Servizio PrivateLink

Adobe Commerce sull'infrastruttura cloud supporta l'integrazione con il servizio AWS PrivateLink o Azure Private Link. È possibile utilizzare PrivateLink per stabilire comunicazioni private sicure tra Adobe Commerce in ambienti di infrastruttura cloud con servizi e applicazioni ospitati su sistemi esterni. Sia l’applicazione Adobe Commerce che i sistemi esterni devono essere accessibili tramite endpoint Virtual Private Cloud (VPC) configurati sulla stessa piattaforma cloud (AWS o Azure) all’interno della stessa area cloud.

TIP
PrivateLink è indicato per la protezione delle connessioni per integrazioni non HTTP(S), ad esempio trasferimenti di database o file. Se prevedi di integrare l'applicazione con le API di Adobe Commerce, consulta la sezione su come creare una Mesh API Adobe in Mesh API per Adobe Developer App Builder.

Funzioni e supporto

L’integrazione del servizio PrivateLink per i progetti di infrastruttura cloud di Adobe Commerce include le seguenti funzioni e supporto:

  • Una connessione sicura tra un Virtual Private Cloud (VPC) del cliente e il VPC Adobe sulla stessa piattaforma cloud (AWS o Azure) all’interno della stessa area cloud.

  • Supporto per la comunicazione unidirezionale o bidirezionale tra i servizi endpoint disponibili presso Adobe e le VPC del cliente.

  • Abilitazione servizio:

    • Aprire le porte richieste nell’ambiente Adobe Commerce su infrastruttura cloud
    • Stabilire la connessione iniziale tra il cliente e i VPC Adobi
    • Risoluzione dei problemi di connessione durante l’abilitazione

Limitazioni

  • Il supporto per PrivateLink è disponibile solo negli ambienti Pro Production e Staging. Non è disponibile in ambienti locali o di integrazione, né in progetti iniziali.
  • Impossibile stabilire connessioni SSH utilizzando PrivateLink. Vedere Abilitare le chiavi SSH.
  • Il supporto Adobe Commerce non copre la risoluzione dei problemi di AWS PrivateLink oltre l’abilitazione iniziale.
  • I clienti sono responsabili dei costi associati alla gestione del proprio VPC.
  • Non è possibile utilizzare il protocollo HTTPS (porta 443) per connettersi ad Adobe Commerce sull'infrastruttura cloud tramite Azure Private Link a causa di Cloaking Fastly Origine. Questa limitazione non si applica ad AWS PrivateLink.
  • PrivateDNS non disponibile.

Sono disponibili due tipi di connessione PrivateLink, illustrati nel diagramma di rete seguente, per stabilire una comunicazione sicura tra il tuo store e i sistemi esterni ospitati al di fuori dell’ambiente Cloud.

Diagramma rete PrivateLink

Scegli uno dei tipi di connessione PrivateLink più adatti al tuo Adobe Commerce negli ambienti dell’infrastruttura cloud:

  • Collegamento privato unidirezionale-Scegliere questa configurazione per recuperare i dati in modo sicuro da un archivio Adobe Commerce sull'infrastruttura cloud.

  • Collegamento privato bidirezionale-Scegliere questa configurazione per stabilire connessioni sicure da e verso sistemi esterni all'ambiente Adobe Commerce nell'infrastruttura cloud. L'opzione bidirezionale richiede due connessioni:

    • Connessione tra il VPC del cliente e il VPC dell'Adobe
    • Connessione tra il VPC Adobe e il VPC cliente
TIP
Rivolgiti all’amministratore di rete o al provider di piattaforme Cloud per ricevere assistenza nella selezione del tipo di connessione PrivateLink o nella configurazione e amministrazione di VPC. Consulta la documentazione di Cloud Platform PrivateLink: AWS PrivateLink o Azure Private Link.
WARNING
L'abilitazione di PrivateLink può richiedere fino a cinque giorni lavorativi. Fornire informazioni incomplete o imprecise può ritardare il processo.

