Fangen Sie an mit AWS PrivateLink - Amazon Virtual Private Cloud
Schritt 1: Erstellen Sie eine mit Subnetzen VPCSchritt 2: Starten der InstancesSchritt 3: Testen Sie CloudWatch den ZugriffSchritt 4: Erstellen Sie einen VPC Endpunkt für den Zugriff CloudWatchSchritt 5: Testen Sie den Endpunkt VPCSchritt 6: Bereinigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fangen Sie an mit AWS PrivateLink

Dieses Tutorial zeigt, wie Sie CloudWatch mithilfe AWS PrivateLink von eine Anfrage von einer EC2 Instance in einem privaten Subnetz an Amazon senden.

Das folgende Diagramm gibt einen Überblick über dieses Szenario. Um eine Verbindung von Ihrem Computer zur Instance im privaten Subnetz herzustellen, müssen Sie zunächst eine Verbindung zu einem Bastion-Host in einem öffentlichen Subnetz herstellen. Sowohl der Bastion-Host als auch die Instance müssen das gleiche Schlüsselpaar verwenden. Da sich die .pem Datei für den privaten Schlüssel auf Ihrem Computer und nicht auf dem Bastion-Host befindet, verwenden Sie die SSH Schlüsselweiterleitung. Dann können Sie über den Bastion-Host eine Verbindung mit der Instance herstellen, ohne die .pem-Datei im ssh-Befehl anzugeben. Nachdem Sie einen VPC Endpunkt für eingerichtet haben CloudWatch, wird der Datenverkehr von der Instanz, für die bestimmt CloudWatch ist, zur Netzwerkschnittstelle des Endpunkts aufgelöst und dann an CloudWatch den VPC Endpunkt weitergeleitet.

Eine Instanz in einem privaten Subnetz greift CloudWatch über einen Endpunkt zu. VPC

Zu Testzwecken können Sie eine einzelne Availability Zone verwenden. In der Produktion empfehlen wir Ihnen, mindestens zwei Availability Zones für niedrige Latenz und hohe Verfügbarkeit zu verwenden.

Schritt 1: Erstellen Sie eine mit Subnetzen VPC

Gehen Sie wie folgt vor, um ein Subnetz VPC mit einem öffentlichen Subnetz und einem privaten Subnetz zu erstellen.

So erstellen Sie das VPC

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie Create (Erstellen)VPC aus.

  3. Wählen Sie unter Ressourcen zum Erstellen aus VPCund mehr.

  4. Geben Sie unter Automatische Generierung von Namenstags einen Namen für das VPC ein.

  5. Führen Sie zur Konfiguration der Subnetze folgende Schritte aus:

    1. Wählen Sie unter Number of Availability Zones (Anzahl der Availability Zones) je nach Bedarf 1 oder 2 aus.

    2. Stellen Sie unter Number of public subnets (Anzahl der öffentlichen Subnetze) sicher, dass ein öffentliches Subnetz pro Availability Zone vorhanden ist.

    3. Stellen Sie unter Number of private subnets (Anzahl der privaten Subnetze) sicher, dass ein privates Subnetz pro Availability Zone vorhanden ist.

  6. Wählen Sie Create (Erstellen)VPC aus.

Schritt 2: Starten der Instances

Starten Sie mit demVPC, was Sie im vorherigen Schritt erstellt haben, den Bastion-Host im öffentlichen Subnetz und die Instance im privaten Subnetz.

Voraussetzungen

  • Erstellen Sie ein Schlüsselpaar im PEM-Format. Sie müssen dieses Schlüsselpaar auswählen, wenn Sie sowohl den Bastion-Host als auch die Instance starten.

  • Erstellen Sie eine Sicherheitsgruppe für den Bastion-Host, die eingehenden SSH Datenverkehr aus dem CIDR Block für Ihren Computer zulässt.

  • Erstellen Sie eine Sicherheitsgruppe für die Instanz, die eingehenden SSH Datenverkehr von der Sicherheitsgruppe für den Bastion-Host zulässt.

