Privater Link-Service

Adobe Commerce in der Cloud-Infrastruktur unterstützt die Integration mit dem Service AWS PrivateLink oder Azure Private Link. Sie können PrivateLink verwenden, um eine sichere private Kommunikation zwischen Adobe Commerce in Cloud-Infrastrukturumgebungen mit Services und Anwendungen herzustellen, die auf externen Systemen gehostet werden. Sowohl auf die Adobe Commerce-Anwendung als auch auf externe Systeme muss über Virtual Private Cloud (VPC)-Endpunkte zugegriffen werden können, die auf derselben Cloud-Plattform (AWS oder Azure) in derselben Cloud-Region konfiguriert sind.

TIP
PrivateLink eignet sich am besten zum Schützen von Verbindungen für Nicht-HTTP(S)-Integrationen, wie z. B. Datenbank- oder Dateiübertragungen. Wenn Sie beabsichtigen, Ihr Programm mit Adobe Commerce-APIs zu integrieren, finden Sie weitere Informationen unter Erstellen eines AdobeAPI-Mesh in API-Mesh für Adobe Developer App Builder.

Funktionen und Support

Die PrivateLink-Service-Integration für Adobe Commerce in Cloud-Infrastrukturprojekten umfasst die folgenden Funktionen und Unterstützung:

  • Eine sichere Verbindung zwischen einer Virtual Private Cloud (VPC) des Kunden und der Adobe VPC auf derselben Cloud-Plattform (AWS oder Azure) in derselben Cloud-Region.

  • Unterstützung für unidirektionale oder bidirektionale Kommunikation zwischen Endpunktdiensten, die auf Adobe und Kunden-VPCs verfügbar sind.

  • Service-Aktivierung:

    • Öffnen der erforderlichen Ports in der Adobe Commerce in der Cloud-Infrastrukturumgebung
    • Herstellen der anfänglichen Verbindung zwischen dem Kunden und Adobe-VPCs
    • Fehlerbehebung bei Verbindungsproblemen während der Aktivierung

Einschränkungen

  • Der Support für PrivateLink ist nur in Pro-Produktions- und Staging-Umgebungen verfügbar. Sie ist nicht in lokalen oder Integrationsumgebungen oder in Starter-Projekten verfügbar.
  • Sie können keine SSH-Verbindungen mit PrivateLink herstellen. Siehe SSH-Schlüssel aktivieren.
  • Die Adobe Commerce-Unterstützung deckt keine Fehlerbehebung bei AWS PrivateLink-Problemen über die anfängliche Aktivierung hinaus ab.
  • Kunden tragen die Kosten für die Verwaltung ihrer eigenen VPC.
  • Sie können das HTTPS-Protokoll (Port 443) nicht verwenden, um über einen privaten Azure-Link eine Verbindung zur Cloud-Infrastruktur von Adobe Commerce herzustellen, da der „Fastly-Ursprungs-Cloaking“. Diese Einschränkung gilt nicht für AWS PrivateLink.
  • PrivateDNS ist nicht verfügbar.

Es stehen zwei PrivateLink-Verbindungstypen zur Verfügung (siehe folgendes Netzwerkdiagramm), um eine sichere Kommunikation zwischen Ihrem Store und externen Systemen zu gewährleisten, die außerhalb der Cloud-Umgebung gehostet werden.

PrivateLink-Netzwerkdiagramm

Wählen Sie einen der PrivateLink-Verbindungstypen aus, die für Ihre Adobe Commerce in Cloud-Infrastrukturumgebungen am besten geeignet sind:

  • Unidirektional PrivateLink-Wählen Sie diese Konfiguration, um Daten sicher aus einem Adobe Commerce im Cloud-Infrastrukturspeicher abzurufen.

  • Bidirektionaler PrivateLink-Wählen Sie diese Konfiguration, um sichere Verbindungen zu und von Systemen außerhalb der Adobe Commerce in der Cloud-Infrastrukturumgebung herzustellen. Die bidirektionale Option erfordert zwei Verbindungen:

    • Eine Verbindung zwischen dem Kunden-VPC und dem Adobe-VPC
    • Eine Verbindung zwischen der Adobe-VPC und der Kunden-VPC
TIP
Wenden Sie sich an Ihren Netzwerkadministrator oder Cloud Platform-Anbieter, um Hilfe bei der Auswahl des PrivateLink-Verbindungstyps zu erhalten, oder an die VPC-Einrichtung und -Administration. Siehe Cloud Platform PrivateLink-Dokumentation: AWS PrivateLink oder Azure Private Link.
WARNING
Die Aktivierung von PrivateLink kann bis zu fünf Werktage dauern. Die Bereitstellung unvollständiger oder ungenauer Informationen kann den Prozess verzögern.

