Fangen Sie an mit AWS PrivateLink - Amazon Virtual Private Cloud
Schritt 1: Erstellen einer VPC mit SubnetzenSchritt 2: Starten der InstancesSchritt 3: Testen CloudWatch Sie den ZugriffSchritt 4: Erstellen Sie einen VPC-Endpunkt für den Zugriff CloudWatchSchritt 5: Testen des VPC-EndpunktsSchritt 6: Bereinigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fangen Sie an mit AWS PrivateLink

Dieses Tutorial zeigt, wie Sie mithilfe von eine EC2-Instance in einem privaten Subnetz eine Anfrage an Amazon CloudWatch senden. AWS PrivateLink

Das folgende Diagramm gibt einen Überblick über dieses Szenario. Um eine Verbindung von Ihrem Computer zur Instance im privaten Subnetz herzustellen, müssen Sie zunächst eine Verbindung zu einem Bastion-Host in einem öffentlichen Subnetz herstellen. Sowohl der Bastion-Host als auch die Instance müssen das gleiche Schlüsselpaar verwenden. Da sich die .pem-Datei für den privaten Schlüssel auf Ihrem Computer und nicht auf dem Bastion-Host befindet, verwenden Sie die SSH-Schlüsselweiterleitung. Dann können Sie über den Bastion-Host eine Verbindung mit der Instance herstellen, ohne die .pem-Datei im ssh-Befehl anzugeben. Nachdem Sie einen VPC-Endpunkt für eingerichtet haben CloudWatch, wird der Datenverkehr von der Instance, für die bestimmt CloudWatch ist, zur Endpunkt-Netzwerkschnittstelle aufgelöst und dann an die CloudWatch Verwendung des VPC-Endpunkts gesendet.

Eine Instance in einem privaten Subnetz greift CloudWatch über einen VPC-Endpunkt zu.

Zu Testzwecken können Sie eine einzelne Availability Zone verwenden. In der Produktion empfehlen wir Ihnen, mindestens zwei Availability Zones für niedrige Latenz und hohe Verfügbarkeit zu verwenden.

Schritt 1: Erstellen einer VPC mit Subnetzen

Gehen Sie wie folgt vor, um eine VPC mit einem öffentlichen Subnetz und einem privaten Subnetz zu erstellen.

So erstellen Sie die VPC

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie VPC erstellen aus.

  3. Wählen Sie unter Resources to create (Zu erstellende Ressourcen) die Option VPC and more (VPC und mehr) aus.

  4. Geben Sie unter Name tag auto-generation (Automatische Generierung des Namens-Tags) einen Namen für die VPC ein.

  5. Führen Sie zur Konfiguration der Subnetze folgende Schritte aus:

    1. Wählen Sie unter Number of Availability Zones (Anzahl der Availability Zones) je nach Bedarf 1 oder 2 aus.

    2. Stellen Sie unter Number of public subnets (Anzahl der öffentlichen Subnetze) sicher, dass ein öffentliches Subnetz pro Availability Zone vorhanden ist.

    3. Stellen Sie unter Number of private subnets (Anzahl der privaten Subnetze) sicher, dass ein privates Subnetz pro Availability Zone vorhanden ist.

  6. Wählen Sie VPC erstellen aus.

Schritt 2: Starten der Instances

Starten Sie unter Verwendung der im vorherigen Schritt erstellten VPC den Bastion-Host im öffentlichen Subnetz und die Instance im privaten Subnetz.

Voraussetzungen

  • Erstellen Sie ein Schlüsselpaar im PEM-Format. Sie müssen dieses Schlüsselpaar auswählen, wenn Sie sowohl den Bastion-Host als auch die Instance starten.

  • Erstellen Sie eine Sicherheitsgruppe für den Bastion-Host, die eingehenden SSH-Verkehr vom CIDR-Block für Ihren Computer zulässt.

  • Erstellen Sie eine Sicherheitsgruppe für die Instance, die eingehenden SSH-Verkehr von der Sicherheitsgruppe für den Bastion-Host zulässt.

