PrivateLink-Dienst

Adobe Commerce on Cloud-Infrastruktur unterstützt die Integration mit AWS PrivateLink oder Azure Private Link -Dienst. Sie können PrivateLink verwenden, um eine sichere, private Kommunikation zwischen Adobe Commerce in Cloud-Infrastrukturumgebungen mit Diensten und Anwendungen herzustellen, die auf externen Systemen gehostet werden. Sowohl die Adobe Commerce-Anwendung als auch externe Systeme müssen über Virtual Private Cloud (VPC)-Endpunkte zugänglich sein, die auf derselben Cloud-Plattform (AWS oder Azure) innerhalb derselben Cloud-Region konfiguriert sind.

TIP
PrivateLink eignet sich am besten zum Schützen von Verbindungen für Nicht-HTTP(S)-Integrationen, wie z. B. Datenbank- oder Dateiübertragungen. Wenn Sie Ihre Anwendung mit Adobe Commerce-APIs integrieren möchten, lesen Sie, wie Sie eine Adobe API-Mesh in API-Mesh für Adobe Developer App Builder.

Funktionen und Support

Die PrivateLink-Dienstintegration für Adobe Commerce in Cloud-Infrastrukturprojekten umfasst die folgenden Funktionen und Support:

  • Eine sichere Verbindung zwischen einer Virtual Private Cloud (VPC) eines Kunden und dem Adobe VPC auf derselben Cloud-Plattform (AWS oder Azure) innerhalb derselben Cloud-Region.

  • Unterstützung der unidirektionalen oder bidirektionalen Kommunikation zwischen Endpunktdiensten, die unter Adobe und Kunden-VPC verfügbar sind.

  • Dienstaktivierung:

    • Öffnen erforderlicher Ports in Adobe Commerce in der Cloud-Infrastruktur-Umgebung
    • Erstverbindung zwischen dem Kunden und Adobe-VPC herstellen
    • Beheben von Verbindungsproblemen bei der Aktivierung

Einschränkungen

  • Unterstützung für PrivateLink ist nur in Pro Produktions- und Staging-Umgebungen verfügbar. Sie ist nicht in lokalen oder Integrationsumgebungen oder in Starter-Projekten verfügbar.
  • Sie können keine SSH-Verbindungen mit PrivateLink herstellen. Siehe SSH-Schlüssel aktivieren.
  • Die Adobe Commerce-Unterstützung deckt nicht die Fehlerbehebung von Problemen mit AWS PrivateLink ab, die über die Erstaktivierung hinausgehen.
  • Die Kunden sind für die Kosten im Zusammenhang mit der Verwaltung ihres eigenen VPC verantwortlich.
  • Sie können das HTTPS-Protokoll (Port 443) nicht verwenden, um über Azure Private Link über die Cloud-Infrastruktur eine Verbindung zu Adobe Commerce herzustellen, da Schnell hergestelltes Verdecken. Diese Einschränkung gilt nicht für AWS PrivateLink.
  • PrivateDNS ist nicht verfügbar.

Es sind zwei PrivateLink-Verbindungstypen verfügbar, die im folgenden Netzwerkdiagramm dargestellt sind, um eine sichere Kommunikation zwischen Ihrem Speicher und externen Systemen zu gewährleisten, die außerhalb der Cloud-Umgebung gehostet werden.

PrivateLink-Netzwerkdiagramm

Wählen Sie einen der PrivateLink-Verbindungstypen aus, die am besten für Ihre Adobe Commerce in Cloud-Infrastrukturumgebungen geeignet sind:

  • Unidirektionaler PrivateLink-Wählen Sie diese Konfiguration, um Daten sicher aus einem Adobe Commerce im Cloud-Infrastrukturspeicher abzurufen.

  • Bidirektionaler PrivateLink-Wählen Sie diese Konfiguration, um sichere Verbindungen zu und von Systemen außerhalb der Adobe Commerce in der Cloud-Infrastruktur-Umgebung herzustellen. Die bidirektionale Option erfordert zwei Verbindungen:

    • Eine Verbindung zwischen dem VPC des Kunden und dem Adobe VPC
    • Eine Verbindung zwischen dem Adobe VPC und dem VPC des Kunden
TIP
Wenden Sie sich an Ihren Netzwerkadministrator oder Cloud-Plattformanbieter, um Hilfe bei der Auswahl des Verbindungstyps PrivateLink zu erhalten oder um Hilfe bei der Einrichtung und Verwaltung des VPC zu erhalten. Siehe Dokumentation zur Cloud-Plattform PrivateLink : AWS PrivateLink oder Azure Private Link.
WARNING
Die Aktivierung von PrivateLink kann bis zu fünf Geschäftstage. Die Bereitstellung unvollständiger oder ungenauer Informationen kann den Prozess verzögern.

