Serviço PrivateLink
O Adobe Commerce na infraestrutura de nuvem oferece suporte à integração com o serviço AWS PrivateLink ou Azure Private Link. Você pode usar o PrivateLink para estabelecer comunicação segura e privada entre o Adobe Commerce em ambientes de infraestrutura em nuvem com serviços e aplicativos hospedados em sistemas externos. O aplicativo do Adobe Commerce e os sistemas externos devem ser acessíveis por meio de endpoints da Nuvem privada virtual (VPC) configurados na mesma plataforma de nuvem (AWS ou Azure) na mesma região de nuvem.
Recursos e suporte
A integração do serviço PrivateLink para projetos de infraestrutura em nuvem do Adobe Commerce inclui os seguintes recursos e suporte:
-
Uma conexão segura entre uma Nuvem privada virtual (VPC) do cliente e o VPC do Adobe na mesma plataforma de nuvem (AWS ou Azure) na mesma região da Nuvem.
-
Suporte para comunicação unidirecional ou bidirecional entre os serviços de endpoint disponíveis no Adobe e VPCs do cliente.
-
Ativação de serviço:
- Abra as portas necessárias no ambiente Adobe Commerce na infraestrutura em nuvem
- Estabeleça a conexão inicial entre o cliente e os VPCs Adobe
- Solução de problemas de conexão durante a ativação
Limitação
- O suporte para PrivateLink está disponível somente em ambientes de produção e preparo profissionais. Não está disponível em ambientes locais ou de integração, nem em projetos iniciais.
- Não é possível estabelecer conexões SSH usando PrivateLink. Consulte Habilitar chaves SSH.
- O suporte da Adobe Commerce não abrange a solução de problemas do AWS PrivateLink além da ativação inicial.
- Os clientes são responsáveis pelos custos associados ao gerenciamento de seu próprio VPC.
- Você não pode usar o protocolo HTTPS (porta 443) para se conectar ao Adobe Commerce na infraestrutura de nuvem através do Link Privado do Azure devido a Encobrimento rápido da origem. Essa limitação não se aplica ao AWS PrivateLink.
- PrivateDNS não está disponível.
Tipos de conexão PrivateLink
Há dois tipos de conexão PrivateLink disponíveis, mostrados no diagrama de rede a seguir, para estabelecer uma comunicação segura entre sua loja e sistemas externos hospedados fora do ambiente da nuvem.
Escolha um dos tipos de conexão PrivateLink mais adequados para seus ambientes do Adobe Commerce na infraestrutura em nuvem:
-
PrivateLink Unidirecional-Escolha esta configuração para recuperar dados com segurança de um Adobe Commerce no repositório de infraestrutura da nuvem.
-
PrivateLink bidirecional-Escolha esta configuração para estabelecer conexões seguras de e para sistemas fora da Adobe Commerce no ambiente de infraestrutura em nuvem. A opção bidirecional requer duas conexões:
- Uma conexão entre o VPC do cliente e o VPC do Adobe
- Uma conexão entre o VPC Adobe e o VPC do cliente
Solicitar ativação do PrivateLink
Pré-requisitos
Obtenha os seguintes dados necessários para a ativação do PrivateLink:
-
Número da conta da Nuvem do Cliente (AWS ou Azure) — deve estar na mesma região que a Adobe Commerce na instância da infraestrutura em nuvem
-
Região da nuvem—Forneça a região da nuvem onde a conta está hospedada para fins de verificação
-
Portas de serviços e comunicação—o Adobe deve abrir portas para habilitar a comunicação de serviço entre VPCs, por exemplo, porta SQL 3306, porta SFTP 2222
-
ID do Projeto — Forneça a ID do projeto do Adobe Commerce na infraestrutura em nuvem Pro. Você pode obter a ID do Projeto e outras informações do projeto usando o seguinte comando CLI da Nuvem:
magento-cloud project:info -
Tipo de conexão — especifique unidirecional ou bidirecional para o tipo de conexão
-
Serviço de ponto de extremidade—Para conexões PrivateLink bidirecionais, forneça a URL DNS para o serviço de ponto de extremidade VPC ao qual o Adobe deve se conectar, por exemplo:
com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id> -
Acesso ao serviço de ponto de extremidade concedido—Para se conectar ao serviço externo, permita o acesso ao serviço de ponto de extremidade à seguinte entidade de conta da AWS:
arn:aws:iam::402592597372:rootnote warning WARNING Se o acesso ao serviço de ponto de extremidade não for fornecido, a conexão PrivateLink bidirecional com o serviço em seu VPC será não adicionada, o que atrasa a configuração.
