Saltar al contenido principal
Algunos clientes empresariales requieren que Devin se conecte de forma privada a sistemas internos como GitHub Enterprise Server, GitLab, Bitbucket Data Center, Artifactory, Nexus u otra infraestructura de desarrollo. Devin Dedicated SaaS es compatible con esto mediante AWS PrivateLink. Este modelo mantiene todo el tráfico dentro de la red troncal de AWS y evita exponerlo a la Internet pública.

Descripción general

PrivateLink ofrece conectividad privada mediante direcciones IP desde tu VPC de Devin Dedicated SaaS a tus endpoints internos. Para habilitarlo, tu equipo expone un AWS VPC Endpoint Service delante de cada sistema interno al que Devin necesita acceder. Luego, Cognition crea Interface VPC Endpoints que consumen ese servicio. PrivateLink se configura de forma independiente para cada dominio. Si Devin debe acceder a varios dominios, necesitarás un Endpoint Service y un Interface Endpoint para cada dominio.

Requisitos

Debe proporcionar lo siguiente:
  • Un Network Load Balancer (NLB) en su cuenta de AWS que haga de front-end para cada servicio interno (GitLab, Artifactory, etc.)
  • Un VPC Endpoint Service que use el NLB como destino
  • El nombre de servicio para cada Endpoint Service
  • Permisos de principal autorizado que incluyan la cuenta de AWS de Cognition
  • Confirmación de los puertos admitidos para cada servicio
  • Información de DNS para los dominios que Devin debe resolver de forma privada
Cognition proporcionará:
  • El ID de la cuenta de AWS que se debe agregar como principal autorizado
  • La VPC de destino y la información de subred para los puntos de enlace de interfaz (Interface Endpoints)
  • La configuración de DNS del lado de Devin una vez que se haya establecido la conectividad
Si sus servicios internos se ejecutan en una región diferente a su tenant dedicado de SaaS de Cognition, puede seguir utilizando PrivateLink. AWS permite el consumo de puntos de enlace entre regiones, siempre que el propietario del servicio lo habilite.

Pasos para el cliente

  1. Crear o reutilizar el Network Load Balancer El NLB debe apuntar a los sistemas internos a los que Devin debe acceder. El NLB debe admitir todos los puertos necesarios.
  2. Crear un VPC Endpoint Service a partir del NLB Esto hace que el servicio esté disponible para su consumo a través de PrivateLink.
  3. Habilitar compatibilidad entre regiones (cross region) En la consola de AWS: 
    VPC Console → Endpoint Services → Select service → Actions → Modify supported Regions
    Agrega la región donde está desplegado tu tenant de Cognition. Ejemplo con CLI: 
    aws ec2 modify-vpc-endpoint-service-configuration \
    --service-id vpce-svc-0abc123 \
    --add-supported-regions us-west-2  # Región de tu tenant de Cognition
  4. Agregar la cuenta de AWS de Cognition como principal permitido 
    aws ec2 modify-vpc-endpoint-service-permissions \
    --service-id vpce-svc-0abc123 \
    --add-allowed-principals arn:aws:iam::<COGNITION_ACCOUNT_ID>:root
  5. Proporcionar los siguientes detalles a Cognition
    • Nombre del Endpoint Service
      Ejemplo: com.amazonaws.vpce.us-west-2.vpce-svc-0abc123
    • Puertos que admite el servicio
    • Los dominios que deberían resolverse a través de PrivateLink

Qué ocurre a continuación

Una vez que proporciones los detalles anteriores, Cognition hará lo siguiente:
  1. Creará endpoints de interfaz de VPC en tu VPC de tenant dedicada usando los nombres de servicio que proporcionaste.
  2. Enviará una solicitud de conexión que deberás aprobar (ya sea manualmente o mediante aceptación automática, si está configurada).
  3. Configurará el DNS para que los dominios que especifiques se resuelvan de forma privada dentro del entorno de Devin.

Diagrama de arquitectura

Arquitectura de PrivateLink

Consideraciones clave

TemaGuía
Configuración requeridaUn Endpoint Service por dominio, un Interface Endpoint por dominio
Compatibilidad entre regionesDebe habilitarse explícitamente en el Endpoint Service
Principales permitidosEl cliente debe agregar el ID de cuenta de AWS de Cognition
DNSLos dominios del cliente se resolverán en IP privadas de Interface Endpoint del lado de Cognition
PuertosLos listeners de NLB deben coincidir con los puertos que Devin usa para acceder a cada servicio
DisponibilidadEl NLB y los targets subyacentes deben configurarse en varias Availability Zones
LatenciaPuede producirse un ligero aumento de la latencia entre regiones, ya que el tráfico permanece en la red troncal de AWS

Información que debes proporcionar a Cognition

Cuando tu configuración esté lista, envía a Cognition:
  • Nombres de AWS Endpoint Service para cada dominio interno
  • Confirmación de que el soporte entre regiones está habilitado (si corresponde)
  • Confirmación de que la configuración de principals permitidos está completa
  • Puertos expuestos por el NLB
  • La lista de dominios que deben enrutarse a través de PrivateLink
A continuación, Cognition aprovisionará los Interface Endpoints, configurará el DNS y confirmará la conectividad.