AWS Cloud9 ya no está disponible para nuevos clientes. Los clientes existentes de AWS Cloud9 pueden seguir utilizando el servicio con normalidad. Más información
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de VPC para entornos de desarrollo AWS Cloud9
Todos los entornos de AWS Cloud9 desarrollo asociados a una Amazon Virtual Private Cloud (Amazon VPC) deben cumplir requisitos de VPC específicos. Estos entornos incluyen entornos EC2 y entornos SSH que están asociados a instancias de Nube de AWS procesamiento que se ejecutan dentro de una VPC. Los ejemplos incluyen instancias de Amazon EC2 y Amazon Lightsail.
Requisitos de Amazon VPC para AWS Cloud9
La Amazon VPC que AWS Cloud9 utiliza requiere la siguiente configuración. Si ya conoce estos requisitos y solo desea crear una instancia de VPC compatible, vaya directamente a Creación de una VPC y otros recursos de la VPC.
Utilice la siguiente lista de comprobación para confirmar que la VPC cumple todos los siguientes requisitos.
-
La VPC puede estar en el mismo entorno Cuenta de AWS y Región de AWS que el entorno de AWS Cloud9 desarrollo o la VPC puede ser una VPC compartida en un entorno diferente al del entorno. Cuenta de AWS Sin embargo, la VPC debe estar en el mismo lugar que Región de AWS el entorno. Para obtener más información sobre Amazon VPC para un Región de AWS, consulteVer una lista de VPC de una Región de AWS. Para obtener más instrucciones sobre cómo crear una Amazon VPC para AWS Cloud9, consulte. Creación de una VPC y otros recursos de la VPC Para obtener más información acerca de las VPC compartidas de Amazon, consulte Usar VPC compartidas en la Guía del usuario de Amazon VPC.
-
Una VPC debe tener una subred pública. Una subred es pública cuando su tráfico se dirige a una puerta de enlace de Internet. Para obtener una lista de las subredes de una VPC de Amazon, consulte Ver una lista de subredes de una VPC.
-
Si su entorno está accediendo a su instancia de EC2 directamente a través de SSH, la instancia solo se puede lanzar en una subred pública. Para obtener información sobre cómo confirmar si una subred es pública, consulte Confirmar si una subred es pública.
-
Si va a acceder a una Instancia de Amazon EC2 sin entrada mediante Systems Manager, la instancia se puede lanzar en una subred pública o privada.
-
Si utiliza una subred pública, adjunte una puerta de enlace de Internet a la VPC. Esto es para que el AWS Systems Manager Agent (SSM Agent) de la instancia pueda conectarse a Systems Manager.
-
Si utiliza una subred privada, permita que la instancia de la subred se comunique con internet mediante el alojamiento de una gateway NAT en una subred pública. Para obtener más información acerca de la visualización o el cambio de la configuración de una puerta de enlace de Internet, consulte Ver o cambiar la configuración de una gateway de internet
-
La subred pública debe tener una tabla de enrutamiento con un conjunto mínimo de rutas. Para saber cómo confirmar si una subred tiene una tabla de enrutamiento, consulte Confirmar si una subred tiene una tabla de enrutamiento. Para obtener información sobre cómo crear una tabla de enrutamiento, consulte Crear una tabla de enrutamiento.
-
Los grupos de seguridad asociados a la VPC (o a la instancia de Nube de AWS procesamiento, según la arquitectura) deben permitir un conjunto mínimo de tráfico entrante y saliente. Para obtener una lista de los grupos de seguridad de una Amazon VPC, consulte Ver una lista de los grupos de seguridad de una VPC. Para obtener más información sobre la creación de un grupo de seguridad en una Amazon VPC, consulte Crear un grupo de seguridad en una VPC.
-
Para una capa adicional de seguridad, si la VPC tiene una ACL de red, esta debe permitir un conjunto mínimo de tráfico entrante y saliente. Para confirmar si una Amazon VPC tiene al menos una red de ACL, consulte Confirmar si una VPC tiene al menos una ACL de red. Para obtener más información acerca de la creación de una ACL de red, consulte Create a network ACL (Crear una ACL de red).
