DokumentationHandelAnvändarhandbok om Commerce i molninfrastrukturen

PrivateLink-tjänst

Last update: Thu Jul 18 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Skapat för:

  • Administratör
  • Utvecklare

Adobe Commerce i molninfrastrukturen stöder integrering med tjänsten AWS PrivateLink eller Azure Private Link . Du kan använda PrivateLink för att upprätta säker, privat kommunikation mellan Adobe Commerce i molninfrastrukturmiljöer med tjänster och program som finns på externa system. Både Adobe Commerce-programmet och externa system måste vara tillgängliga via VPC-slutpunkter (Virtual Private Cloud) som konfigurerats på samma molnplattform (AWS eller Azure) inom samma molnregion.

TIP
PrivateLink används bäst för att skydda anslutningar för icke-HTTP(S)-integreringar, som databaser eller filöverföringar. Om du tänker integrera ditt program med Adobe Commerce API:er kan du läsa om hur du skapar ett Adobe API-nät i API-nät för Adobe Developer App Builder.

Funktioner och support

Integreringen av PrivateLink-tjänsten för Adobe Commerce i molninfrastrukturprojekt innehåller följande funktioner och support:

  • En säker anslutning mellan en kund, VPC (Virtual Private Cloud) och Adobe VPC på samma molnplattform (AWS eller Azure) inom samma molnregion.

  • Stöd för enkelriktad eller dubbelriktad kommunikation mellan slutpunktstjänster som finns på Adobe och kundens VPC:er.

  • Tjänstaktivering:

    • Öppna nödvändiga portar i Adobe Commerce i molninfrastruktursmiljö
    • Upprätta den första anslutningen mellan kunden och Adobe VPC:er
    • Felsöka anslutningsproblem under aktivering

Begränsningar

  • Stöd för PrivateLink finns endast i Pro Production- och Staging-miljöer. Det är inte tillgängligt i lokala miljöer, integreringsmiljöer eller i Starter-projekt.
  • Du kan inte upprätta SSH-anslutningar med PrivateLink. Se Aktivera SSH-nycklar.
  • Adobe Commerce support omfattar inte felsökning av AWS PrivateLink-problem utöver den initiala aktiveringen.
  • Kunderna ansvarar för kostnaderna för att hantera sina egna VPC.
  • Du kan inte använda HTTPS-protokollet (port 443) för att ansluta till Adobe Commerce i molninfrastrukturen via Azure Private Link på grund av snabb ursprungsinsvepning. Denna begränsning gäller inte AWS PrivateLink.
  • PrivateDNS är inte tillgängligt.

Det finns två typer av PrivateLink-anslutningar tillgängliga - vilket visas i följande nätverksdiagram - för att upprätta säker kommunikation mellan din butik och externa system som ligger utanför molnmiljön.

PrivateLink-nätverksdiagram

Välj en av de PrivateLink-anslutningstyper som passar bäst för din Adobe Commerce i molninfrastrukturmiljöer:

  • Unidirectional PrivateLink-Välj den här konfigurationen om du vill hämta data säkert från ett Adobe Commerce-infrastrukturarkiv i molnet.

  • Dubbelriktad PrivateLink-Välj den här konfigurationen för att upprätta säkra anslutningar till och från system utanför Adobe Commerce i molninfrastrukturmiljön. Dubbelriktat alternativ kräver två anslutningar:

    • En anslutning mellan kundens VPC och Adobe VPC
    • En anslutning mellan Adobe VPC och kundens VPC
TIP
Kontakta nätverksadministratören eller molnplattformsleverantören för att få hjälp med att välja anslutningstypen PrivateLink eller hjälp med konfiguration och administration av VPC. Se dokumentationen för PrivateLink för molnplattformen: AWS PrivateLink eller Azure Private Link.
WARNING
Det kan ta upp till fem arbetsdagar att aktivera PrivateLink. Att tillhandahålla ofullständig eller felaktig information kan fördröja processen.

