Service PrivateLink
Adobe Commerce sur l’infrastructure cloud prend en charge l’intégration avec le service AWS PrivateLink ou Azure Private Link. Vous pouvez utiliser PrivateLink pour établir une communication privée sécurisée entre Adobe Commerce dans les environnements d’infrastructure cloud avec des services et des applications hébergés sur des systèmes externes. L’application Adobe Commerce et les systèmes externes doivent être accessibles via les points d’entrée Virtual Private Cloud (VPC) configurés sur la même plateforme cloud (AWS ou Azure) dans la même région de cloud.
Fonctionnalités et support
L’intégration du service PrivateLink pour Adobe Commerce sur les projets d’infrastructure cloud comprend les fonctionnalités et la prise en charge suivantes :
-
Connexion sécurisée entre un client de cloud virtuel privé (VPC) et le VPC d’Adobe sur la même plateforme cloud (AWS ou Azure) dans la même région du cloud.
-
Prise en charge de la communication unidirectionnelle ou bidirectionnelle entre les services de point de terminaison disponibles sur les VPC Adobe et clients.
-
Activation du service :
- Ouvrez les ports requis dans Adobe Commerce dans l’environnement d’infrastructure cloud.
- Établir la connexion initiale entre les VPC client et Adobe
- Résolution des problèmes de connexion pendant l’activation
Limites
- La prise en charge de PrivateLink est disponible uniquement dans les environnements de production et d’évaluation Pro. Elle n’est pas disponible sur les environnements locaux ou d’intégration, ni sur les projets de démarrage.
- Vous ne pouvez pas établir de connexions SSH à l’aide de PrivateLink. Voir Activer les clés SSH.
- La prise en charge d’Adobe Commerce ne couvre pas la résolution des problèmes liés à AWS PrivateLink au-delà de l’activation initiale.
- Les clients sont responsables des coûts associés à la gestion de leur propre VPC.
- Vous ne pouvez pas utiliser le protocole HTTPS (port 443) pour vous connecter à Adobe Commerce sur l’infrastructure cloud via Azure Private Link en raison d’un cloaking d’origine Fastly. Cette limitation ne s’applique pas à AWS PrivateLink.
- PrivateDNS n’est pas disponible.
Types de connexion PrivateLink
Deux types de connexion PrivateLink sont disponibles (illustrés dans le diagramme de réseau suivant) pour établir une communication sécurisée entre votre magasin et les systèmes externes hébergés en dehors de l’environnement cloud.
Choisissez l’un des types de connexions PrivateLink les mieux adaptés à votre Adobe Commerce dans les environnements d’infrastructure cloud :
-
Lien privé unidirectionnel : sélectionnez cette configuration pour récupérer les données en toute sécurité à partir d’une Adobe Commerce sur la boutique d’infrastructure cloud.
-
Lien privé bidirectionnel : sélectionnez cette configuration pour établir des connexions sécurisées vers et depuis des systèmes en dehors d’Adobe Commerce dans l’environnement d’infrastructure cloud. L’option bidirectionnelle requiert deux connexions :
- Une connexion entre le VPC client et le VPC Adobe
- Connexion entre le VPC d’Adobe et le VPC client
Demander l’activation de PrivateLink
Conditions préalables
Rassemblez les données suivantes requises pour l’activation de PrivateLink :
-
Numéro de compte Cloud client (AWS ou Azure) : doit se trouver dans la même région que l’instance Adobe Commerce sur l’infrastructure cloud
-
Région du cloud : indiquez la région du cloud où le compte est hébergé à des fins de vérification.
