Servicio PrivateLink
La infraestructura de Adobe Commerce en la nube admite la integración con el servicio AWS PrivateLink o Azure Private Link. Puede utilizar PrivateLink para establecer una comunicación privada y segura entre Adobe Commerce en entornos de infraestructura en la nube con servicios y aplicaciones alojados en sistemas externos. Tanto la aplicación de Adobe Commerce como los sistemas externos deben ser accesibles a través de los puntos de conexión de Virtual Private Cloud (VPC) configurados en la misma plataforma de nube (AWS o Azure) dentro de la misma región de nube.
Funciones y asistencia
La integración del servicio PrivateLink para Adobe Commerce en proyectos de infraestructura en la nube incluye las siguientes funciones y compatibilidad:
-
Una conexión segura entre un cliente de Virtual Private Cloud (VPC) y el VPC de Adobe en la misma plataforma de nube (AWS o Azure) dentro de la misma región de nube.
-
Compatibilidad con la comunicación unidireccional o bidireccional entre los servicios de puntos de conexión disponibles en el Adobe y los VPC del cliente.
-
Habilitación del servicio:
- Abra los puertos necesarios en el entorno de Adobe Commerce en la nube
- Establecer la conexión inicial entre el cliente y los VPC de Adobe
- Solucionar problemas de conexión durante la activación
Limitaciones
- La compatibilidad con PrivateLink solo está disponible en los entornos de producción y ensayo de Pro. No está disponible en entornos locales o de integración, ni en proyectos iniciales.
- No puede establecer conexiones SSH mediante PrivateLink. Consulte Habilitar claves SSH.
- La compatibilidad con Adobe Commerce no cubre la resolución de problemas de AWS PrivateLink más allá de la activación inicial.
- Los clientes son responsables de los costes asociados con la gestión de su propio VPC.
- No puede usar el protocolo HTTPS (puerto 443) para conectarse a Adobe Commerce en la infraestructura de la nube a través de Azure Private Link debido a encubrimiento de origen rápido. Esta limitación no se aplica a AWS PrivateLink.
- PrivateDNS no está disponible.
Tipos de conexión de PrivateLink
Existen dos tipos de conexión PrivateLink disponibles, que se muestran en el siguiente diagrama de red, para establecer una comunicación segura entre el almacén y los sistemas externos alojados fuera del entorno de Cloud.
Elija uno de los tipos de conexión PrivateLink más adecuados para su Adobe Commerce en entornos de infraestructura en la nube:
-
Vínculo privado unidireccional: elija esta configuración para recuperar datos de forma segura de un almacén de infraestructura en la nube de Adobe Commerce.
-
PrivateLink bidireccional: elija esta configuración para establecer conexiones seguras desde y hacia sistemas fuera de Adobe Commerce en un entorno de infraestructura en la nube. La opción bidireccional requiere dos conexiones:
- Una conexión entre el VPC del cliente y el VPC de Adobe
- Una conexión entre el VPC de Adobe y el VPC del cliente
Solicitar habilitación de PrivateLink
Requisitos previos
Recopile los siguientes datos necesarios para la habilitación de PrivateLink:
-
Número de cuenta de Customer Cloud (AWS o Azure): debe estar en la misma región que la instancia de Adobe Commerce en la nube
-
Región de la nube: proporcione la región de la nube donde se hospeda la cuenta para fines de verificación
-
Puertos de servicios y comunicaciones: el Adobe debe abrir puertos para habilitar la comunicación de servicios entre los VPC, por ejemplo, el puerto SQL 3306 o el puerto SFTP 2222
-
ID de proyecto: proporcione el ID de proyecto de Adobe Commerce en la infraestructura en la nube Pro. Puede obtener el identificador del proyecto y otra información del proyecto mediante el siguiente comando de CLI de nube:
magento-cloud project:info -
Tipo de conexión: especifique unidireccional o bidireccional para el tipo de conexión
-
Servicio de extremo: para conexiones PrivateLink bidireccionales, proporcione la URL DNS para el servicio de extremo VPC al que debe conectarse el Adobe, por ejemplo:
com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id> -
Se ha concedido acceso al servicio de extremo: para conectarse a un servicio externo, permita el acceso al servicio de extremo a la siguiente entidad de seguridad de cuenta de AWS:
arn:aws:iam::402592597372:rootnote warning WARNING Si no se proporciona acceso al servicio de extremo, se agrega la conexión PrivateLink bidireccional al servicio en su VPC no, lo que retrasa la instalación.
