Beispiel: Starten einer Elastic Beanstalk Beanstalk-Anwendung in einem VPC mit Bastion-Hosts - AWS Elastic Beanstalk
Erstellen Sie ein Subnetz VPC mit einem öffentlichen und einem privaten SubnetzErstellen und Konfigurieren der Bastion-Host-SicherheitsgruppeAktualisieren der Instance-SicherheitsgruppeErstellen eines Bastion-Host

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel: Starten einer Elastic Beanstalk Beanstalk-Anwendung in einem VPC mit Bastion-Hosts

In diesem Abschnitt wird erklärt, wie Sie eine Elastic Beanstalk Beanstalk-Anwendung auf einem VPC Bastion-Host bereitstellen und warum Sie diese Topologie implementieren sollten.

Wenn sich Ihre EC2 Amazon-Instances in einem privaten Subnetz befinden, können Sie keine Remoteverbindung zu ihnen herstellen. Zum Herstellen einer Verbindung können Sie Bastion-Server im öffentlichen Subnetz herstellen, die als Proxys fungieren. Sie können beispielsweise SSH Port-Forwarder oder RDP Gateways im öffentlichen Subnetz einrichten, um den Datenverkehr, der von Ihrem eigenen Netzwerk zu Ihren Datenbankservern fließt, weiterzuleiten. Dieser Abschnitt enthält ein Beispiel für die Erstellung eines Subnetzes VPC mit einem privaten und einem öffentlichen Subnetz. Die Instances befinden sich im privaten Subnetz, und der Bastion-Host, das NAT Gateway und der Load Balancer befinden sich im öffentlichen Subnetz. Ihre Infrastruktur sollte dann wie das folgende Diagramm aussehen.

Diagramm von Elastic Beanstalk und VPC Topologie mit Bastion-Host.

Führen Sie die in den folgenden Unterabschnitten beschriebenen Schritte aus, um eine Elastic Beanstalk Beanstalk-Anwendung auf einem Host bereitzustellen, der einen Bastion-Host VPC verwendet.

Erstellen Sie ein Subnetz VPC mit einem öffentlichen und einem privaten Subnetz

Führen Sie alle Verfahren in Öffentlich/privat VPC durch. Bei der Bereitstellung der Anwendung müssen Sie ein EC2 Amazon-Schlüsselpaar für die Instances angeben, damit Sie sich remote mit ihnen verbinden können. Weitere Informationen darüber, wie Sie das Instance-Schlüsselpaar angeben können, finden Sie unter Die EC2 Amazon-Instances für Ihre Elastic Beanstalk Beanstalk-Umgebung.

Erstellen und Konfigurieren der Bastion-Host-Sicherheitsgruppe

Erstellen Sie eine Sicherheitsgruppe für den Bastion-Host und fügen Sie Regeln hinzu, die eingehenden SSH Datenverkehr aus dem Internet und ausgehenden SSH Verkehr in das private Subnetz, das die Amazon-Instances enthält, zulassen. EC2

So erstellen Sie die Bastion-Host-Sicherheitsgruppe

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie Sicherheitsgruppen erstellen aus.

  4. Geben Sie im Dialogfeld Create Security Group (Sicherheitsgruppe erstellen) Folgendes ein und wählen Sie Yes, Create (Ja, erstellen) aus.

    Name tag (Namens-Tag) (optional)

    Geben Sie einen Namens-Tag für die Sicherheitsgruppe ein.

    Group name (Gruppenname)

    Geben Sie den Namens der Sicherheitsgruppe ein.

    Beschreibung

    Geben Sie eine Beschreibung für die Sicherheitsgruppe ein.

    VPC

    Wählen Sie IhreVPC.

    Die Sicherheitsgruppe wird erstellt und auf der Seite Security Groups (Sicherheitsgruppen) angezeigt. Die Gruppe ist mit einer ID versehen (z. B. sg-xxxxxxxx). Möglicherweise müssen Sie die Spalte Group ID (Gruppen-ID) aktivieren, indem Sie oben rechts auf der Seite auf Show/Hide (Einblenden/Ausblenden) klicken.