Förutsättningar

kontrollera Ett molnkonto (AWS eller Azure) i samma region som Adobe Commerce på molninfrastrukturinstansen.

kontrollera En VPC i kundmiljön som är värd för tjänsterna som ska anslutas via PrivateLink. Läs AWS- eller Azure-dokumentationen om du behöver hjälp med VPC-installationen eller kontakta nätverksadministratören.

kontrollera För dubbelriktade PrivateLink-anslutningar måste du skapa slutpunktstjänstkonfigurationen för programmet eller tjänsten och skapa en slutpunkt i VPC-miljön innan du begär PrivateLink-aktivering. Se Konfigurera för dubbelriktade PrivateLink-anslutningar.

Samla in följande data som krävs för PrivateLink-aktivering:

  • Kundmolnkontonummer (AWS eller Azure) - måste finnas i samma region som Adobe Commerce på molninfrastrukturinstansen

  • Molnregion - Ange den molnregion där kontot finns för verifieringsändamål

  • Tjänster och kommunikationsportar - Adobe måste öppna portar för att kunna aktivera tjänstkommunikation mellan VPC:er, till exempel SQL-port 3306, SFTP-port 2222

  • Projekt-ID - Ange Adobe Commerce för projekt-ID:t för molninfrastrukturen. Du kan hämta projekt-ID och annan projektinformation med följande Cloud CLI-kommando: magento-cloud project:info

  • Anslutningstyp - Ange enkelriktad eller dubbelriktad för anslutningstyp

  • Endpoint service - För dubbelriktade PrivateLink-anslutningar anger du DNS-URL:en för VPC-slutpunktstjänsten som Adobe måste ansluta till, till exempel: com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>

  • Åtkomst till slutpunktstjänsten har beviljats - Om du vill ansluta till en extern tjänst måste du ge slutpunktstjänsten åtkomst till följande AWS-kontokonto: arn:aws:iam::402592597372:root

    note warning
    WARNING
    Om åtkomst till slutpunktstjänsten inte tillhandahålls läggs inte till för dubbelriktad PrivateLink-anslutning till tjänsten i din VPC, vilket fördröjer installationen.

  • Ange kluster-ID; med SSH loggar du in på fjärrkontrollen och använder kommandot: cat /etc/platform_cluster

  • För att kunna ansluta en extern tjänst till ditt Adobe Commerce Pro-kluster behöver du:

    • En lista över portar i ditt Pro-kluster som ska visas för den nya externa privata slutpunkten
    • En lista över Azure-prenumerations-ID:n för privata slutpunktsanslutningar

  • Om du vill ansluta ditt Adobe Commerce Pro-kluster till en extern tjänst behöver du:

    • En lista över resurs-ID:n för måltjänsterna. Tjänst-ID för extern privat länk ser ut ungefär så här:
    code language-text 
    /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/privateLinkServices/{svcNameID}

Arbetsflöde för aktivering

I följande arbetsflöde beskrivs aktiveringsprocessen för PrivateLink-integrering med Adobe Commerce i molninfrastrukturen.

  1. Kunden skickar en supportbiljett med en begäran om PrivateLink-aktivering med ämnesraden PrivateLink support for <company>. Inkludera de data som krävs för aktivering i biljetten. Adobe använder supportbiljetten för att koordinera kommunikationen under aktiveringsprocessen.

  2. Adobe ger åtkomst till slutpunktstjänsten i Adobe VPC med kundkonto.

    • Uppdatera slutpunktstjänstkonfigurationen för Adobe för att acceptera begäranden som initierats från kundens AWS- eller Azure-konto.
    • Uppdatera supportbiljetten för att ange tjänstnamnet för VPC-slutpunkten som Adobe ska ansluta till, till exempel com.amazonaws.vpce.<cloud-region>.vpce-svc-<service-id>.

  3. Kunden lägger till slutpunktstjänsten i Adobe i sitt molnkonto (AWS eller Azure), vilket utlöser en anslutningsbegäran till Adobe. Mer information finns i dokumentationen för molnplattformen:

    • Information om AWS finns i [Acceptera och ignorera anslutningsbegäranden för gränssnittets slutpunkt].
    • För Azure, se Hantera anslutningsbegäranden.

  4. Adobe godkänner anslutningsbegäran.

  5. Efter godkännande av anslutningsbegäran verifierar kunden anslutningen mellan sin VPC och Adobe VPC.

  6. Ytterligare steg för att aktivera dubbelriktade anslutningar:

    • Adobe förser Adobe-kontots huvudnamn (rotanvändare för AWS- eller Azure-konton) och begär åtkomst till kundens VPC-slutpunktstjänst.