-
Services et ports de communication : l’Adobe doit ouvrir les ports pour permettre la communication de service entre VPC, par exemple le port SQL 3306, le port SFTP 2222
-
ID de projet : fournissez l’Adobe Commerce sur l’ID de projet de l’infrastructure cloud Pro. Vous pouvez obtenir l’ID de projet et d’autres informations sur le projet à l’aide de la commande Cloud CLI suivante :
magento-cloud project:info -
Type de connexion : spécifiez unidirectionnel ou bidirectionnel pour le type de connexion
-
Service Endpoint : pour les connexions PrivateLink bidirectionnelles, fournissez l’URL DNS pour le service VPC endpoint auquel l’Adobe doit se connecter, par exemple :
com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id> -
Accès au service Endpoint accordé—Pour vous connecter au service externe, autorisez le service endpoint à accéder au principal de compte AWS suivant :
arn:aws:iam::402592597372:rootnote warning WARNING Si l’accès au service de point de terminaison n’est pas fourni, la connexion PrivateLink bidirectionnelle au service dans votre VPC est et non ajoutée, ce qui retarde la configuration.
Autres prérequis spécifiques à l’activation de lien privé Azure
-
Indiquez l’ID de grappe ; à l’aide de SSH, connectez-vous à la télécommande et utilisez la commande :
cat /etc/platform_cluster -
Pour qu’un service externe se connecte à votre grappe Adobe Commerce Pro, vous avez besoin des éléments suivants :
- Liste des ports de votre grappe Pro à exposer au nouveau point d’entrée privé externe
- Liste des ID d’abonnement Azure pour les connexions Point de terminaison privé
-
Pour connecter votre grappe Adobe Commerce Pro à un service externe, vous avez besoin des éléments suivants :
- Liste des identifiants des ressources pour les services cibles. Les identifiants du service de lien privé externe ressemblent à ce qui suit :
code language-text /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/privateLinkServices/{svcNameID}
Workflow d’activation
Le workflow suivant décrit le processus d’activation de l’intégration de PrivateLink à Adobe Commerce sur l’infrastructure cloud.
-
Customer envoie un ticket d’assistance demandant l’activation de PrivateLink avec l’objet
PrivateLink support for <company>. Incluez les données requises pour l’activation dans le ticket. Adobe utilise le ticket d’assistance pour coordonner la communication pendant le processus d’activation. -
Adobe permet au compte client d’accéder au service de point de terminaison dans le VPC Adobe.
- Mettez à jour la configuration du service de point de terminaison Adobe pour accepter les demandes initiées à partir du compte AWS ou Azure du client.
- Mettez à jour le ticket de support pour fournir le nom du service auquel le point de terminaison VPC Adobe doit se connecter, par exemple
com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>.
-
Client ajoute le service de point de terminaison Adobe à son compte Cloud (AWS ou Azure), ce qui déclenche une demande de connexion à l’Adobe. Pour obtenir des instructions, consultez la documentation de la plateforme Cloud :
- Pour AWS, voir [ Acceptation et rejet des demandes de connexion de point d’entrée de l’interface].
- Pour Azure, voir Gestion des requêtes de connexion.
-
Adobe approuve la demande de connexion.
-
Après l’approbation de la demande de connexion, le client vérifie la connexion entre son VPC et l’Adobe VPC.
-
Autres étapes pour activer les connexions bidirectionnelles :
-
Adobe fournit l’entité de compte d’Adobe (utilisateur racine pour le compte AWS ou Azure) et demande l’accès au service de point de terminaison VPC du client.
-
Customer permet à l’Adobe d’accéder au service de point de terminaison dans le VPC client. Cela suppose que l’entité de compte d’Adobe a accès à
arn:aws:iam::402592597372:root, comme décrit précédemment dans la condition Accès au service Endpoint accordé .-
Mettez à jour la configuration du service de point de terminaison client pour accepter les demandes initiées à partir du compte Adobe. Pour obtenir des instructions, consultez la documentation de la plateforme Cloud :
- Pour AWS, voir [ Ajout et suppression d’autorisations pour votre service de point de terminaison ].
- Pour Azure, voir [Gestion d’une connexion de point d’entrée privé]
-
Fournissez un Adobe avec le nom du service de point de terminaison pour le VPC client.
-
-
Adobe ajoute le service de point d’entrée client au compte de plateforme d’Adobe (AWS ou Azure), ce qui déclenche une demande de connexion au VPC client.
