Service PrivateLink
Adobe Commerce sur les infrastructures cloud prend en charge l’intégration au service AWS PrivateLink ou Azure Private Link. Vous pouvez utiliser PrivateLink pour établir une communication sécurisée et privée entre Adobe Commerce sur les environnements d’infrastructure cloud avec des services et des applications hébergés sur des systèmes externes. L’application Adobe Commerce et les systèmes externes doivent être accessibles via les points d’entrée de cloud privé virtuel (VPC) configurés sur la même plateforme cloud (AWS ou Azure) dans la même région cloud.
Fonctionnalités et assistance
L’intégration du service PrivateLink pour Adobe Commerce dans les projets d’infrastructure cloud d’offre les fonctionnalités et la prise en charge suivantes :
-
Une connexion sécurisée entre un client Cloud privé virtuel (VPC) et Adobe VPC sur la même plateforme cloud (AWS ou Azure) dans la même région cloud.
-
Prise en charge d’une communication unidirectionnelle ou bidirectionnelle entre les services de point d’entrée disponibles sur Adobe et les ordinateurs virtuels clients.
-
Activation du service :
- Ouvrez les ports requis dans l’environnement Adobe Commerce on cloud infrastructure
- Établir la connexion initiale entre les ordinateurs virtuels du client et d’Adobe
- Résolution des problèmes de connexion lors de l’activation
Restrictions
-
La prise en charge de PrivateLink est disponible uniquement sur les environnements de production et d’évaluation Pro. Elle n’est pas disponible dans les environnements locaux ou d’intégration, ni dans les projets de démarrage.
-
Vous ne pouvez pas établir de connexions SSH à l’aide de PrivateLink. Voir Activer les clés SSH.
-
Au-delà de l’activation initiale, la prise en charge d’Adobe Commerce ne couvre pas le dépannage des problèmes AWS PrivateLink.
-
Les clients sont responsables des coûts associés à la gestion de leur propre VPC.
-
Prise en charge du protocole HTTPS (port 443) par la plateforme :
- Lien privé Azure : vous ne pouvez pas utiliser le protocole HTTPS (port 443) pour vous connecter à Adobe Commerce sur une infrastructure cloud en raison du cloaking d’origine Fastly.
- AWS PrivateLink : les connexions avec le protocole HTTPS (port 443) sont prises en charge.
-
PrivateDNS non disponible.
Types de connexion PrivateLink
Deux types de connexion PrivateLink sont disponibles (illustrés dans le diagramme réseau suivant) pour établir une communication sécurisée entre votre magasin et les systèmes externes hébergés en dehors de l’environnement Cloud.
Choisissez l’un des types de connexion PrivateLink les mieux adaptés à votre Adobe Commerce sur les environnements d’infrastructure cloud :
-
Lien privé unidirectionnel-sélectionnez cette configuration pour récupérer en toute sécurité des données d’un magasin d’infrastructure cloud Adobe Commerce.
-
Lien privé bidirectionnel-Sélectionnez cette configuration pour établir des connexions sécurisées vers et depuis des systèmes en dehors d’Adobe Commerce sur l’environnement d’infrastructure cloud. L'option bidirectionnelle requiert deux connexions :
- Une connexion entre le VPC client et le VPC Adobe
- Une connexion entre le VPC Adobe et le VPC client
Demander l’activation de PrivateLink
Conditions préalables
Collectez les données suivantes requises pour l’activation de PrivateLink :
-
Numéro de compte Customer Cloud (AWS ou Azure) : doit se trouver dans la même région que l’instance Adobe Commerce sur l’infrastructure cloud
-
Région cloud : indiquez la région cloud dans laquelle le compte est hébergé à des fins de vérification
-
Services et ports de communication : Adobe doit ouvrir les ports pour permettre la communication de service entre les VPC, par exemple le port SQL 3306 et le port SFTP 2222
-
Identifiant de projet—Fournissez l'identifiant de projet Pro d'Adobe Commerce on cloud infrastructure. Vous pouvez obtenir l’ID de projet et d’autres informations sur le projet à l’aide de la commande Cloud CLI suivante :
magento-cloud project:info -
Type de connexion : spécifiez le type de connexion unidirectionnel ou bidirectionnel
-
Service de point d’entrée : pour les connexions PrivateLink bidirectionnelles, indiquez l’URL DNS du service de point d’entrée VPC auquel Adobe doit se connecter, par exemple :
com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id> -
Accès au service de point d’entrée accordé : pour vous connecter à un service externe, autorisez l’accès au service de point d’entrée au principal de compte AWS suivant :
arn:aws:iam::402592597372:rootnote warning WARNING Si l’accès au service de point d’entrée n’est pas fourni, la connexion PrivateLink bidirectionnelle au service dans votre VPC n’est pas ajoutée, ce qui retarde la configuration.