Voraussetzungen

Überprüfen Ein Cloud-Konto (AWS oder Azure) in derselben Region wie die Adobe Commerce in der Cloud-Infrastrukturinstanz.

check Ein VPC in der Kundenumgebung, das die Services hostet, mit denen eine Verbindung über PrivateLink hergestellt werden soll. Hilfe zur Einrichtung von VPC finden Sie in der AWS- oder Azure-Dokumentation oder wenden Sie sich an Ihren Netzwerkadministrator.

check Für bidirektionale PrivateLink-Verbindungen müssen Sie die Endpunkt-Service-Konfiguration für Ihre Anwendung oder Ihren Service erstellen und einen Endpunkt in Ihrer VPC-Umgebung erstellen, bevor Sie die PrivateLink-Aktivierung anfordern. Siehe Einrichten für bidirektionale PrivateLink-Verbindungen.

Sammeln Sie die folgenden Daten, die für die Aktivierung von PrivateLink erforderlich sind:

  • Kunden-Cloud-Kontonummer (AWS oder Azure) - Muss sich in derselben Region wie die Adobe Commerce in der Cloud-Infrastrukturinstanz befinden

  • Cloud-Region - Geben Sie die Cloud-Region an, in der das Konto zu Verifizierungszwecken gehostet wird

  • Services und Kommunikations-Ports - Adobe muss Ports öffnen, um die Service-Kommunikation zwischen VPCs zu ermöglichen, z. B. SQL-Port 3306, SFTP-Port 2222

  • Projekt-ID - Geben Sie die Projekt-ID für Adobe Commerce in der Cloud-Infrastruktur an. Sie können die Projekt-ID und andere Projektinformationen mit dem folgenden Cloud-CLI-Befehl abrufen: magento-cloud project:info

  • Verbindungstyp - Geben Sie für den Verbindungstyp „unidirektional“ oder „bidirektional“ an

  • Endpunktdienst - Geben Sie für bidirektionale PrivateLink-Verbindungen die DNS-URL für den VPC-Endpunktdienst an, mit dem Adobe eine Verbindung herstellen muss, z. B.: com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>

  • Zugriff auf Endpunkt-Service gewährt - Um eine Verbindung zu einem externen Service herzustellen, gewähren Sie dem Endpunkt-Service Zugriff auf den folgenden AWS-Kontoprinzipal: arn:aws:iam::402592597372:root

    note warning
    WARNING
    Wenn kein Zugriff auf den Endpunkt-Service bereitgestellt wird, wird die bidirektionale PrivateLink-Verbindung zum Service in Ihrer VPC nicht hinzugefügt, wodurch die Einrichtung verzögert wird.
  • Geben Sie die Cluster-ID an. Melden Sie sich mithilfe von SSH bei der Remote-Instanz an und verwenden Sie den folgenden Befehl: cat /etc/platform_cluster

  • Damit ein externer Service eine Verbindung zu Ihrem Adobe Commerce Pro-Cluster herstellen kann, benötigen Sie Folgendes:

    • Eine Liste der Ports auf Ihrem Pro-Cluster, die für den neuen externen privaten Endpunkt verfügbar gemacht werden sollen
    • Eine Liste der Azure-Abonnement-IDs für die privaten Endpunktverbindungen
  • Um Ihren Adobe Commerce Pro-Cluster mit einem externen Service zu verbinden, benötigen Sie Folgendes:

    • Eine Liste der Ressourcen-IDs für die Ziel-Services. Die IDs des Diensts für externe private Links sehen etwa wie folgt aus:
    code language-text
    /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/privateLinkServices/{svcNameID}
    

Aktivierungs-Workflow

Im folgenden Workflow wird der Aktivierungsprozess für die PrivateLink-Integration mit Adobe Commerce in der Cloud-Infrastruktur beschrieben.

  1. Kunde reicht ein Support-Ticket ein, um die Aktivierung von PrivateLink mit der Betreffzeile PrivateLink support for <company> anzufordern. Schließen Sie die Daten, die für die Aktivierung erforderlich sind in das Ticket ein. Adobe verwendet das Support-Ticket, um die Kommunikation während des Aktivierungsprozesses zu koordinieren.

  2. Adobe Ermöglicht dem Kundenkonto den Zugriff auf den Endpunkt-Service in der Adobe-VPC.

    • Aktualisieren Sie die Konfiguration des Adobe-Endpunkt-Service, um Anfragen zu akzeptieren, die vom AWS- oder Azure-Kundenkonto initiiert wurden.
    • Aktualisieren Sie das Support-Ticket, um den Service-Namen für den Adobe VPC-Endpunkt anzugeben, mit dem eine Verbindung hergestellt werden soll, z. B. com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>.
  3. Kunde fügt den Adobe-Endpunktdienst zu seinem Cloud-Konto (AWS oder Azure) hinzu, wodurch eine Verbindungsanfrage an Adobe Trigger wird. Anweisungen finden Sie in der Dokumentation zur Cloud-Plattform:

  4. Adobe genehmigt die Verbindungsanfrage.

  5. Nach der Genehmigung der Verbindungsanfrage der Kunde überprüft die Verbindung zwischen seiner VPC und der Adobe VPC.

  6. Zusätzliche Schritte zum Aktivieren bidirektionaler Verbindungen:

    • Adobe stellt den Adobe-Kontoprinzipal (Stammbenutzer für AWS- oder Azure-Konto) bereit und fordert Zugriff auf den VPC-Endpunktdienst des Kunden an.