Voraussetzungen

check Ein Cloud-Konto (AWS oder Azure) in derselben Region wie die Adobe Commerce in der Cloud-Infrastrukturinstanz.

check Ein VPC in der Kundenumgebung, der die Dienste hostet, die über PrivateLink verbunden werden sollen. Hilfe zur VPC-Einrichtung finden Sie in der Dokumentation zu AWS oder Azure oder wenden Sie sich an Ihren Netzwerkadministrator.

check Bei bidirektionalen PrivateLink-Verbindungen müssen Sie die Endpunktdienstkonfiguration für Ihre Anwendung oder Ihren Dienst erstellen und einen Endpunkt in Ihrer VPC-Umgebung erstellen, bevor Sie die Aktivierung von PrivateLink anfordern. Siehe Für bidirektionale PrivateLink-Verbindungen einrichten.

Erfassen Sie die folgenden Daten, die für die Aktivierung von PrivateLink erforderlich sind:

  • Kundennummer der Cloud (AWS oder Azure): Muss sich in derselben Region wie die Adobe Commerce in der Cloud-Infrastrukturinstanz befinden

  • Cloud-Region—Geben Sie die Cloud-Region an, in der das Konto zu Verifizierungszwecken gehostet wird.

  • Dienste und Kommunikationshäfen—Adobe muss Ports öffnen, um die Dienstkommunikation zwischen VPCs zu ermöglichen, z. B. SQL Port 3306, SFTP Port 222

  • Projekt-ID- Geben Sie die Adobe Commerce für die Projekt-ID von Cloud Infrastructure Pro an. Sie können die Projekt-ID und andere Projektinformationen wie die folgenden abrufen Cloud-CLI command: magento-cloud project:info

  • Verbindungstyp—Geben Sie eine unidirektionale oder bidirektionale Verbindungstyp an.

  • Endpunktdienst—Für bidirektionale PrivateLink-Verbindungen geben Sie die DNS-URL für den VPC-Endpunktdienst an, mit dem Adobe eine Verbindung herstellen muss, z. B.: com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>

  • Zugriff auf Endpunkt-Dienst gewährt—Um eine Verbindung zum externen Dienst herzustellen, gewähren Sie dem Endpunktdienst Zugriff auf den folgenden AWS-Kontoprinzipal: arn:aws:iam::402592597372:root

    note warning
    WARNING
    Wenn der Zugriff auf den Endpunktdienst nicht möglich ist, wird die bidirektionale PrivateLink-Verbindung zum Dienst in Ihrem VPC not hinzugefügt, was die Einrichtung verzögert.
  • Geben Sie die Cluster-ID an. Melden Sie sich mit SSH bei der Remote-Verbindung an und verwenden Sie den folgenden Befehl: cat /etc/platform_cluster

  • Für die Verbindung eines externen Dienstes mit Ihrem Adobe Commerce Pro-Cluster benötigen Sie Folgendes:

    • Eine Liste der Ports auf Ihrem Pro-Cluster, die für den neuen externen privaten Endpunkt verfügbar gemacht werden sollen
    • Eine Liste der Azure-Anmelde-IDs für die privaten Endpunktverbindungen
  • Um Ihren Adobe Commerce Pro-Cluster mit einem externen Dienst zu verbinden, benötigen Sie Folgendes:

    • Eine Liste der Ressourcen-IDs für die Zieldienste. Externe IDs des privaten Link-Dienstes sehen in etwa wie folgt aus:
    code language-text
    /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/privateLinkServices/{svcNameID}
    

Aktivierungs-Workflow

Im folgenden Workflow wird der Aktivierungsprozess für die PrivateLink-Integration mit Adobe Commerce in der Cloud-Infrastruktur beschrieben.

  1. Kunde sendet ein Supportticket, um die Aktivierung von PrivateLink mit der Betreffzeile anzufordern PrivateLink support for <company>. Fügen Sie die für die Aktivierung erforderliche Daten im Ticket. Adobe verwendet das Supportticket, um die Kommunikation während des Aktivierungsprozesses zu koordinieren.

  2. Adobe ermöglicht dem Kundenkonto Zugriff auf den Endpunktdienst im Adobe VPC.

    • Aktualisieren Sie die Adobe-Endpunktdienstkonfiguration, um Anfragen zu akzeptieren, die vom AWS- oder Azure-Kundenkonto initiiert wurden.
    • Aktualisieren Sie das Support-Ticket, um den Dienstnamen für den Adobe VPC-Endpunkt anzugeben, mit dem eine Verbindung hergestellt werden soll, beispielsweise com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>.
  3. Kunde fügt den Adobe-Endpunktdienst zu ihrem Cloud-Konto (AWS oder Azure) hinzu, wodurch eine Verbindungsanforderung an Adobe Trigger wird. Anweisungen finden Sie in der Dokumentation zur Cloud-Plattform :

  4. Adobe genehmigt die Verbindungsanforderung.

  5. Nach Genehmigung der Verbindungsanforderung, dem Kunden prüft die Verbindung zwischen ihrem VPC und dem Adobe VPC.

  6. Zusätzliche Schritte zur Aktivierung bidirektionaler Verbindungen:

    • Adobe stellt den Prinzipal des Adobe-Kontos (Stammbenutzer für AWS- oder Azure-Konten) bereit und fordert den Zugriff auf den VPC-Endpunktdienst des Kunden an.