-
Si el entorno de desarrollo usa SSM para acceder a una instancia de EC2, asegúrese de que la subred pública en la que se lanza la instancia asigna una dirección IP pública a la instancia. Para ello, debe habilitar la opción de asignación automática de una dirección IP pública para la subred pública y configurarla en
Yes
. Puede habilitarla en la subred pública antes de crear un entorno AWS Cloud9 en la página de configuración de la subred. Para consultar los pasos necesarios para modificar la configuración de asignación automática de IP en una subred pública, consulte Modify the public IPv4 addressing attribute for your subnet en la Guía del usuario de Amazon VPC. Para obtener más información acerca de la configuración de subredes públicas y privadas, consulte Configuración de una subred como pública o privada.
nota
Para realizar los siguientes procedimientos, inicie sesión AWS Management Console y utilice las credenciales de administrador para abrir la consola Amazon VPC (https://console.aws.amazon.com/vpc
Si utiliza la AWS CLI o la AWS CloudShell, le recomendamos que configure la AWS CLI o AWS CloudShell con las credenciales de un administrador en la suya. Cuenta de AWS Si no puede hacerlo, consulte con su Cuenta de AWS administrador.
Ver una lista de VPC de una Región de AWS
Para usar la consola Amazon VPC, en la barra de AWS navegación, selecciona la Región de AWS que AWS Cloud9 crea el entorno. Después, elija Your VPCs (Sus VPC) en el panel de navegación.
Para utilizar el AWS CLI o el AWS CloudShell, ejecute el describe-vpcs
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que AWS Cloud9 crea el entorno. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
El resultado contiene la lista de los ID de VPC.
Ver una lista de subredes de una VPC
Para utilizar la consola de Amazon VPC, elija Your VPCs (Sus VPC) en el panel de navegación. Anote el ID de la VPC de la columna VPC ID (ID de VPC). A continuación, elija Subnets (Subredes) en el panel de navegación y busque subredes que contengan ese ID en la columna VPC.
Para utilizar el AWS CLI o elaws-shell
, ejecute el describe-subnets
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene las subredes. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
En la salida, busque las subredes que coincidan con el ID de la VPC.
Confirmar si una subred es pública
importante
Supongamos que está lanzando la instancia de EC2 de su entorno en una subred privada. Asegúrese de que se permite el tráfico saliente para esa instancia para que pueda conectarse al servicio SSM. Para las subredes privadas, el tráfico saliente se configura normalmente a través de una gateway de traducción de direcciones de red (NAT) o de puntos de enlace de la VPC. (Una puerta de enlace NAT requiere una subred pública).
Supongamos que elige puntos de conexión de VPC en lugar de una puerta de enlace NAT para acceder a SSM. Es posible que las actualizaciones automáticas y los parches de seguridad de la instancia no funcionen si dependen del acceso a Internet. Puede usar otras aplicaciones, como AWS Systems Manager Patch Manager, para administrar cualquier actualización de software que pueda necesitar su entorno. AWS Cloud9 el software se actualizará con normalidad.
Para usar la consola de Amazon VPC, elija Subnets (Subredes) en el panel de navegación. Seleccione la casilla situada junto a la subred que desee AWS Cloud9 utilizar. En la pestaña Route Table (Tabla de enrutamiento), si hay una entrada en la columna Target (Destino) que comience por igw-, la subred es pública.
Para utilizar el AWS CLI oaws-shell
, ejecute el comando Amazon EC2 describe-route-tables
.
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la subred y sustitúyelo por el ID subnet-12a3456b
de subred. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
En la salida, si hay al menos un resultado que comience por igw-
, la subred es pública.
En la salida, si no hay resultados, la tabla de enrutamiento podría estar asociada con la VPC en lugar de estarlo con la subred. Para confirmarlo, ejecute el comando describe-route-tables
de Amazon EC2 para la VPC relacionada con la subred en lugar de la propia subred, por ejemplo, como se indica a continuación.
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56
de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
En la salida, si hay al menos un resultado que comience por igw-
, la VPC contiene una gateway de internet.
Ver o cambiar la configuración de una gateway de internet
Para usar la consola de Amazon VPC, elija Internet Gateways (Gateways de Internet) en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.