Requisitos previos adicionales específicos de la habilitación de vínculos privados de Azure
-
Proporcione el ID de clúster; mediante SSH, inicie sesión en el remoto y use el comando:
cat /etc/platform_cluster -
Para que un servicio externo se conecte al clúster de Adobe Commerce Pro, necesita lo siguiente:
- Lista de puertos del clúster de Pro que se expondrán al nuevo extremo privado externo
- Una lista de ID de suscripción de Azure para las conexiones de extremo privado
-
Para conectar el clúster de Adobe Commerce Pro a un servicio externo, necesita:
- Una lista de ID de recursos para los servicios de destino. Los ID de servicio de vínculo privado externo tienen un aspecto similar al siguiente:
code language-text /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/privateLinkServices/{svcNameID}
Flujo de trabajo de habilitación
El siguiente flujo de trabajo describe el proceso de activación de la integración de PrivateLink con Adobe Commerce en la infraestructura en la nube.
-
El cliente envía un ticket de asistencia solicitando la habilitación de PrivateLink con la línea de asunto
PrivateLink support for <company>. Incluya los datos necesarios para la habilitación en el ticket. El Adobe de utiliza el ticket de asistencia para coordinar la comunicación durante el proceso de activación. -
Adobe habilita el acceso de la cuenta del cliente al servicio de extremo en el VPC de Adobe.
- Actualice la configuración del servicio de extremo de Adobe para aceptar solicitudes iniciadas desde la cuenta de cliente de AWS o Azure.
- Actualice el ticket de asistencia técnica para proporcionar el nombre de servicio del extremo de VPC de Adobe al que se va a conectar, por ejemplo
com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>.
-
El cliente agrega el servicio de extremo de Adobe a su cuenta de Cloud (AWS o Azure), que almacena en déclencheur una solicitud de conexión al Adobe. Consulte la documentación de la plataforma en la nube para obtener instrucciones:
- Para AWS, consulte Aceptar y rechazar solicitudes de conexión de extremo de interfaz.
- Para Azure, consulte Administrar solicitudes de conexión.
-
Adobe aprueba la solicitud de conexión.
-
Después de la aprobación de la solicitud de conexión, el cliente comprueba la conexión entre su VPC y el VPC de Adobe.
-
Pasos adicionales para habilitar conexiones bidireccionales:
-
Adobe proporciona la entidad de seguridad de la cuenta de Adobe (usuario raíz para la cuenta de AWS o Azure) y solicita acceso al servicio de extremo de VPC del cliente.
-
Cliente habilita el acceso de Adobe al servicio de extremo en el VPC del cliente. Esto supone que la entidad de seguridad de la cuenta de Adobe tiene acceso a
arn:aws:iam::402592597372:root, como se describió anteriormente en el requisito previo de acceso al servicio de extremo concedido.-
Actualice la configuración del servicio de punto de conexión del cliente para aceptar solicitudes iniciadas desde la cuenta de Adobe. Consulte la documentación de la plataforma en la nube para obtener instrucciones:
- Para AWS, consulte [Agregar y eliminar permisos para el servicio de extremo].
- Para Azure, consulte Administrar una conexión de extremo privado
-
Proporcione el Adobe con el nombre del servicio de punto final para el VPC del cliente.