Pré-requisitos adicionais específicos da ativação do Azure Private Link
-
Forneça a ID do cluster; usando SSH, faça logon no controle remoto e use o comando:
cat /etc/platform_cluster -
Para que um serviço externo se conecte ao cluster Adobe Commerce Pro, é necessário:
- Uma lista de portas no cluster Pro para expor ao novo Ponto de Extremidade Privado externo
- Uma lista de IDs de assinatura do Azure para as conexões de Ponto de Extremidade Privado
-
Para conectar seu cluster Adobe Commerce Pro a um serviço externo, você precisa:
- Uma lista de IDs de recursos para os serviços de destino. As IDs de serviço de Link privado externo são semelhantes ao seguinte:
code language-text /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/privateLinkServices/{svcNameID}
Fluxo de trabalho de ativação
O fluxo de trabalho a seguir descreve o processo de ativação da integração do PrivateLink com o Adobe Commerce na infraestrutura em nuvem.
-
O cliente envia um tíquete de suporte solicitando a habilitação do PrivateLink com a linha de assunto
PrivateLink support for <company>. Inclua os dados necessários para a habilitação no tíquete. O Adobe usa o tíquete Suporte para coordenar a comunicação durante o processo de ativação. -
Adobe habilita o acesso da conta do cliente ao serviço de ponto de extremidade no VPC de Adobe.
- Atualize a configuração do serviço de ponto de extremidade Adobe para aceitar solicitações iniciadas da conta do AWS ou do Azure do cliente.
- Atualize o tíquete de Suporte para fornecer o nome de serviço do ponto de extremidade VPC do Adobe ao qual se conectar, por exemplo
com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>.
-
O Cliente adiciona o serviço de ponto de extremidade Adobe à sua conta da Nuvem (AWS ou Azure), o que aciona uma solicitação de conexão com o Adobe. Consulte a documentação da plataforma na nuvem para obter instruções:
- Para o AWS, consulte Aceitar e rejeitar solicitações de conexão de ponto de extremidade de interface.
- Para o Azure, consulte Gerenciar solicitações de conexão.
-
Adobe aprova a solicitação de conexão.
-
Após a aprovação da solicitação de conexão, o cliente verifica a conexão entre o VPC e o VPC Adobe.
-
Etapas adicionais para ativar conexões bidirecionais:
-
Adobe fornece a entidade de conta de Adobe (usuário raiz para a conta do AWS ou do Azure) e solicita acesso ao serviço de ponto de extremidade VPC do cliente.
-
O Cliente habilita o acesso de Adobe ao serviço de ponto de extremidade no VPC do cliente. Isso pressupõe que a entidade de conta Adobe tenha acesso a
arn:aws:iam::402592597372:root, conforme descrito anteriormente no pré-requisito acesso ao serviço de Ponto de Extremidade concedido.-
Atualize a configuração do serviço de ponto de extremidade do cliente para aceitar solicitações iniciadas da conta Adobe. Consulte a documentação da plataforma na nuvem para obter instruções:
- Para o AWS, consulte [Adicionando e removendo permissões para o serviço de ponto de extremidade].
- Para o Azure, consulte Gerenciar uma conexão de Ponto de Extremidade Privado
-
Forneça ao Adobe o nome do serviço de ponto de extremidade para o VPC do cliente.
-
-
Adobe adiciona o serviço de ponto de extremidade do cliente à conta da plataforma Adobe (AWS ou Azure), o que aciona uma solicitação de conexão com o VPC do cliente.