Prerequisiti

controllare un account cloud (AWS o Azure) nella stessa area dell'istanza di Adobe Commerce sull'infrastruttura cloud.

controllare un VPC nell'ambiente del cliente che ospita i servizi per la connessione tramite PrivateLink. Consulta la documentazione di AWS o Azure per assistenza sulla configurazione VPC o contatta l’amministratore di rete.

verifica Per le connessioni PrivateLink bidirezionali, è necessario creare la configurazione del servizio endpoint per l'applicazione o il servizio e creare un endpoint nell'ambiente VPC prima di richiedere l'abilitazione di PrivateLink. Vedi Configurazione per connessioni PrivateLink bidirezionali.

Raccogli i seguenti dati necessari per l’abilitazione di PrivateLink:

  • Numero account cloud cliente (AWS o Azure): deve trovarsi nella stessa area dell'istanza di Adobe Commerce sull'infrastruttura cloud

  • Area cloud: specifica l'area cloud in cui è ospitato l'account a scopo di verifica

  • Porte dei servizi e delle comunicazioni. L'Adobe deve aprire le porte per abilitare la comunicazione dei servizi tra VPC, ad esempio la porta SQL 3306 e la porta SFTP 2222

  • ID progetto: specifica l'ID progetto Pro di Adobe Commerce su infrastruttura cloud. È possibile ottenere l'ID progetto e altre informazioni sul progetto utilizzando il comando Cloud CLI seguente: magento-cloud project:info

  • Tipo di connessione—Specificare unidirezionale o bidirezionale per il tipo di connessione

  • Servizio endpoint - Per le connessioni PrivateLink bidirezionali, fornire l'URL DNS per il servizio endpoint VPC a cui l'Adobe deve connettersi, ad esempio: com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>

  • Accesso al servizio endpoint concesso. Per connettersi al servizio esterno, consentire l'accesso al servizio endpoint all'entità account AWS seguente: arn:aws:iam::402592597372:root

    note warning
    WARNING
    Se non viene fornito l'accesso al servizio endpoint, la connessione bidirezionale PrivateLink al servizio nel tuo VPC è non aggiunta, il che ritarda la configurazione.
  • Specificare l'ID cluster. Utilizzando SSH, accedere al remoto e utilizzare il comando: cat /etc/platform_cluster

  • Per la connessione di un servizio esterno al cluster Adobe Commerce Pro è necessario:

    • Elenco di porte del cluster Pro da esporre al nuovo endpoint privato esterno
    • Elenco degli ID di sottoscrizione di Azure per le connessioni degli endpoint privati
  • Per collegare il cluster Adobe Commerce Pro a un servizio esterno, è necessario:

    • Elenco di ID di risorse per i servizi di destinazione. Gli ID del servizio External Private Link hanno un aspetto simile a quanto segue:
    code language-text
    /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/privateLinkServices/{svcNameID}
    

Flusso di lavoro di attivazione

Il seguente flusso di lavoro illustra il processo di abilitazione per l’integrazione di PrivateLink con Adobe Commerce sull’infrastruttura cloud.

  1. Il cliente invia un ticket di supporto richiedendo l'abilitazione di PrivateLink con l'oggetto PrivateLink support for <company>. Includi i dati necessari per l'abilitazione nel ticket. L’Adobe utilizza il ticket di supporto per coordinare la comunicazione durante il processo di abilitazione.

  2. L'Adobe abilita l'accesso dell'account cliente al servizio endpoint nel VPC di Adobe.

    • Aggiorna la configurazione del servizio endpoint Adobe per accettare le richieste avviate dall’account AWS o Azure del cliente.
    • Aggiornare il ticket di supporto per fornire il nome del servizio per l'endpoint VPC Adobe a cui connettersi, ad esempio com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>.
  3. Il cliente aggiunge il servizio endpoint Adobe al proprio account Cloud (AWS o Azure), che attiva una richiesta di connessione a Adobe. Per istruzioni, consulta la documentazione della piattaforma Cloud:

  4. Adobe approva la richiesta di connessione.

  5. Dopo l'approvazione della richiesta di connessione, il cliente verifica la connessione tra il proprio VPC e il VPC Adobe.