  • Erstellen Sie ein IAM Instanzprofil und fügen Sie die CloudWatchReadOnlyAccessRichtlinie an.

Starten des Bastion-Hosts

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie Launch Instance (Instance starten) aus.

  3. Geben Sie unter Name einen Namen für Ihren Bastion-Host ein.

  4. Behalten Sie das Standard-Image und den Instance-Typ bei.

  5. Wählen Sie unter Key pair (Schlüsselpaar) Ihr Schlüsselpaar aus.

  6. Führen Sie unter Network settings (Netzwerkeinstellungen) die folgenden Schritte aus:

    1. Für VPC, wählen Sie IhreVPC.

    2. Wählen Sie unter Subnet (Subnetz) das öffentliche Subnetz aus.

    3. Wählen Sie unter Auto-assign public IP (Öffentlche IP automatisch zuweisen) die Option Enable (Aktivieren) aus.

    4. Wählen Sie unter Firewall die Option Select existing security group (Vorhandene Sicherheitsgruppe auswählen) aus und wählen Sie dann die Sicherheitsgruppe für den Bastion-Host aus.

  7. Wählen Sie Launch Instance (Instance starten) aus.

So starten Sie die Instance

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie Launch Instance (Instance starten) aus.

  3. Geben Sie unter Name einen Namen für Ihre Instance ein.

  4. Behalten Sie das Standard-Image und den Instance-Typ bei.

  5. Wählen Sie unter Key pair (Schlüsselpaar) Ihr Schlüsselpaar aus.

  6. Führen Sie unter Network settings (Netzwerkeinstellungen) die folgenden Schritte aus:

    1. Für VPC, wählen Sie IhreVPC.

    2. Wählen Sie unter Subnet (Subnetz) das private Subnetz aus.

    3. Wählen Sie unter Auto-assign public IP (Öffentliche IP automatisch zuweisen) die Option Disable (Deaktivieren) aus.

    4. Wählen Sie unter Firewall die Option Select existing security group (Vorhandene Sicherheitsgruppe auswählen) aus und wählen Sie dann die Sicherheitsgruppe für die Instance aus.

  7. Erweitern Sie Advanced Details (Erweiterte Details). Wählen Sie zum IAMBeispiel Instanzprofil Ihr IAM Instanzprofil aus.

  8. Wählen Sie Launch Instance (Instance starten) aus.

Schritt 3: Testen Sie CloudWatch den Zugriff

Gehen Sie wie folgt vor, um zu bestätigen, dass die Instanz nicht darauf zugreifen kann CloudWatch. Dazu verwenden Sie einen schreibgeschützten AWS CLI Befehl für. CloudWatch

Um den Zugriff zu testen CloudWatch

  1. Fügen Sie von Ihrem Computer aus das key pair mit dem folgenden Befehl zum SSH Agenten hinzu, wobei der Name Ihrer PEM-Datei key.pem steht.

    ssh-add ./key.pem

    Wenn Sie die Fehlermeldung erhalten, dass die Berechtigungen für Ihr Schlüsselpaar zu offen sind, führen Sie den folgenden Befehl aus und wiederholen Sie dann den vorherigen Befehl.

    chmod 400 ./key.pem

  2. Stellen Sie auf Ihrem Computer eine Verbindung mit dem Bastion-Host her. Sie müssen die Option -A, den Benutzernamen der Instance (z. B. ec2-user) und die öffentliche IP-Adresse des Bastion-Hosts angeben.

    ssh -A ec2-user@bastion-public-ip-address

  3. Stellen Sie über den Bastion-Host eine Verbindung zur Instance her. Sie müssen den Benutzernamen der Instance (z. B. ec2-user) und die private IP-Adresse der Instance angeben.

    ssh ec2-user@instance-private-ip-address

  4. Führen Sie den Befehl CloudWatch list-metrics auf der Instance wie folgt aus. Geben Sie für die --region Option die Region an, in der Sie die erstellt haben. VPC

    aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1

  5. Nach einigen Minuten tritt ein Timeout für den Befehl auf. Dies zeigt, dass Sie mit der aktuellen VPC Konfiguration CloudWatch von der Instanz aus nicht darauf zugreifen können.

    Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/

  6. Bleiben Sie mit Ihrer Instance verbunden. Nachdem Sie den VPC Endpunkt erstellt haben, versuchen Sie es erneut mit diesem list-metrics Befehl.

Schritt 4: Erstellen Sie einen VPC Endpunkt für den Zugriff CloudWatch

Gehen Sie wie folgt vor, um einen VPC Endpunkt zu erstellen, mit dem eine Verbindung hergestellt wird CloudWatch.

Voraussetzung

Erstellen Sie eine Sicherheitsgruppe für den VPC Endpunkt, zu der Datenverkehr zugelassen wird CloudWatch. Fügen Sie beispielsweise eine Regel hinzu, die den HTTPS Datenverkehr aus dem VPC CIDR Block zulässt.

Um einen VPC Endpunkt zu erstellen für CloudWatch

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie Endpunkt erstellen.

  4. Geben Sie unter Name tag (Name-Tag) einen Namen für den Endpunkt ein.

  5. Wählen Sie für Servicekategorie die Option AWS-Services aus.

  6. Wählen Sie für Service die Option com.amazonaws aus. region. Überwachung.

  7. Wählen Sie für VPCIhreVPC.

  8. Wählen Sie unter Subnets (Subnetze) die Availability Zone und dann das private Subnetz aus.

  9. Wählen Sie unter Sicherheitsgruppe die Sicherheitsgruppe für den VPC Endpunkt aus.

  10. Wählen Sie für Richtlinie die Option Vollzugriff aus, um alle Operationen aller Prinzipale auf allen Ressourcen über den VPC Endpunkt zuzulassen.

  11. (Optional) Sie fügen ein Tag hinzu, indem Sie neuen Tag hinzufügen auswählen und den Schlüssel und den Wert für den Tag eingeben.

  12. Wählen Sie Endpunkt erstellen. Der Anfangsstatus lautet Pending (Ausstehend). Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie, bis der Status Available (Verfügbar) ist. Dies kann einige Minuten dauern.

Schritt 5: Testen Sie den Endpunkt VPC

Stellen Sie sicher, dass der VPC Endpunkt Anfragen von Ihrer Instance an sendet CloudWatch.

Um den VPC Endpunkt zu testen

Führen Sie den folgenden Befehl auf Ihrer Instance aus. Geben Sie für die --region Option die Region an, in der Sie den VPC Endpunkt erstellt haben.

aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1

Wenn Sie eine Antwort erhalten, auch wenn es sich um eine Antwort mit leeren Ergebnissen handelt, sind Sie mit der CloudWatch Verwendung verbunden AWS PrivateLink.

Wenn Sie eine UnauthorizedOperation Fehlermeldung erhalten, stellen Sie sicher, dass die Instanz über eine IAM Rolle verfügt, die den Zugriff auf ermöglicht CloudWatch.

Wenn bei der Anforderung eine Zeitüberschreitung auftritt, überprüfen Sie Folgendes:

  • Die Sicherheitsgruppe für den Endpunkt ermöglicht den Datenverkehr zu CloudWatch.

  • Die --region Option gibt die Region an, in der Sie den VPC Endpunkt erstellt haben.

Schritt 6: Bereinigen

Wenn Sie den Bastion-Host und die Instance, die Sie für dieses Tutorial erstellt haben, nicht mehr benötigen, können Sie sie beenden.

So beenden Sie die Instances

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances aus.

  3. Wählen Sie beide Test-Instances aus und wählen Sie dann Instance state (Instance-Status), Terminate instance (Instance beenden).

  4. Wählen Sie Terminate (Kündigen) aus, wenn Sie zur Bestätigung aufgefordert werden.

Wenn Sie den VPC Endpunkt nicht mehr benötigen, können Sie ihn löschen.

Um den VPC Endpunkt zu löschen

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie den VPC Endpunkt aus.

  4. Wählen Sie Aktionen, VPCEndpunkte löschen aus.

  5. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie delete ein und wählen Sie dann Löschen aus.