

Wenn diese Ressourcen im VPC des Kunden nicht verfügbar sind, müssen Sie sich bei Ihrem Cloud-Plattformkonto anmelden, um die Konfiguration hinzuzufügen.

  • Amazon VPC-Konsole - https://console.aws.amazon.com/vpc/
  • Azure portal - https://portal.azure.com

Anweisungen zum Einrichten von PrivateLink finden Sie in der Dokumentation zur Cloud-Plattform:

recommendation-more-help
05f2f56e-ac5d-4931-8cdb-764e60e16f26