Para usar AWS CLI o aws-shell
para ver la configuración, ejecute el comando Amazon EC2 describe-internet-gateways
.
aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la puerta de enlace a Internet y sustitúyalo por igw-1234ab5c
el ID de la puerta de enlace a Internet. Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Cree un puerta de enlace de Internet
Para usar la consola de Amazon VPC, elija Internet Gateways (Gateways de Internet) en el panel de navegación. Elija Create Internet Gateway (Crear gateway de Internet) y siga las instrucciones en pantalla.
Para utilizar el AWS CLI oaws-shell
, ejecute el comando Amazon EC2 create-internet-gateway
.
aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la nueva puerta de enlace a Internet. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
La salida contiene el ID de la nueva gateway de Internet.
Adjuntar un puerta de enlace de Internet a una VPC
Para usar la consola de Amazon VPC, elija Internet Gateways (Gateways de Internet) en el panel de navegación. Seleccione la casilla situada junto a la gateway de Internet. Elija Actions, Attach to VPC (Acciones, Asociar a VPC), si está disponible, y siga las instrucciones en pantalla.
Para utilizar el AWS CLI o elaws-shell
, ejecute el attach-internet-gateway
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la puerta de enlace a Internet. Reemplace igw-a1b2cdef
por el ID de puerta de enlace de Internet. Y reemplace vpc-1234ab56
por el ID de VPC. Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Confirmar si una subred tiene una tabla de enrutamiento
Para usar la consola de Amazon VPC, elija Subnets (Subredes) en el panel de navegación. Seleccione la casilla situada junto a la subred pública de la VPC que AWS Cloud9 desee utilizar. En la pestaña Route table (Tabla de enrutamiento), si hay un valor para Route Table (Tabla de enrutamiento), la subred pública tiene una tabla de enrutamiento.
Para utilizar el AWS CLI oaws-shell
, ejecute el comando Amazon EC2 describe-route-tables
.
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la subred pública y sustitúyelo por el subnet-12a3456b
ID de subred pública. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Si hay valores en la salida, la subred pública tiene al menos una tabla de ruteo.
En la salida, si no hay resultados, la tabla de enrutamiento podría estar asociada con la VPC en lugar de estarlo con la subred. Para confirmarlo, ejecute el comando describe-route-tables
de Amazon EC2 para la VPC relacionada con la subred en lugar de la propia subred, por ejemplo, como se indica a continuación.
aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56
de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
En la salida, si hay al menos un resultado, la VPC tiene al menos una tabla de enrutamiento.
Adjuntar una tabla de enrutamiento a una subred
Para usar la consola de Amazon VPC, elija Route Tables (Tablas de enrutamiento) en el panel de navegación. Seleccione la casilla situada junto a la tabla de ruteo que desea asociar. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit (Editar), active la casilla situada junto a la subred a la que desea asociarla y, a continuación, elija Save (Guardar).
Para utilizar el AWS CLI o elaws-shell
, ejecute el associate-route-table
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la tabla de rutas. Reemplace subnet-12a3456b
por el ID de subred. Y reemplace rtb-ab12cde3
por el ID de la tabla de enrutamiento. Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Crear una tabla de enrutamiento
Para usar la consola de Amazon VPC, elija Route Tables (Tablas de enrutamiento) en el panel de navegación. Elija Create Route Table (Crear tabla de ruteo de Internet) y luego siga las instrucciones en pantalla.
Para utilizar el AWS CLI o elaws-shell
, ejecute el create-route-table
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la nueva tabla de enrutamiento y vpc-1234ab56
sustitúyelo por el ID de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
La salida contiene el ID de la nueva tabla de ruteo.
Ver o cambiar la configuración de una tabla de enrutamiento
Para usar la consola de Amazon VPC, elija Route Tables (Tablas de enrutamiento) en el panel de navegación. Seleccione la casilla de verificación que hay junto a la tabla de ruteo. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar) y luego siga las instrucciones en pantalla.
Para usar AWS CLI o aws-shell
para ver la configuración, ejecute el describe-route-tables
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la tabla de rutas y sustitúyalo por rtb-ab12cde3
el ID de la tabla de rutas. Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Configuración mínima sugerida de la tabla de rutas para AWS Cloud9
Destino | Destino | Status | Propagado |
---|---|---|---|
CIDR-BLOCK |
local |
Activo |
No |
0.0.0.0/0 |
|
Activo |
No |
En esta configuración, CIDR-BLOCK
es el bloque de CIDR de la subred y igw-INTERNET-GATEWAY-ID
es el ID de una gateway de internet compatible.