Conditions préalables supplémentaires spécifiques à l’activation d’Azure Private Link
-
Indiquez l’identifiant du cluster ; à l’aide de SSH, connectez-vous à l’instance distante et utilisez la commande :
cat /etc/platform_cluster -
Pour qu’un service externe puisse se connecter à votre cluster Adobe Commerce Pro, vous devez disposer des éléments suivants :
- Liste des ports de votre cluster Pro à exposer au nouveau point d'entrée privé externe
- Une liste des ID d’abonnement Azure pour les connexions de point d’entrée privé
-
Pour connecter votre cluster Adobe Commerce Pro à un service externe, vous avez besoin des éléments suivants :
- Liste des identifiants des ressources pour les services cibles. Les ID de service de lien privé externe ressemblent à ce qui suit :
code language-text /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/privateLinkServices/{svcNameID}
Workflow d’activation
Le workflow suivant décrit le processus d’activation de l’intégration de PrivateLink à Adobe Commerce sur l’infrastructure cloud.
-
Client envoie un ticket d’assistance demandant l’activation de PrivateLink avec l’objet
PrivateLink support for <company>. Incluez les données requises pour l’activation dans le ticket. Adobe utilise le ticket d’assistance pour coordonner la communication pendant le processus d’activation. -
Adobe permet au compte client d’accéder au service de point d’entrée dans Adobe VPC.
- Mettez à jour la configuration du service de point d’entrée Adobe pour accepter les requêtes lancées à partir du compte AWS ou Azure du client.
- Mettez à jour le ticket d’assistance pour fournir le nom du service auquel le point d’entrée Adobe VPC doit se connecter, par exemple
com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>.
-
Client ajoute le service de point d’entrée Adobe à son compte Cloud (AWS ou Azure), ce qui déclenche une demande de connexion à Adobe. Consultez la documentation relative à la plateforme cloud pour obtenir des instructions :
- Pour AWS, voir Acceptation et rejet des demandes de connexion de point d’entrée de l’interface.
- Pour Azure, voir Gérer les demandes de connexion.
-
Adobe approuve la demande de connexion.
-
Après la validation de la demande de connexion, le client vérifie la connexion entre son VPC et le VPC Adobe.
-
Étapes supplémentaires pour activer les connexions bidirectionnelles :
-
Adobe fournit l’entité de sécurité du compte Adobe (utilisateur racine du compte AWS ou Azure) et demande l’accès au service de point d’entrée VPC du client.
-
Client permet à Adobe d’accéder au service de point d’entrée dans le VPC client. Cela suppose que l’entité de sécurité du compte Adobe a accès à
arn:aws:iam::402592597372:root, comme décrit précédemment dans la condition préalable Accès au service de point d’entrée accordé.-
Mettez à jour la configuration du service de point d’entrée client pour accepter les requêtes lancées à partir du compte Adobe. Consultez la documentation relative à la plateforme cloud pour obtenir des instructions :
- Pour AWS, voir Ajout et suppression d’autorisations pour votre service de point d’entrée.
- Pour Azure, consultez Gérer une connexion de point d’entrée privé
-
Indiquez à Adobe le nom du service de point d’entrée pour le VPC client.
-
-
Adobe ajoute le service de point d’entrée client au compte de plateforme Adobe (AWS ou Azure), ce qui déclenche une demande de connexion à VPC client.