Konfigurieren der Bastion-Host-Sicherheitsgruppe

  1. Aktivieren Sie in der Liste der Sicherheitsgruppen das Kontrollkästchen für die Sicherheitsgruppe, die Sie gerade für Ihren Bastion-Host erstellt haben.

  2. Wählen Sie auf der Registerkarte Inbound Rules die Option Edit aus.

  3. Wählen Sie bei Bedarf Add another rule (Weitere Regel hinzufügen) aus.

  4. Wenn es sich bei Ihrem Bastion-Host um eine Linux-Instance handelt, wählen Sie SSHunter Typ die Option aus.

    Wenn es sich bei Ihrem Bastion-Host um eine Windows-Instanz handelt, wählen Sie unter Typ die Option aus. RDP

  5. Geben Sie den gewünschten CIDR Quellbereich in das Feld Quelle ein und wählen Sie Speichern.

    Bastion-Host-Sicherheitsgruppe

  6. Wählen Sie auf der Registerkarte Outbound Rules (Ausgehende Regeln) die Option Edit (Bearbeiten) aus.

  7. Wählen Sie bei Bedarf Add another rule (Weitere Regel hinzufügen) aus.

  8. Wählen Sie unter Type (Typ) den für die eingehende Regel angegebenen Typ aus.

  9. Geben Sie im Feld Quelle den CIDR Bereich des Subnetzes der Hosts im privaten Subnetz VPC von ein.

    So suchen Sie:

    1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

    2. Wählen Sie im Navigationsbereich Subnetze aus.

    3. Notieren Sie sich den unten IPv4CIDRangegebenen Wert für jede Availability Zone, in der Sie Hosts haben, zu denen der Bastion-Host eine Bridge herstellen soll.

      Anmerkung

      Wenn Sie Hosts in mehreren Availability Zones haben, erstellen Sie eine Regel für ausgehenden Datenverkehr für jede dieser Availability Zones.

      VPCSubnetze

  10. Wählen Sie Save (Speichern) aus.

Aktualisieren der Instance-Sicherheitsgruppe

Standardmäßig erlaubt die Sicherheitsgruppe, die Sie für Ihre Instances erstellt haben, eingehenden Datenverkehr nicht. Elastic Beanstalk ändert zwar die Standardgruppe für die Instances, um SSH Traffic zuzulassen, aber Sie müssen Ihre benutzerdefinierte Instance-Sicherheitsgruppe ändern, um RDP Traffic zuzulassen, wenn es sich bei Ihren Instances um Windows-Instances handelt.

Um die Instanz-Sicherheitsgruppe für zu aktualisieren RDP

  1. Aktivieren Sie in der Liste der Sicherheitsgruppen das Kontrollkästchen für die Instance-Sicherheitsgruppe.

  2. Klicken Sie auf die Registerkarte Inbound und wählen Sie Edit aus.

  3. Wählen Sie bei Bedarf Add another rule (Weitere Regel hinzufügen) aus.

  4. Geben Sie die folgenden Werte ein und wählen Sie Save (Speichern) aus.

    Typ

    RDP

    Protocol (Protokoll)

    TCP

    Port Range (Port-Bereich)

    3389

    Quelle

    Geben Sie die ID der Bastion-Host-Sicherheitsgruppe ein (z. B. sg-8a6f71e8) und wählen Sie Save (Speichern) aus.

Erstellen eines Bastion-Host

Um einen Bastion-Host zu erstellen, starten Sie eine EC2 Amazon-Instance in Ihrem öffentlichen Subnetz, die als Bastion-Host fungiert.

Weitere Informationen zur Einrichtung eines Bastion-Hosts für Windows-Instances im privaten Subnetz finden Sie unter Steuern des Netzwerkzugriffs auf EC2 Instances mithilfe eines Bastion-Servers.

Weitere Informationen zum Einrichten eines Bastion-Hosts für Linux-Instances im privaten Subnetz finden Sie unter Sichere Connect zu Linux-Instances, die in einem privaten Amazon ausgeführt werden. VPC