-
O Cliente aprova a solicitação de conexão do Adobe para concluir a instalação.
-
O Cliente verifica a conexão do VPC do Adobe.
-
Testar conexão de serviço de ponto de extremidade VPC
Você pode usar o aplicativo Telnet para testar a conexão com o serviço de ponto de extremidade VPC.
Para testar a conexão com o serviço de ponto de extremidade VPC:
-
No diretório raiz do projeto, confira o ambiente de Preparo ou Produção configurado para acessar o serviço de ponto de extremidade do PrivateLink.
code language-bash magento-cloud environment:checkout <environment-id> -
Execute o seguinte comando CURL:
code language-bash curl -v telnet://<endpoint-service-dns-url>:<port>/Exemplo:
code language-none $ curl -v telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 -vvvExemplo de resposta bem-sucedida:
code language-none * Rebuilt URL to: telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 * Connected to vpce-0088d56482571241d-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com (191.210.82.246) port 80 (#0)Exemplo de resposta com falha:
code language-none Failed to connect to vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.ap-southeast-1.vpce.amazonaws.com port 80: Connection timed out * Closing connection 0 -
Verifique se o serviço está escutando na VM.
code language-bash netstat -na | grep <port> -
Verifique o fluxo de pacotes.
code language-bash tcpdump -i <ethernet-interface> -tt -nn port <destination-port> and host <source-host>Verifique as seguintes configurações internas para garantir que a configuração seja válida:
- Configurações de ponto de extremidade e serviços de ponto de extremidade
- Configurações do Balanceador de Carga de Rede (NLB)
- Os grupos de destino no NLB e verificar se estão íntegros
- O URL do ponto de extremidade netcat/curl de cada VM (listado acima)
Consulte os seguintes artigos para obter ajuda com a solução de problemas de conexão:
- [AWS: Solucionando problemas de conexões de serviço de ponto de extremidade]
- [Amazon: Solucionando problemas de conectividade do Azure Private Link]
Se não conseguir resolver os erros, atualize o tíquete de Suporte da Adobe Commerce para solicitar ajuda para estabelecer a conexão.
Alterar configuração do PrivateLink
Envie um tíquete de Suporte da Adobe Commerce para alterar uma configuração existente do PrivateLink. Por exemplo, você pode solicitar alterações como as seguintes:
- Remova a conexão PrivateLink do ambiente de produção ou preparo do Adobe Commerce na infraestrutura em nuvem Pro.
- Altere o número da conta da plataforma Customer Cloud para acessar o serviço de ponto de extremidade Adobe.
- Adicionar ou remover conexões PrivateLink do VPC do Adobe para outros serviços de endpoint disponíveis no ambiente VPC do cliente.
Configurar conexões bidirecionais do PrivateLink
O VPC do cliente deve ter os seguintes recursos disponíveis para suportar conexões PrivateLink bidirecionais:
- Um NLB (Balanceador de Carga de Rede)
- Uma configuração de serviço de ponto de extremidade que permite o acesso a um aplicativo ou serviço do VPC do cliente
- Um [ponto de extremidade de interface] (AWS) ou [ponto de extremidade privado] (Azure) que permite que o Adobe se conecte aos serviços de ponto de extremidade hospedados em seu VPC
Se esses recursos não estiverem disponíveis no VPC do cliente, você deverá fazer logon na conta da plataforma em nuvem para adicionar a configuração.
- Console VPC do Amazon -
https://console.aws.amazon.com/vpc/ - Portal do Azure-
https://portal.azure.com
Consulte a documentação da sua plataforma na nuvem para obter instruções de configuração do PrivateLink:
-
Documentação do AWS PrivateLink
- Criar um Balanceador de Carga de Rede
- Criar uma configuração de serviço de ponto de extremidade
- Criar um ponto de extremidade de interface
- [Ciclo de vida do ponto de extremidade da interface]
-
Documentação do Azure PrivateLink