    • Kunde ermöglicht Adobe den Zugriff auf den Endpunktdienst im VPC des Kunden. Dies setzt voraus, dass der Prinzipal des Adobe-Kontos Zugriff auf arn:aws:iam::402592597372:rootwie zuvor in der Zugriff auf Endpunkt-Dienst gewährt Voraussetzung.

    • Adobe fügt den Endpunktdienst für Kunden zum Adobe-Plattformkonto (AWS oder Azure) hinzu, wodurch eine Verbindungsanforderung an den Kunden-VPC Trigger wird.

    • Kunde genehmigt die Verbindungsanforderung von Adobe, um das Setup abzuschließen.

    • Kunde prüft die Verbindung von der Adobe VPC.

Verbindung zum VEC-Endpunktdienst testen

Sie können die Telnet-Anwendung verwenden, um die Verbindung zum VPC-Endpunktdienst zu testen.

So testen Sie die Verbindung zum VPC-Endpunktdienst:

  1. Im Projektstammordner: Checkout die Staging- oder Produktionsumgebung, die für den Zugriff auf den PrivateLink-Endpunktdienst konfiguriert ist.

    code language-bash
    magento-cloud environment:checkout <environment-id>
    
  2. Führen Sie den folgenden CURL-Befehl aus:

    code language-bash
    curl -v telnet://<endpoint-service-dns-url>:<port>/
    

    Beispiel:

    code language-terminal
    $ curl -v telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 -vvv
    

    Beispielerfolgreiche Antwort:

    code language-terminal
    * Rebuilt URL to: telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80
    * Connected to vpce-0088d56482571241d-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com (191.210.82.246) port 80 (#0)
    

    Beispiel für fehlgeschlagene Antwort:

    code language-terminal
    Failed to connect to vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.ap-southeast-1.vpce.amazonaws.com port 80: Connection timed out
    * Closing connection 0
    
  3. Stellen Sie sicher, dass der Dienst auf VM wartet.

    code language-bash
    netstat -na | grep <port>
    
  4. Überprüfen Sie den Paketfluss.

    code language-bash
    tcpdump -i <ethernet-interface> -tt -nn port <destination-port> and host <source-host>
    

    Überprüfen Sie die folgenden internen Einstellungen, um sicherzustellen, dass die Konfiguration gültig ist:

    • Einstellungen für Endpunkt- und Endpunktdienste
    • Einstellungen für den Netzwerk-Lastenausgleich (NLB)
    • Die Zielgruppen der NLB und ihre Gesundheit
    • Die netcat/curl-Endpunkt-URL von jeder VM (siehe oben)

    In den folgenden Artikeln finden Sie Hilfe zur Fehlerbehebung bei Verbindungsproblemen:

    Wenn Sie die Fehler nicht beheben können, aktualisieren Sie das Adobe Commerce Support-Ticket, um Hilfe bei der Verbindungsherstellung anzufordern.

Senden eines Adobe Commerce-Support-Tickets , um eine vorhandene PrivateLink-Konfiguration zu ändern. Sie können beispielsweise Änderungen wie die folgenden anfordern:

  • Entfernen Sie die PrivateLink-Verbindung aus der Adobe Commerce in der Produktions- oder Staging-Umgebung der Cloud-Infrastruktur.
  • Ändern Sie die Kundennummer des Cloud-Plattformkontos für den Zugriff auf den Adobe-Endpunktdienst.
  • Fügen Sie PrivateLink-Verbindungen vom Adobe VPC zu anderen Endpunktdiensten hinzu oder entfernen Sie diese, die in der VPC-Umgebung des Kunden verfügbar sind.

Der VPC des Kunden muss über die folgenden Ressourcen verfügen, um bidirektionale PrivateLink-Verbindungen zu unterstützen:

  • Netzlastausgleich (NLB)
  • Eine Endpunktdienstkonfiguration, die den Zugriff auf eine Anwendung oder einen Dienst über den VPC des Kunden ermöglicht
  • Ein Schnittstellenendpunkt (AWS) oder privater Endpunkt (Azure), die es Adobe ermöglicht, eine Verbindung zu Endpunktdiensten herzustellen, die in Ihrem VPC gehostet werden

Wenn diese Ressourcen im VPC des Kunden nicht verfügbar sind, müssen Sie sich bei Ihrem Cloud-Plattformkonto anmelden, um die Konfiguration hinzuzufügen.

  • Amazon VPC-Konsole - https://console.aws.amazon.com/vpc/
  • Azure portal- https://portal.azure.com

Anweisungen zum Einrichten von PrivateLink finden Sie in der Dokumentation zur Cloud-Plattform:

recommendation-more-help
05f2f56e-ac5d-4931-8cdb-764e60e16f26