Ver una lista de los grupos de seguridad de una VPC
Para usar la consola de Amazon VPC, elija Security Groups (Grupos de seguridad) en el panel de navegación. En el cuadro Search Security Groups (Buscar grupos de seguridad), ingrese el ID o el nombre de la VPC y, a continuación, pulse Enter
. Los grupos de seguridad de esa VPC aparecen en la lista de resultados de búsqueda.
Para utilizar el AWS CLI oaws-shell
, ejecute el comando Amazon EC2 describe-security-groups
.
aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56
de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
La salida contiene la lista de ID de grupo de seguridad para esa VPC.
Consulta una lista de grupos de seguridad de una instancia de procesamiento Nube de AWS
Para usar la consola de Amazon EC2, expanda Instances (Instancias) en el panel de navegación, y, a continuación, elija Instances (Instancias). En la lista de instancias, active la casilla situada junto a la instancia. Los grupos de seguridad de esa instancia aparecen en la pestaña Description (Descripción) junto a Security groups (Grupos de seguridad).
Para utilizar el AWS CLI o elaws-shell
, ejecute el describe-security-groups
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la instancia y i-12a3c456d789e0123
sustitúyelo por el ID de la instancia. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
La salida contiene la lista de ID de grupo de seguridad para esa instancia.
Ver o cambiar la configuración de un grupo de seguridad en una VPC
Para usar la consola de Amazon VPC, elija Security Groups (Grupos de seguridad) en el panel de navegación. Seleccione la casilla de verificación situada junto al grupo de seguridad. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.
Para usar AWS CLI o aws-shell
para ver la configuración, ejecute el describe-security-groups
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la instancia y sg-12a3b456
sustitúyelo por el ID del grupo de seguridad. Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Vea o cambie la configuración de un grupo de seguridad de instancias de Nube de AWS cómputo
Para usar la consola de Amazon EC2, expanda Instances (Instancias) en el panel de navegación, y, a continuación, elija Instances (Instancias). En la lista de instancias, marque la casilla situada junto a la instancia. En la pestaña Description (Descripción), en Security groups (Grupos de seguridad), elija el grupo de seguridad. Consulte cada una de las pestañas. Para cambiar una configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.
Para usar AWS CLI o aws-shell
para ver la configuración, ejecute el describe-security-groups
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la instancia y sg-12a3b456
sustitúyelo por el ID del grupo de seguridad. Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Configuración mínima de tráfico entrante y saliente para AWS Cloud9
importante
Es posible que el grupo de seguridad de una instancia no tenga una regla de entrada. Si es así, esto significa que no se permitirá que el tráfico que procede de otro host entre en la instancia. Para obtener información sobre el uso de instancias de EC2 sin entrada, consulte Acceso a instancias de EC2 sin entrada con AWS Systems Manager.
-
Entrada: Todas las direcciones IP que usan SSH a través del puerto 22. Sin embargo, puede restringir estas direcciones IP solo a las que AWS Cloud9 las utilice. Para obtener más información, consulte Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.
nota
Para los entornos EC2 que se crean a partir del 31 de julio de 2018, AWS Cloud9 utiliza grupos de seguridad para restringir las direcciones IP entrantes mediante SSH a través del puerto 22. Estas direcciones IP entrantes son específicamente las direcciones que utiliza. AWS Cloud9 Para obtener más información, consulte Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.
-
Entrada (solo ACL de red): para los entornos de EC2 y para los entornos de SSH asociados con instancias de Amazon EC2 que ejecutan Amazon Linux o Ubuntu Server, todas las direcciones IP que usan TCP en los puertos 32768-61000. Para obtener más información, así como los rangos de puertos de otros tipos de instancias de Amazon EC2, consulte Puertos efímeros en la Guía del usuario de Amazon VPC.
-
Salida: todos los orígenes de tráfico con cualquier protocolo y puerto.
Puede configurar este comportamiento en el nivel del grupo de seguridad. Para un nivel adicional de seguridad, también puede utilizar una ACL de red. Para obtener más información, consulteComparación de grupos de seguridad y ACL de red en la Guía del usuario de Amazon VPC.
