Passer au contenu principal
Certains clients Enterprise ont besoin que Devin se connecte via un accès privé à des systèmes internes tels que GitHub Enterprise Server, GitLab, Bitbucket Data Center, Artifactory, Nexus ou d’autres infrastructures de développement. Devin Dedicated SaaS le prend en charge via AWS PrivateLink. Ce modèle maintient l’intégralité du trafic sur le backbone d’AWS et évite toute exposition sur Internet public.

Vue d’ensemble

PrivateLink fournit une connectivité IP privée entre votre VPC Devin Dedicated SaaS et vos points de terminaison internes. Pour ce faire, votre équipe met à disposition un service d’endpoint VPC AWS (AWS VPC Endpoint Service) en frontal de chaque système interne auquel Devin doit accéder. Cognition crée ensuite des Interface VPC endpoints qui consomment ce service. PrivateLink est configuré domaine par domaine. Si Devin doit accéder à plusieurs domaines, vous aurez besoin d’un Endpoint Service et d’un Interface Endpoint pour chaque domaine.

Conditions requises

Vous devez fournir :
  • Un Network Load Balancer (NLB) dans votre compte AWS qui fait office de frontal pour chaque service interne (GitLab, Artifactory, etc.)
  • Un service de point de terminaison VPC (VPC Endpoint Service) qui utilise le NLB comme cible
  • Le nom de service pour chaque service de point de terminaison
  • Des autorisations de principal autorisé incluant le compte AWS de Cognition
  • La confirmation des ports pris en charge pour chaque service
  • Les informations DNS pour les domaines que Devin doit résoudre en privé
Cognition fournira :
  • L’ID de compte AWS à ajouter en tant que principal autorisé
  • Le VPC cible et les informations de sous-réseau pour les points de terminaison d’interface (Interface Endpoints)
  • La configuration DNS côté Devin une fois la connectivité établie
Si vos services internes s’exécutent dans une région différente de celle de votre tenant Cognition Dedicated SaaS, vous pouvez tout de même utiliser PrivateLink. AWS prend en charge l’utilisation de points de terminaison inter-régions, à condition que le propriétaire du service l’active.

Étapes côté client

  1. Créer ou réutiliser le Network Load Balancer Le NLB doit cibler les systèmes internes auxquels Devin doit accéder. Le NLB doit prendre en charge tous les ports requis.
  2. Créer un service de point de terminaison VPC (VPC Endpoint Service) à partir du NLB Cela rend le service disponible pour une utilisation via PrivateLink.
  3. Activer la prise en charge entre régions Dans la console AWS : 
    VPC Console → Endpoint Services → Select service → Actions → Modify supported Regions
    Ajoutez la région où votre tenant Cognition est déployé. Exemple CLI : 
    aws ec2 modify-vpc-endpoint-service-configuration \
    --service-id vpce-svc-0abc123 \
    --add-supported-regions us-west-2  # Région de votre tenant Cognition
  4. Ajouter le compte AWS de Cognition comme principal autorisé 
    aws ec2 modify-vpc-endpoint-service-permissions \
    --service-id vpce-svc-0abc123 \
    --add-allowed-principals arn:aws:iam::<COGNITION_ACCOUNT_ID>:root
  5. Fournir les informations suivantes à Cognition
    • Nom du service de point de terminaison (Endpoint Service)
      Exemple : com.amazonaws.vpce.us-west-2.vpce-svc-0abc123
    • Ports acceptés par le service
    • Les domaines qui doivent être résolus via PrivateLink

Ce qui va se passer ensuite

Une fois que vous avez fourni les informations ci-dessus, Cognition va :
  1. Créer des points de terminaison d’interface VPC dans le VPC dédié à votre tenant en utilisant les noms de service que vous avez fournis.
  2. Envoyer une demande de connexion que vous devrez approuver (manuellement ou via l’acceptation automatique si elle est configurée).
  3. Configurer le DNS afin que les domaines que vous avez spécifiés soient résolus en privé dans l’environnement Devin.

Schéma d’architecture

Architecture PrivateLink

Points clés à prendre en compte

SujetRecommandations
Configuration requiseUn Endpoint Service par domaine, un Interface Endpoint par domaine
Prise en charge inter-régionsDoit être explicitement activée sur l’Endpoint Service
Principaux autorisésLe client doit ajouter l’ID de compte AWS de Cognition
DNSLes domaines du client seront résolus vers des IP d’Interface Endpoint privées du côté de Cognition
PortsLes listeners NLB doivent correspondre aux ports que Devin utilise pour accéder à chaque service
DisponibilitéLe NLB et les cibles sous-jacentes doivent être configurés dans plusieurs Zones de disponibilité
LatenceUne légère augmentation de la latence inter-régions peut se produire, puisque le trafic reste sur le backbone AWS

Informations à fournir à Cognition

Lorsque votre configuration est prête, envoyez à Cognition :
  • Les noms de service Endpoint AWS pour chaque domaine interne
  • La confirmation que la prise en charge entre régions est activée (le cas échéant)
  • La confirmation que la configuration des principaux autorisés est complète
  • Les ports exposés par le NLB
  • La liste des domaines qui doivent être routés via PrivateLink
Cognition provisionnera ensuite les Interface Endpoints, configurera le DNS et confirmera la connectivité.