-
-
Adobe agrega el servicio de extremo de cliente a la cuenta de la plataforma de Adobe (AWS o Azure), que almacena en déclencheur una solicitud de conexión al VPC del cliente.
-
Cliente aprueba la solicitud de conexión del Adobe para completar la configuración.
-
El cliente comprueba la conexión desde el VPC de Adobe.
-
Probar la conexión del servicio de extremo VPC
Puede utilizar la aplicación Telnet para probar la conexión con el servicio de extremo de VPC.
Para probar la conexión con el servicio de extremo de VPC:
-
En el directorio raíz del proyecto, desproteja el entorno de ensayo o producción configurado para acceder al servicio de extremo PrivateLink.
code language-bash magento-cloud environment:checkout <environment-id> -
Ejecute el siguiente comando CURL:
code language-bash curl -v telnet://<endpoint-service-dns-url>:<port>/Ejemplo:
code language-terminal $ curl -v telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 -vvvRespuesta correcta de muestra:
code language-terminal * Rebuilt URL to: telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 * Connected to vpce-0088d56482571241d-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com (191.210.82.246) port 80 (#0)Respuesta fallida de muestra:
code language-terminal Failed to connect to vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.ap-southeast-1.vpce.amazonaws.com port 80: Connection timed out * Closing connection 0 -
Compruebe que el servicio está escuchando en la VM.
code language-bash netstat -na | grep <port> -
Compruebe el flujo de paquetes.
code language-bash tcpdump -i <ethernet-interface> -tt -nn port <destination-port> and host <source-host>Compruebe la siguiente configuración interna para asegurarse de que es válida:
- Configuración de servicios de extremo y extremo
- Configuración del Equilibrador de carga de red (NLB)
- Los grupos de destino en NLB y compruebe que están en buen estado
- La URL del extremo netcat/curl de cada VM (enumerada anteriormente)
Consulte los siguientes artículos para obtener ayuda sobre la resolución de problemas de conexión:
- [AWS: solucionando problemas en las conexiones del servicio de extremo]
- [Amazon: solucionando problemas de conectividad de Azure Private Link]
Si no puede resolver los errores, actualice el ticket de asistencia de Adobe Commerce para solicitar ayuda para establecer la conexión.
Cambiar la configuración de PrivateLink
Envíe un ticket de asistencia de Adobe Commerce para cambiar una configuración de PrivateLink existente. Por ejemplo, puede solicitar cambios como los siguientes:
- Elimine la conexión PrivateLink del entorno de ensayo o producción de Adobe Commerce en la infraestructura en la nube Pro.
- Cambie el número de cuenta de la plataforma de customer Cloud para acceder al servicio de extremo de Adobe.
- Agregar o quitar conexiones PrivateLink del VPC de Adobe a otros servicios de punto final disponibles en el entorno VPC del cliente.
Configuración para conexiones PrivateLink bidireccionales
El VPC del cliente debe tener los siguientes recursos disponibles para admitir conexiones PrivateLink bidireccionales:
- Un equilibrador de carga de red (NLB)
- Una configuración de servicio de punto final que permite el acceso a una aplicación o servicio desde el VPC del cliente
- Un extremo de interfaz (AWS) o extremo privado (Azure) que permite que el Adobe se conecte a servicios de extremo alojados en su VPC
Si estos recursos no están disponibles en el VPC del cliente, debe iniciar sesión en su cuenta de Cloud Platform para agregar la configuración.
- Consola VPC de Amazon:
https://console.aws.amazon.com/vpc/ - Portal de Azure-
https://portal.azure.com
Consulte la documentación de la plataforma de Cloud para ver las instrucciones de configuración de PrivateLink:
-
Documentación de AWS PrivateLink
- Crear un equilibrador de carga de red
- Crear una configuración de servicio de extremo
- Crear un extremo de interfaz
- [Ciclo de vida del extremo de interfaz]
-
Documentación de Azure PrivateLink