Por ejemplo, para añadir reglas de entrada y salida a un grupo de seguridad, configure dichas reglas tal y como se indica a continuación.
Reglas de entrada | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Tipo | Protocolo | Rango de puerto | Origen | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSH (22) |
TCP (6) |
22 |
0.0.0.0 (pero consulte la siguiente nota y los Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.) |
nota
Para los entornos EC2 que se crean a partir del 31 de julio de 2018, AWS Cloud9 agrega una regla de entrada para restringir las direcciones IP entrantes mediante SSH a través del puerto 22. Esto se limita específicamente a las direcciones que utiliza. AWS Cloud9 Para obtener más información, consulte Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.
Reglas de salida | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Tipo | Protocolo | Rango de puerto | Origen | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Todo el tráfico |
ALL |
ALL |
0.0.0.0/0 |
Si también decide añadir reglas de entrada y salida a una ACL de red, configure dichas reglas tal y como se indica a continuación.
Reglas de entrada | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Regla n.º | Tipo | Protocolo | Rango de puerto | Origen | Permitir/Denegar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
100 |
SSH (22) |
TCP (6) |
22 |
0.0.0.0 (pero consulte los Intervalos de direcciones IP de entrada con SSH para AWS Cloud9.) |
PERMITIR |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
200 |
Regla TCP personalizada |
TCP (6) |
32768-61000 (para las instancias de Amazon Linux y Ubuntu Server. Para otros tipos de instancias, consulte Puertos efímeros). |
0.0.0.0/0 |
PERMITIR |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Todo el tráfico |
ALL |
ALL |
0.0.0.0/0 |
DENY |
Reglas de salida | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Regla n.º | Tipo | Protocolo | Rango de puerto | Origen | Permitir/Denegar | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
100 |
Todo el tráfico |
ALL |
ALL |
0.0.0.0/0 |
PERMITIR |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Todo el tráfico |
ALL |
ALL |
0.0.0.0/0 |
DENY |
Para obtener más información acerca de los grupos de seguridad y las ACL de red, consulte lo siguiente en la Guía del usuario de Amazon VPC.
Crear un grupo de seguridad en una VPC
Para utilizar las consolas de Amazon VPC o Amazon EC2, realice una de las siguientes acciones:
-
En la consola de Amazon VPC, elija Security Groups (Grupos de seguridad) en el panel de navegación. Elija Create Security Group (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.
-
En la consola de Amazon EC2, expanda Network & Security (Red y seguridad) en el panel de navegación y, a continuación, elija Security Groups (Grupos de seguridad). Elija Create Security Group (Crear grupo de seguridad) y luego siga las instrucciones en pantalla.
Para utilizar el AWS CLI o elaws-shell
, ejecute el create-security-group
comando Amazon EC2, por ejemplo, de la siguiente manera.
aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56
de VPC. Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Confirmar si una VPC tiene al menos una ACL de red
Para utilizar la consola de Amazon VPC, elija Your VPCs (Sus VPC) en el panel de navegación. Selecciona la casilla situada junto a la VPC que quieres AWS Cloud9 usar. En la pestaña Summary (Resumen), si hay un valor para Network ACL (ACL de red), la VPC tiene al menos una ACL de red.
Para utilizar el AWS CLI oaws-shell
, ejecute el comando Amazon EC2 describe-network-acls
.
aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56
de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Si la salida contiene al menos una entrada en la lista, la VPC tiene al menos una ACL de red.
Ver una lista de las ACL de red para una VPC
Para usar la consola de Amazon VPC, elija Network ACLs (ACL de red) en el panel de navegación. En el cuadro Search Network ACLs (ACL de red de búsqueda), ingrese el ID o el nombre de la VPC y, a continuación, pulse Enter
. Las ACL de red para esa VPC aparecen en la lista de resultados de búsqueda.
Para utilizar el AWS CLI oaws-shell
, ejecute el comando Amazon EC2 describe-network-acls
.
aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la VPC y sustitúyalo por el ID vpc-1234ab56
de VPC. Para ejecutar el comando anterior en Windows, reemplace las comillas simples (' ') por comillas dobles (" "). Para ejecutar el comando anterior con el aws-shell
, omita aws
.
La salida contiene una lista de ACL de red para esa VPC.