  • Erstellen Sie ein IAM-Instanzprofil und fügen Sie die Zugriffsrichtlinie an. CloudWatch ReadOnly

Starten des Bastion-Hosts

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie Launch Instance (Instance starten) aus.

  3. Geben Sie unter Name einen Namen für Ihren Bastion-Host ein.

  4. Behalten Sie das Standard-Image und den Instance-Typ bei.

  5. Wählen Sie unter Key pair (Schlüsselpaar) Ihr Schlüsselpaar aus.

  6. Führen Sie unter Network settings (Netzwerkeinstellungen) die folgenden Schritte aus:

    1. Wählen Sie unter VPC Ihre VPC aus.

    2. Wählen Sie unter Subnet (Subnetz) das öffentliche Subnetz aus.

    3. Wählen Sie unter Auto-assign public IP (Öffentlche IP automatisch zuweisen) die Option Enable (Aktivieren) aus.

    4. Wählen Sie unter Firewall die Option Select existing security group (Vorhandene Sicherheitsgruppe auswählen) aus und wählen Sie dann die Sicherheitsgruppe für den Bastion-Host aus.

  7. Wählen Sie Launch Instance (Instance starten) aus.

So starten Sie die Instance

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie Launch Instance (Instance starten) aus.

  3. Geben Sie unter Name einen Namen für Ihre Instance ein.

  4. Behalten Sie das Standard-Image und den Instance-Typ bei.

  5. Wählen Sie unter Key pair (Schlüsselpaar) Ihr Schlüsselpaar aus.

  6. Führen Sie unter Network settings (Netzwerkeinstellungen) die folgenden Schritte aus:

    1. Wählen Sie unter VPC Ihre VPC aus.

    2. Wählen Sie unter Subnet (Subnetz) das private Subnetz aus.

    3. Wählen Sie unter Auto-assign public IP (Öffentliche IP automatisch zuweisen) die Option Disable (Deaktivieren) aus.

    4. Wählen Sie unter Firewall die Option Select existing security group (Vorhandene Sicherheitsgruppe auswählen) aus und wählen Sie dann die Sicherheitsgruppe für die Instance aus.

  7. Erweitern Sie Advanced Details (Erweiterte Details). Wählen Sie unter IAM instance profile (IAM-Instance-Profil) Ihre IAM-Instance-Profil aus.

  8. Wählen Sie Launch Instance (Instance starten) aus.

Schritt 3: Testen CloudWatch Sie den Zugriff

Gehen Sie wie folgt vor, um zu bestätigen, dass die Instanz nicht darauf zugreifen kann CloudWatch. Dazu verwenden Sie einen schreibgeschützten AWS CLI Befehl für. CloudWatch

Um den Zugriff zu testen CloudWatch

  1. Fügen Sie auf Ihrem Computer das Schlüsselpaar mit dem folgenden Befehl zum SSH-Agent hinzu, wobei key.pem der Name Ihrer PEM-Datei ist.

    ssh-add ./key.pem

    Wenn Sie die Fehlermeldung erhalten, dass die Berechtigungen für Ihr Schlüsselpaar zu offen sind, führen Sie den folgenden Befehl aus und wiederholen Sie dann den vorherigen Befehl.

    chmod 400 ./key.pem

  2. Stellen Sie auf Ihrem Computer eine Verbindung mit dem Bastion-Host her. Sie müssen die Option -A, den Benutzernamen der Instance (z. B. ec2-user) und die öffentliche IP-Adresse des Bastion-Hosts angeben.

    ssh -A ec2-user@bastion-public-ip-address

  3. Stellen Sie über den Bastion-Host eine Verbindung zur Instance her. Sie müssen den Benutzernamen der Instance (z. B. ec2-user) und die private IP-Adresse der Instance angeben.

    ssh ec2-user@instance-private-ip-address

  4. Führen Sie den Befehl CloudWatch list-metrics auf der Instance wie folgt aus. Geben Sie für die Option --region die Region an, in der Sie die VPC erstellt haben.

    aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1

  5. Nach einigen Minuten tritt ein Timeout für den Befehl auf. Dies zeigt, dass Sie CloudWatch von der Instance aus mit der aktuellen VPC-Konfiguration nicht darauf zugreifen können.

    Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/

  6. Bleiben Sie mit Ihrer Instance verbunden. Nachdem Sie den VPC-Endpunkt erstellt haben, führen Sie diesen list-metrics.Befehl erneut aus.

Schritt 4: Erstellen Sie einen VPC-Endpunkt für den Zugriff CloudWatch

Gehen Sie wie folgt vor, um einen VPC-Endpunkt zu erstellen, mit dem eine Verbindung hergestellt wird. CloudWatch

Voraussetzung

Erstellen Sie eine Sicherheitsgruppe für den VPC-Endpunkt, zu CloudWatch der Datenverkehr zugelassen wird. Fügen Sie zum Beispiel eine Regel hinzu, die HTTPS-Datenverkehr vom VPC-CIDR-Block zulässt.

So erstellen Sie einen VPC-Endpunkt für CloudWatch

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie Endpunkt erstellen.

  4. Geben Sie unter Name tag (Name-Tag) einen Namen für den Endpunkt ein.

  5. Wählen Sie für Servicekategorie die Option AWS-Services aus.

  6. Wählen Sie unter Service die Option com.amazonaws.region.monitoring aus.

  7. Wählen Sie im Feld VPC Ihre VPC aus.

  8. Wählen Sie unter Subnets (Subnetze) die Availability Zone und dann das private Subnetz aus.

  9. Wählen Sie unter Security group (Sicherheitsgruppe) die Sicherheitsgruppe für den VPC-Endpunkt aus.

  10. Wählen Sie für Policy (Richtlinie) Full access (Vollzugriff), um alle Operationen aller Prinzipale auf allen Ressourcen über den VPC-Endpunkt zuzulassen.

  11. (Optional) Sie fügen ein Tag hinzu, indem Sie neuen Tag hinzufügen auswählen und den Schlüssel und den Wert für den Tag eingeben.

  12. Wählen Sie Endpunkt erstellen. Der Anfangsstatus lautet Pending (Ausstehend). Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie, bis der Status Available (Verfügbar) ist. Dies kann einige Minuten dauern.

Schritt 5: Testen des VPC-Endpunkts

Stellen Sie sicher, dass der VPC-Endpunkt Anfragen von Ihrer Instance an CloudWatch sendet.

So testen Sie den VPC-Endpunkt

Führen Sie den folgenden Befehl auf Ihrer Instance aus. Geben Sie für die Option --region die Region an, in der Sie den VPC-Endpunkt erstellt haben.

aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1

Wenn Sie eine Antwort erhalten, auch wenn es sich um eine Antwort mit leeren Ergebnissen handelt, sind Sie mit der CloudWatch Verwendung AWS PrivateLink verbunden.

Wenn Sie eine UnauthorizedOperation Fehlermeldung erhalten, stellen Sie sicher, dass die Instance über eine IAM-Rolle verfügt, die den Zugriff CloudWatch auf ermöglicht.

Wenn bei der Anforderung eine Zeitüberschreitung auftritt, überprüfen Sie Folgendes:

  • Die Sicherheitsgruppe für den Endpunkt ermöglicht den Datenverkehr zu CloudWatch.

  • Die Option --region gibt die Region an, in der Sie den VPC-Endpunkt erstellt haben.

Schritt 6: Bereinigen

Wenn Sie den Bastion-Host und die Instance, die Sie für dieses Tutorial erstellt haben, nicht mehr benötigen, können Sie sie beenden.

So beenden Sie die Instances

  1. Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances aus.

  3. Wählen Sie beide Test-Instances aus und wählen Sie dann Instance state (Instance-Status), Terminate instance (Instance beenden).

  4. Wählen Sie Terminate (Kündigen) aus, wenn Sie zur Bestätigung aufgefordert werden.

Wenn Sie den VPC-Endpunkt nicht mehr benötigen, können Sie ihn löschen.

Löschen des VPC-Endpunkts

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie den VPC-Endpunkt.

  4. Wählen Sie Actions (Aktionen), Delete VPC Endpoint (VPC-Endpunkte löschen).

  5. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie delete ein und wählen Sie dann Löschen aus.