    • Kunde Ermöglicht den Adobe-Zugriff auf den Endpunkt-Service in der Kunden-VPC. Dabei wird davon ausgegangen, dass der Prinzipal des Adobe-Kontos Zugriff auf arn:aws:iam::402592597372:root hat, wie zuvor in der Voraussetzung Endpoint Service-Zugriff erteilt beschrieben.

      • Aktualisieren Sie die Konfiguration des Kundenendpunkt-Service, um Anfragen zu akzeptieren, die vom Adobe-Konto initiiert werden. Anweisungen finden Sie in der Dokumentation zur Cloud-Plattform:

      • Geben Sie Adobe den Namen des Endpunkt-Services für die Kunden-VPC an.

    • Adobe fügt den Kundenendpunkt-Service zum Adobe-Plattformkonto (AWS oder Azure) hinzu, über das eine Verbindungsanfrage an den VPC-Kunden Trigger wird.

    • Kunde genehmigt die Verbindungsanfrage von Adobe, um die Einrichtung abzuschließen.

    • Kunde überprüft die Verbindung über die Adobe-VPC.

Testen der VPC Endpoint Service-Verbindung

Sie können die Telnet-Anwendung verwenden, um die Verbindung zum VPC-Endpunktdienst zu testen.

So testen Sie die Verbindung zum VPC-Endpunktdienst:

  1. Wählen Sie im Projektstammverzeichnis die Staging- Produktionsumgebung aus, die für den Zugriff auf den PrivateLink-Endpunktdienst konfiguriert ist.

    code language-bash
    magento-cloud environment:checkout <environment-id>
    
  2. Führen Sie den folgenden CURL-Befehl aus:

    code language-bash
    curl -v telnet://<endpoint-service-dns-url>:<port>/
    

    Beispiel:

    code language-none
    $ curl -v telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 -vvv
    

    Beispiel für eine erfolgreiche Antwort:

    code language-none
    * Rebuilt URL to: telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80
    * Connected to vpce-0088d56482571241d-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com (191.210.82.246) port 80 (#0)
    

    Beispielantwort fehlgeschlagen:

    code language-none
    Failed to connect to vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.ap-southeast-1.vpce.amazonaws.com port 80: Connection timed out
    * Closing connection 0
    
  3. Stellen Sie sicher, dass der Service auf VM wartet.

    code language-bash
    netstat -na | grep <port>
    
  4. Überprüfen Sie den Paketfluss.

    code language-bash
    tcpdump -i <ethernet-interface> -tt -nn port <destination-port> and host <source-host>
    

    Überprüfen Sie die folgenden internen Einstellungen, um sicherzustellen, dass die Konfiguration gültig ist:

    • Einstellungen für Endpunkt- und Endpunkt-Services
    • Einstellungen für den Netzwerklastenausgleich (NLB)
    • Die Zielgruppen in NLB überprüfen, ob sie in Ordnung sind
    • Die netcat/curl-Endpunkt-URL jeder VM (siehe oben)

    In den folgenden Artikeln finden Sie Hilfe zur Fehlerbehebung bei Verbindungsproblemen:

    Wenn Sie die Fehler nicht beheben können, aktualisieren Sie das Adobe Commerce-Support-Ticket, um Hilfe beim Verbindungsaufbau anzufordern.

Senden eines Adobe Commerce-Support-Tickets um eine vorhandene PrivateLink-Konfiguration zu ändern. Sie können beispielsweise Änderungen wie die folgenden anfordern:

  • Entfernen Sie die PrivateLink-Verbindung aus der Adobe Commerce in der Cloud-Infrastruktur der Pro-Produktions- oder Staging-Umgebung.
  • Ändern Sie die Kundenkontonummer der Cloud-Plattform für den Zugriff auf den Adobe-Endpunkt-Service.
  • Hinzufügen oder Entfernen von PrivateLink-Verbindungen von der Adobe-VPC zu anderen Endpunkt-Services, die in der VPC-Kundenumgebung verfügbar sind.

Die VPC des Kunden muss über die folgenden Ressourcen verfügen, um bidirektionale PrivateLink-Verbindungen zu unterstützen:

  • Ein Netzwerklastenausgleich (NLB)
  • Eine Endpunkt-Service-Konfiguration, die den Zugriff auf eine Anwendung oder einen Service über die Kunden-VPC ermöglicht
  • Ein Schnittstellenendpunkt (AWS) oder privater Endpunkt (Azure), der es Adobe ermöglicht, eine Verbindung zu in VPC gehosteten Endpunktdiensten herzustellen

Wenn diese Ressourcen in der VPC des Kunden nicht verfügbar sind, müssen Sie sich bei Ihrem Cloud Platform-Konto anmelden, um die Konfiguration hinzuzufügen.

  • Amazon VPC-Konsole - https://console.aws.amazon.com/vpc/
  • Azure-Portal - https://portal.azure.com

In der Dokumentation Ihrer Cloud-Plattform finden Sie Anweisungen zum Einrichten von PrivateLink:

recommendation-more-help
7c2b03ac-000c-497d-aba3-2c6dc720a938