Ver o cambiar la configuración de una ACL de red
Para usar la consola de Amazon VPC, elija Network ACLs (ACL de red) en el panel de navegación. Active la casilla que hay junto a la ACL de red. Para ver la configuración, fíjese en cada una de las pestañas. Para cambiar una opción de configuración de una pestaña, elija Edit (Editar), si corresponde, y siga las instrucciones en pantalla.
Para usar AWS CLI o aws-shell
para ver la configuración, ejecute el comando Amazon EC2 describe-network-acls
.
aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la ACL de red y sustitúyalo por acl-1234ab56
el ID de ACL de red. Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Create a network ACL (Crear una ACL de red)
Para usar la consola de Amazon VPC, elija Network ACLs (ACL de red) en el panel de navegación. Elija Create Network ACL (Crear ACL de red) y luego siga las instrucciones en pantalla.
Para utilizar el AWS CLI oaws-shell
, ejecute el comando Amazon EC2 create-network-acl
.
aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56
En el comando anterior, us-east-2
sustitúyalo por el Región de AWS que contiene la VPC a la que quieres conectar la nueva ACL de red. Además, reemplace vpc-1234ab56
por el ID de la VPC. Para ejecutar el comando anterior con el aws-shell
, omita aws
.
Creación de una VPC y otros recursos de la VPC
Utilice el siguiente procedimiento para crear una VPC y los recursos adicionales de la VPC que necesita para ejecutar su aplicación. Los recursos de VPC incluyen subredes, tablas de enrutamiento, puertas de enlace de Internet y puertas de enlace NAT.
Para crear una VPC, subredes y otros recursos de la VPC mediante la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de VPC, elija Create VPC (Crear VPC).
-
En Recursos para crear, elija VPC y más.
-
Para crear etiquetas de nombre para los recursos de la VPC, mantenga seleccionada la generación automática de etiquetas de nombre. Para proporcionar sus propias etiquetas de nombre para los recursos de la VPC, desactívela.
-
En Bloque CIDR de IPv4, debe introducir un rango de direcciones IPv4 para la VPC. El rango de IPv4 recomendado es. AWS Cloud9
10.0.0.0/16
-
(Opcional) Para admitir tráfico IPv6, elija Bloque CIDR de IPv6 y Bloque CIDR de IPv6 proporcionado por Amazon.
-
Elija una opción de tenencia. Esta opción define si las instancias de EC2 que lance en la VPC se ejecutarán en hardware compartido con otras Cuentas de AWS o en hardware dedicado para su uso exclusivo. Si elige que la tenencia de la VPC sea
Default
, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para obtener más información, consulte Lanzar una instancia con parámetros definidos en la Guía del usuario de Amazon EC2.Si elige que la tenencia de la VPC sea
Dedicated
, las instancias siempre se ejecutarán como Instancias dedicadas en hardware dedicado para su uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada, y debe usar la tenenciaDefault
. -
Para el Número de zonas de disponibilidad (AZ), le recomendamos que proporcione subredes en, al menos, dos Availability Zones para un entorno de producto. Para elegir las AZ para las subredes, expanda Personalizar AZ. De lo contrario, puede dejar que AWS elija las AZ por usted.
-
Para configurar las subredes, elija valores para Cantidad de subredes públicas y Cantidad de subredes privadas. Para elegir los rangos de direcciones IP para las subredes, expanda Personalizar bloques CIDR de subredes. De lo contrario, deja que los AWS elijan por ti.
-
(Opcional) Si los recursos de una subred privada necesitan acceso a la Internet pública a través de IPv4: para las puertas de enlace NAT, elija la cantidad de AZ en las que se crearán puertas de enlace NAT. En producción, se recomienda implementar una puerta de enlace de NAT en cada AZ con recursos que necesiten acceso a la Internet pública.
-
(Opcional) Si los recursos de una subred privada necesitan acceso a la Internet pública a través de IPv6: para Puerta de enlace de Internet solo de salida, elija Sí.
-
(Opcional) Para acceder a Amazon S3 directamente desde su VPC, elija Puntos de conexión de VPC, Puerta de enlace de S3. Se crea un punto de conexión de VPC de puerta de enlace para Amazon S3. Para obtener más información, consulte Puntos de conexión de VPC de puerta de enlace en la Guía de AWS PrivateLink .