-
Client approuve la demande de connexion d’Adobe pour terminer la configuration.
-
Client vérifie la connexion à partir du VPC Adobe.
-
Tester la connexion du service de point d’entrée VPC
Vous pouvez utiliser l’application Telnet pour tester la connexion au service de point d’entrée VPC.
Pour tester la connexion au service de point d’entrée VPC :
-
Dans le répertoire racine du projet, extrayez l’environnement d’évaluation ou de production configuré pour accéder au service de point d’entrée PrivateLink.
code language-bash magento-cloud environment:checkout <environment-id> -
Exécutez la commande CURL suivante :
code language-bash curl -v telnet://<endpoint-service-dns-url>:<port>/Exemple :
code language-none $ curl -v telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 -vvvExemple de réponse réussie :
code language-none * Rebuilt URL to: telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com:80 * Connected to vpce-0088d56482571241d-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com (191.210.82.246) port 80 (#0)Exemple de réponse d’échec :
code language-none Failed to connect to vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.ap-southeast-1.vpce.amazonaws.com port 80: Connection timed out * Closing connection 0 -
Vérifiez que le service écoute sur la machine virtuelle.
code language-bash netstat -na | grep <port> -
Vérifiez le flux des packages.
code language-bash tcpdump -i <ethernet-interface> -tt -nn port <destination-port> and host <source-host>Vérifiez les paramètres internes suivants pour vous assurer que la configuration est valide :
- Paramètres des points d’entrée et des services de point d’entrée
- Paramètres de la répartition de charge réseau (NLB)
- Les groupes cibles dans NLB et vérifient qu'ils sont sains
- URL du point d’entrée netcat/curl de chaque machine virtuelle (répertoriée ci-dessus)
Consultez les articles suivants pour obtenir de l’aide sur la résolution des problèmes de connexion :
- AWS : dépannage des connexions du service de point d’entrée
- [Amazon : résolution des problèmes de connectivité de la liaison privée Azure]
Si vous ne pouvez pas résoudre les erreurs, mettez à jour le ticket d’assistance Adobe Commerce pour demander de l’aide afin d’établir la connexion.
Modifier la configuration de PrivateLink
Envoyez un ticket d’assistance Adobe Commerce pour modifier une configuration de lien privé existante. Par exemple, vous pouvez demander des modifications comme celles-ci :
- Supprimez la connexion PrivateLink d’Adobe Commerce sur l’infrastructure cloud dans l’environnement de production ou d’évaluation Pro.
- Modifiez le numéro de compte de la plateforme cloud client pour accéder au service de point d’entrée Adobe.
- Ajoutez ou supprimez des connexions PrivateLink du VPC Adobe à d’autres services de point d’entrée disponibles dans l’environnement VPC du client.
Configuration pour les connexions PrivateLink bidirectionnelles
Le VPC client doit disposer des ressources suivantes pour prendre en charge les connexions PrivateLink bidirectionnelles :
- Un répartiteur de charge réseau (NLB)
- Configuration du service de point d’entrée qui permet d’accéder à une application ou à un service à partir du VPC client
- Un [point d’entrée d’interface] (AWS) ou point d’entrée privé (Azure) qui permet à Adobe de se connecter aux services de point d’entrée hébergés dans votre VPC
Si ces ressources ne sont pas disponibles dans le VPC client, vous devez vous connecter à votre compte de plateforme cloud pour ajouter la configuration .
- Console Amazon VPC -
https://console.aws.amazon.com/vpc/ - Portail Azure -
https://portal.azure.com
Consultez la documentation de votre plateforme cloud pour obtenir des instructions sur la configuration de PrivateLink :
-
Documentation AWS PrivateLink
- [Créer une répartition de charge réseau]
- Créer une configuration de service de point d’entrée
- Créer un point d’entrée d’interface
- [Cycle de vie du point d’entrée de l’interface]
-
Documentation Azure PrivateLink
- [Créer une répartition de charge]
- Workflow Azure Private Link