  6. Passaggi aggiuntivi per abilitare le connessioni bidirezionali:

    • Adobe fornisce l'entità principale dell'account Adobe (utente root per l'account AWS o Azure) e richiede l'accesso al servizio endpoint VPC del cliente.

    • Cliente abilita l'accesso Adobe al servizio endpoint nel VPC del cliente. Ciò presuppone che l'entità account Adobe abbia accesso a arn:aws:iam::402592597372:root, come descritto in precedenza nel prerequisito Accesso al servizio endpoint concesso.

    • Adobe aggiunge il servizio endpoint cliente all'account piattaforma Adobe (AWS o Azure), che attiva una richiesta di connessione al VPC del cliente.

    • Il cliente approva la richiesta di connessione di Adobe per completare la configurazione.

    • Cliente verifica la connessione dal VPC Adobe.

Verifica connessione servizio endpoint VPC

È possibile utilizzare l'applicazione Telnet per verificare la connessione al servizio endpoint VPC.

Per verificare la connessione al servizio endpoint VPC:

  1. Dalla directory principale del progetto, estrai l'ambiente di staging o produzione configurato per accedere al servizio endpoint PrivateLink.

    code language-bash
    magento-cloud environment:checkout <environment-id>
    
  2. Esegui il seguente comando CURL:

    code language-bash
    curl -v telnet://<endpoint-service-dns-url>:<port>/
    

    Esempio:

    code language-none
    $ curl -v telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 -vvv
    

    Esempio di risposta corretta:

    code language-none
    * Rebuilt URL to: telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80
    * Connected to vpce-0088d56482571241d-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com (191.210.82.246) port 80 (#0)
    

    Risposta di esempio non riuscita:

    code language-none
    Failed to connect to vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.ap-southeast-1.vpce.amazonaws.com port 80: Connection timed out
    * Closing connection 0
    
  3. Verificare che il servizio sia in ascolto sulla macchina virtuale.

    code language-bash
    netstat -na | grep <port>
    
  4. Controlla il flusso dei pacchetti.

    code language-bash
    tcpdump -i <ethernet-interface> -tt -nn port <destination-port> and host <source-host>
    

    Controlla le seguenti impostazioni interne per assicurarti che la configurazione sia valida:

    • Impostazioni dei servizi endpoint ed endpoint
    • Impostazioni di Bilanciamento carico di rete
    • I gruppi target in Bilanciamento carico di rete e verificare che siano integri
    • L'URL dell'endpoint netcat/curl di ogni VM (elencato sopra)

    Consulta i seguenti articoli per assistenza nella risoluzione dei problemi di connessione:

    Se non riesci a risolvere gli errori, aggiorna il ticket di supporto Adobe Commerce per richiedere assistenza per stabilire la connessione.

Invia un ticket di supporto Adobe Commerce per modificare una configurazione PrivateLink esistente. Ad esempio, puoi richiedere modifiche come segue:

  • Rimuovi la connessione PrivateLink dall’ambiente di produzione o staging di Adobe Commerce on cloud infrastructure Pro.
  • Modifica il numero di account della piattaforma cloud del cliente per accedere al servizio endpoint Adobe.
  • Aggiungere o rimuovere connessioni PrivateLink dal VPC Adobe ad altri servizi endpoint disponibili nell'ambiente VPC del cliente.

Il VPC del cliente deve disporre delle seguenti risorse per supportare connessioni PrivateLink bidirezionali:

  • Un Bilanciatore del carico di rete
  • Configurazione del servizio endpoint che consente l'accesso a un'applicazione o a un servizio dal VPC del cliente
  • Un endpoint di interfaccia (AWS) o endpoint privato (Azure) che consente ad Adobe di connettersi ai servizi endpoint ospitati nel VPC

Se queste risorse non sono disponibili nel VPC del cliente, devi accedere al tuo account della piattaforma Cloud per aggiungere la configurazione.

  • Console VPC Amazon - https://console.aws.amazon.com/vpc/
  • Portale di Azure - https://portal.azure.com

Consulta la documentazione della piattaforma Cloud per le istruzioni di configurazione di PrivateLink:

recommendation-more-help
05f2f56e-ac5d-4931-8cdb-764e60e16f26