-
(Opcional) En Opciones de DNS, ambas opciones de resolución de nombres de dominio están activadas de forma predeterminada. Si el valor predeterminado no satisface sus necesidades, puede deshabilitar estas opciones.
-
(Opcional) Para agregar una etiqueta a su VPC, expanda Etiquetas adicionales, elija Agregar etiqueta nueva e ingrese una clave y un valor de etiqueta.
-
En el panel Vista previa, puede visualizar las relaciones entre los recursos de la VPC que configuró. Las líneas continuas representan las relaciones entre los recursos. Las líneas punteadas representan el tráfico de red a las puertas de enlace de NAT, las puertas de enlace de Internet y los puntos de conexión de las puertas de enlace. Una vez que creó la VPC, puede visualizar los recursos de la VPC en este formato en cualquier momento en la pestaña Mapa de recursos.
-
Cuando termine de configurar la VPC, elija Crear VPC.
Crear una sola VPC
Utilice el siguiente procedimiento para crear una VPC sin recursos adicionales mediante la consola de Amazon VPC.
Para crear una VPC sin recursos adicionales de VPC mediante la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de VPC, elija Create VPC (Crear VPC).
-
En Recursos para crear, elija Solo VPC.
-
(Opcional) En Etiqueta de nombre, ingrese un nombre para su VPC. Esta acción creará una etiqueta con una clave de
Name
y el valor que especifique. -
Para IPv4 CIDR block (Bloque de CIDR de IPv4), realice una de las siguientes operaciones:
-
Elija Entrada manual de CIDR de IPv4 e ingrese un rango de direcciones IPv4 para su VPC. El rango de IPv4 recomendado para AWS Cloud9 es
10.0.0.0/16
. -
Elija el bloque de CIDR IPv4 asignado por IPAM, seleccione su grupo de direcciones IPv4 del Administrador de direcciones IP (IPAM) de Amazon VPC y una máscara de red. El tamaño del bloque CIDR está limitado por las reglas de asignación del grupo de IPAM. IPAM es una función de VPC que le ayuda a planificar, rastrear y monitorear las direcciones IP de sus cargas de AWS trabajo. Para obtener más información, consulte ¿Qué es IPAM? en la Guía del administrador de Amazon Virtual Private Cloud.
Si utiliza IPAM para administrar las direcciones IP, le recomendamos que elija esta opción. De lo contrario, el bloque CIDR que especifique para la VPC podría superponerse con una asignación de CIDR de IPAM.
-
-
(Opcional) Para crear una VPC de doble pila, especifique un rango de direcciones IPv6 para la VPC. Para IPv6 CIDR block (Bloque de CIDR de IPv6), realice una de las siguientes operaciones:
-
Elija Bloque CIDR de IPv6 asignado por IPAM y seleccione el grupo de direcciones IPv6 de IPAM. El tamaño del bloque CIDR está limitado por las reglas de asignación del grupo de IPAM.
-
Elija un bloque CIDR de IPv6 proporcionado por Amazon para solicitar un bloque CIDR de IPv6 de un grupo de direcciones IPv6 de Amazon. En Network Border Group, selecciona el grupo desde el que se AWS anuncian las direcciones IP. Amazon proporciona un tamaño de bloque de CIDR de IPv6 fijo de /56.
-
Elija el CIDR de IPv6 de mi propiedad para usar un bloque de CIDR de IPv6 que utilizó BYOIP (BYOIP). AWS En Grupo, elija el grupo de direcciones IPv6 desde el que desea asignar el bloque de CIDR IPv6.
-
-
(Opcional) Elija una opción de tenencia. Esta opción define si las instancias EC2 que lance en la VPC se ejecutarán en hardware compartido con Cuentas de AWS otros o en hardware dedicado únicamente a su uso. Si elige que la tenencia de la VPC sea
Default
, las instancias de EC2 lanzadas en esta VPC utilizarán el atributo de tenencia especificado al lanzar la instancia. Para obtener más información, consulte Lanzar una instancia con parámetros definidos en la Guía del usuario de Amazon EC2.Si elige que la tenencia de la VPC sea
Dedicated
, las instancias siempre se ejecutarán como Instancias dedicadas en hardware dedicado para su uso. Si está utilizando AWS Outposts, su Outpost requiere conectividad privada, y debe usar la tenenciaDefault
. -
(Opcional) Para agregar una etiqueta a su VPC, elija Agregar etiqueta nueva e ingrese una clave y un valor de etiqueta.