-
Client approuve la demande de connexion de l’Adobe pour terminer la configuration.
-
Client vérifie la connexion à partir du VPC d’Adobe.
-
Test de la connexion au service de point d’entrée VPC
Vous pouvez utiliser l’application Telnet pour tester la connexion au service de point d’entrée VPC.
Pour tester la connexion au service de point d’entrée VPC :
-
Dans le répertoire racine du projet, extrayez l’environnement d’évaluation ou de production configuré pour accéder au service de point d’entrée PrivateLink.
code language-bash magento-cloud environment:checkout <environment-id> -
Exécutez la commande CURL suivante :
code language-bash curl -v telnet://<endpoint-service-dns-url>:<port>/Exemple :
code language-terminal $ curl -v telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 -vvvExemple de réponse réussie :
code language-terminal * Rebuilt URL to: telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 * Connected to vpce-0088d56482571241d-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com (191.210.82.246) port 80 (#0)Exemple de réponse en échec :
code language-terminal Failed to connect to vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.ap-southeast-1.vpce.amazonaws.com port 80: Connection timed out * Closing connection 0 -
Vérifiez que le service écoute sur VM.
code language-bash netstat -na | grep <port> -
Vérifiez le flux des packages.
code language-bash tcpdump -i <ethernet-interface> -tt -nn port <destination-port> and host <source-host>Vérifiez les paramètres internes suivants pour vous assurer que la configuration est valide :
- Paramètres des services de point de fin et de point de fin
- Paramètres NLB (Network Load Balancer)
- Les groupes cibles de la NLB et vérifier qu'ils sont en bonne santé
- URL du point d’entrée netcat/curl de chaque VM (répertoriée ci-dessus)
Consultez les articles suivants pour obtenir de l’aide sur la résolution des problèmes de connexion :
- [AWS : résolution des problèmes de connexions au service de point d’entrée]
- Amazon : résolution des problèmes de connectivité Azure Private Link
Si vous ne parvenez pas à résoudre les erreurs, mettez à jour le ticket de support Adobe Commerce pour demander de l’aide pour établir la connexion.
Modification de la configuration de PrivateLink
Envoyez un ticket d’assistance Adobe Commerce pour modifier une configuration PrivateLink existante. Par exemple, vous pouvez demander des modifications comme suit :
- Supprimez la connexion PrivateLink d’Adobe Commerce dans l’environnement de production ou d’évaluation de l’infrastructure cloud Pro.
- Modifiez le numéro de compte de la plateforme Customer Cloud pour accéder au service de point de terminaison Adobe.
- Ajoutez ou supprimez des connexions PrivateLink du VPC d’Adobe à d’autres services de point de terminaison disponibles dans l’environnement VPC client.
Configuration des connexions PrivateLink bidirectionnelles
Le VPC client doit disposer des ressources suivantes disponibles pour prendre en charge les connexions PrivateLink bidirectionnelles :
- Un équilibreur de charge réseau (NLB)
- Une configuration de service de point de terminaison qui permet d’accéder à une application ou à un service à partir du client VPC
- Un [point d’entrée d’interface] (AWS) ou un point d’entrée privé (Azure) qui permet à l’Adobe de se connecter aux services de point d’entrée hébergés dans votre VPC
Si ces ressources ne sont pas disponibles dans le VPC client, vous devez vous connecter à votre compte de plateforme Cloud pour ajouter la configuration.
- Console Amazon VPC -
https://console.aws.amazon.com/vpc/ - Portail Azure -
https://portal.azure.com
Consultez la documentation de votre plateforme Cloud pour obtenir des instructions sur la configuration de PrivateLink :
-
Documentation sur AWS PrivateLink
- Création d’un équilibreur de charge réseau
- [Création d’une configuration de service de point d’entrée]
- [ Créez un point d’entrée d’interface ]
- [Cycle de vie du point d’entrée de l’interface]
-
Documentation Azure PrivateLink