    • Kund ger Adobe åtkomst till slutpunktstjänsten i kundens VPC. Detta förutsätter att kontots huvudnamn i Adobe har åtkomst till arn:aws:iam::402592597372:root, vilket tidigare har beskrivits i den slutpunktstjänståtkomst som beviljats.

    • Adobe lägger till kundslutpunktstjänsten i Adobe-plattformskontot (AWS eller Azure), vilket utlöser en anslutningsbegäran till kundens VPC.

    • Kunden godkänner anslutningsbegäran från Adobe för att slutföra konfigurationen.

    • Kunden verifierar anslutningen från Adobe VPC.

Testa VPC-slutpunktsanslutning

Du kan använda Telnet-programmet för att testa anslutningen till VPC-slutpunktstjänsten.

Så här testar du anslutningen till VPC-slutpunktstjänsten:

  1. I projektets rotkatalog checkar du ut från mellanlagrings- eller produktionsmiljön som konfigurerats för åtkomst till PrivateLink-slutpunktstjänsten.

    code language-bash 
    magento-cloud environment:checkout <environment-id>

  2. Kör följande CURL-kommando:

    code language-bash 
    curl -v telnet://<endpoint-service-dns-url>:<port>/

    Exempel:

    code language-none 
    $ curl -v telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80 -vvv

    Exempel på lyckat svar:

    code language-none 
    * Rebuilt URL to: telnet://vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce.amazonaws.com:80
* Connected to vpce-0088d56482571241d-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.us-east-1.vpce. amazonaws.com (191.210.82.246) port 80 (#0)

    Samplingssvaret misslyckades:

    code language-none 
    Failed to connect to vpce-007ffnb9qkcnjgult-yfhmywqh.vpce-svc-083cqvm2ta3rxqat5v.ap-southeast-1.vpce.amazonaws.com port 80: Connection timed out
* Closing connection 0

  3. Kontrollera att tjänsten lyssnar på VM.

    code language-bash 
    netstat -na | grep <port>

  4. Kontrollera paketflödet.

    code language-bash 
    tcpdump -i <ethernet-interface> -tt -nn port <destination-port> and host <source-host>

    Kontrollera följande interna inställningar för att säkerställa att konfigurationen är giltig:

    • Inställningar för slutpunkts- och slutpunktstjänster
    • NLB-inställningar (Network Load Balancer)
    • Målgrupperna i NLB och verifiera att de är felfria
    • URL för netcat/curl-slutpunkt från varje virtuell dator (visas ovan)

    I följande artiklar finns hjälp med att felsöka anslutningsproblem:

    Om du inte kan åtgärda felen kan du uppdatera Adobe Commerce supportanmälan och be om hjälp med att upprätta anslutningen.

Skicka en Adobe Commerce-supportanmälan om du vill ändra en befintlig PrivateLink-konfiguration. Du kan till exempel begära ändringar enligt följande:

  • Ta bort PrivateLink-anslutningen från Adobe Commerce i molninfrastrukturen Pro Production eller Staging-miljön.
  • Ändra kundens Cloud-plattformskontonummer för åtkomst till slutpunktstjänsten i Adobe.
  • Lägg till eller ta bort PrivateLink-anslutningar från Adobe VPC till andra slutpunktstjänster som är tillgängliga i kundens VPC-miljö.

Kund-VPC måste ha följande resurser tillgängliga för stöd av dubbelriktade PrivateLink-anslutningar:

  • En NLB (Network Load Balancer)
  • En slutpunktstjänstkonfiguration som ger åtkomst till ett program eller en tjänst från kundens VPC
  • En gränssnittsslutpunkt (AWS) eller privat slutpunkt (Azure) som gör att Adobe kan ansluta till slutpunktstjänster på din VPC

Om dessa resurser inte är tillgängliga i kundens VPC måste du logga in på ditt molnplattformskonto för att lägga till konfigurationen.

  • Amazon VPC-konsol - https://console.aws.amazon.com/vpc/
  • Azure-portal - https://portal.azure.com

Se dokumentationen för molnplattformen för konfigureringsinstruktioner för PrivateLink:

recommendation-more-help
05f2f56e-ac5d-4931-8cdb-764e60e16f26