-
Seleccione Crear VPC.
-
Una vez creada una VPC, podrá agregar las subredes.
Cree una subred para AWS Cloud9
Puede usar la consola de Amazon VPC para crear una subred para una VPC que sea compatible con. AWS Cloud9 El hecho de que pueda crear una subred privada o pública para su instancia de EC2 depende de cómo se conecte su entorno a ella:
-
Acceso directo a través de SSH: solo subred pública
-
Acceso a través de Systems Manager: subred pública o privada
La opción de lanzar el EC2 de su entorno en una subred privada solo está disponible si crea un entorno de EC2 “sin entrada” mediante la consola, la línea de comandos o AWS CloudFormation.
Siga los mismos pasos para crear una subred que pueda convertirse en pública o privada. Si la subred está asociada a una tabla de enrutamiento que tiene una ruta a una gateway de internet, esta se convierte en una subred pública. No obstante, si la subred está asociada a una tabla de enrutamiento que no tiene ninguna ruta a una gateway de internet, se convierte en una subred privada. Para obtener más información, consulte Configuración de una subred como pública o privada
Si ha seguido el procedimiento anterior para crear una VPC AWS Cloud9, no es necesario que también siga este procedimiento. Esto se debe a que el asistente para Create new VPC (Crear nueva VPC) crea una subred automáticamente.
importante
-
Cuenta de AWS Deben tener ya una VPC compatible en la misma Región de AWS para el entorno. Para obtener más información, consulte los requisitos de VPC en Requisitos de Amazon VPC para AWS Cloud9.
-
Para este procedimiento, le recomendamos que inicie sesión en la consola de Amazon VPC AWS Management Console y la abra con las credenciales de un administrador de IAM en su cuenta. Cuenta de AWS Si no puede hacerlo, consulte con su Cuenta de AWS administrador.
-
Es posible que algunas organizaciones no le permitan crear subredes. Si no puede crear una subred, póngase en contacto con el Cuenta de AWS administrador o el administrador de la red.
Para crear una subred
-
En la barra de navegación, si Región de AWS no es la misma que la región del entorno, elija la región correcta.
-
Elija Subnets (Subredes) en el panel de navegación, si todavía no se muestra la página Subnets (Subredes).
-
Elija Create Subnet (Crear subred).
-
En el cuadro de diálogo Create Subnet (Crear subred), en Name tag (Etiqueta de nombre), ingrese el nombre de la subred.
-
En VPC, elija la VPC con la que desea asociar la subred.
-
En Zona de disponibilidad, elija la zona de disponibilidad que Región de AWS desee utilizar en la subred o seleccione Sin preferencias para que pueda AWS elegir una zona de disponibilidad por usted.
-
Para IPv4 CIDR block (Bloque de CIDR IPv4), ingrese el rango de direcciones IP de la subred que se va a utilizar, en formato CIDR. Este rango de direcciones IP debe ser un subconjunto de direcciones en la VPC.
Para obtener información acerca de los bloques de CIDR, consulte Tamaño de VPC y subred en la Guía del usuario de Amazon VPC. Véase también 3.1. Basic Concept and Prefix Notation
(Notación de prefijos y conceptos básicos) en RFC 4632 o el artículo sobre bloques CIDR IPv4 en Wikipedia.
Después de crear la subred, configúrelo como una subred pública o privada.
Configuración de una subred como pública o privada
Después de crear una subred, puede convertirla en pública o privada. Para ello, especifique cómo se comunica con internet.
Una subred pública tiene una dirección IP pública y una puerta de enlace de Internet (IGW) asociada a esta que permite la comunicación entre la instancia de la subred e internet y otros Servicios de AWS.
Una instancia de una subred privada tiene una dirección IP privada y se utiliza una puerta de enlace de traducción de direcciones de red (NAT) para enviar tráfico de ida y vuelta entre la instancia de la subred e internet y otros Servicios de AWS. La gateway NAT debe estar alojada en una subred pública.