Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemple : lancement d'une application Elastic Beanstalk dans un environnement avec des hôtes Bastion VPC
Cette section explique comment déployer une application Elastic Beanstalk VPC dans un hôte utilisant un bastion et pourquoi vous devez implémenter cette topologie.
Si vos EC2 instances Amazon sont situées dans un sous-réseau privé, vous ne pourrez pas vous y connecter à distance. Pour vous connecter à vos instances, vous pouvez configurer des serveurs bastions dans le sous-réseau public pour servir de proxy. Par exemple, vous pouvez configurer des redirecteurs de SSH port ou des RDP passerelles dans le sous-réseau public pour transférer par proxy le trafic vers vos serveurs de base de données depuis votre propre réseau. Cette section fournit un exemple de création d'un VPC avec un sous-réseau privé et public. Les instances sont situées dans le sous-réseau privé, tandis que l'hôte bastion, la NAT passerelle et l'équilibreur de charge sont situés dans le sous-réseau public. Votre infrastructure ressemblera au schéma suivant.
Pour déployer une application Elastic Beanstalk VPC dans un hôte utilisant un bastion, suivez les étapes décrites dans les sous-sections suivantes.
Étapes
Créez un VPC avec un sous-réseau public et privé
Réalisez toutes les procédures décrites dans Public/privé VPC. Lors du déploiement de l'application, vous devez spécifier une paire de EC2 clés Amazon pour les instances afin de pouvoir vous y connecter à distance. Pour plus d'informations sur la façon de spécifier la paire de clés d'instance, consultez Les EC2 instances Amazon pour votre environnement Elastic Beanstalk.
Création et configuration du groupe de sécurité de l'hôte bastion
Créez un groupe de sécurité pour l'hôte Bastion et ajoutez des règles qui autorisent le SSH trafic entrant depuis Internet et le SSH trafic sortant vers le sous-réseau privé qui contient les instances Amazon. EC2
Pour créer le groupe de sécurité de l'hôte bastion
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité).
-
Sélectionnez Créer un groupe de sécurité.
-
Dans la boîte de dialogue Créer un groupe de sécurité, entrez les informations suivantes et choisissez Oui, créer.
- Balise Nom (facultatif)
-
Entrez une étiquette de nom pour le groupe de sécurité.
- Nom du groupe
-
Entrez le nom du groupe de sécurité.
- Description
-
Entrez une description pour le groupe de sécurité.
- VPC
-
Sélectionnez votreVPC.
Le groupe de sécurité est créé et apparaît sur la page Groupes de sécurité. Notez qu'il possède un ID (par exemple,
sg-xxxxxxxx). Vous devrez peut-être activer la colonne ID du groupe en cliquant sur Afficher/Masquer dans l'angle supérieur droit de la page.
Pour configurer le groupe de sécurité de l'hôte bastion
-
Dans la liste des groupes de sécurité, cochez la case correspondant au groupe de sécurité que vous venez de créer pour votre hôte bastion.
-
Sous l'onglet Règles entrantes, choisissez Modifier.
-
Si nécessaire, sélectionnez Add another rule (Ajouter une autre règle).
-
Si votre hôte bastion est une instance Linux, sous Type, sélectionnez SSH.
Si votre hôte bastion est une instance Windows, sous Type, sélectionnez RDP.
-
Entrez la CIDR plage de sources souhaitée dans le champ Source et choisissez Enregistrer.
-
Sous l'onglet Outbound Rules (Règles sortantes), choisissez Edit (Modifier).
-
Si nécessaire, sélectionnez Add another rule (Ajouter une autre règle).
-
Sous Type, sélectionnez le type que vous avez spécifiée pour la règle entrante.
-
Dans le champ Source, entrez la CIDR plage du sous-réseau des hôtes VPC du sous-réseau privé.
Pour la trouver :
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. -
Dans le panneau de navigation, choisissez Subnets (Sous-réseaux).
-
Notez la valeur ci-dessous IPv4CIDRpour chaque zone de disponibilité dans laquelle vous souhaitez connecter l'hôte bastion à des hôtes.
Note
Si vous avez des hôtes dans plusieurs zones de disponibilité, créez une règle sortante pour chacun de ces zones de disponibilité.
-
Choisissez Save (Enregistrer).
Mise à jour du groupe de sécurité de l'instance
Par défaut, le groupe de sécurité que vous avez créé pour vos instances ne permet pas le trafic entrant. Elastic Beanstalk modifiera le groupe par défaut des instances SSH afin d'autoriser le trafic, mais vous devez modifier votre groupe de sécurité d'instance personnalisé pour autoriser le trafic si vos instances sont des instances Windows. RDP
Pour mettre à jour le groupe de sécurité d'instance pour RDP
-
Dans la liste des groupes de sécurité, cochez la case correspondant au groupe de sécurité de l'instance.
-
Dans l'onglet Entrant, choisissez Modifier.
-
Si nécessaire, sélectionnez Add another rule (Ajouter une autre règle).
-
Entrez les valeurs suivantes, puis sélectionnez Save (Enregistrer).
- Type
-
RDP - Protocole
-
TCP - Plage de ports
-
3389 - Source
-
Entrez l'ID du groupe de sécurité de l'hôte bastion (par exemple,
sg-8a6f71e8) et choisissez Save (Enregistrer).
Création d'un hôte bastion
Pour créer un hôte bastion, vous lancez une EC2 instance Amazon dans votre sous-réseau public qui fera office d'hôte bastion.
Pour plus d'informations sur la configuration d'un hôte bastion pour les instances Windows dans le sous-réseau privé, consultez la section Contrôle de l'accès réseau aux EC2 instances à l'aide d'un serveur Bastion
Pour plus d'informations sur la configuration d'un hôte bastion pour les instances Linux dans le sous-réseau privé, voir Connexion sécurisée aux instances Linux exécutées sur un Amazon
