Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exécuter une pile dans un VPC
Important
Le AWS OpsWorks Stacks le service a pris fin le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez le AWS Support L'équipe sur AWS Re:post ou via
Vous pouvez contrôler l'accès des utilisateurs aux instances d'une pile en la créant dans un cloud privé virtuel (VPC). Par exemple, il se peut que vous ne vouliez pas que les utilisateurs accèdent directement aux serveurs d'applications ou aux bases de données de votre pile, et, qu'à la place, tout le trafic public soit acheminé via un Elastic Load Balancer.
La procédure de base pour exécuter une pile dans un VPC est la suivante :
-
Créez une configuration appropriéeVPC, à l'aide de la VPC console Amazon ou d'un API AWS CloudFormation modèle.
-
Spécifiez l'VPCID lorsque vous créez la pile.
-
Lancez les instances de la pile dans le sous-réseau approprié.
Ce qui suit décrit brièvement le VPCs fonctionnement dans AWS OpsWorks Des piles.
Important
Si vous utilisez la fonctionnalité VPC Endpoint, sachez que chaque instance de la pile doit être en mesure d'effectuer les actions suivantes depuis Amazon Simple Storage Service (Amazon S3) :
-
Installer l'agent de l'instance.
-
Installez les ressources, tels que Ruby.
-
Charger les journaux d'exécution Chef.
-
Récupérer les commandes de pile.
Pour activer ces actions, vous devez vous assurer que les instances de la pile ont accès aux compartiments suivants qui correspondent à la région de la pile. Sinon, les actions précédentes échouent.
Pour Chef 12 Linux et Chef 12.2 Windows, les compartiments sont les suivants.
| Compartiments d'agents | Compartiments de ressources | Compartiments de journaux | DNASeaux |
|---|---|---|---|
|
|
|
|
Pour Chef 11.10 pour Linux et versions antérieures, les compartiments se présentent comme suit. Les piles Chef 11.4 ne sont pas prises en charge sur les points de terminaison régionaux situés en dehors de la région de l'est des États-Unis (Virginie du Nord).
| Compartiments d'agents | Compartiments de ressources | Compartiments de journaux | DNASeaux |
|---|---|---|---|
|
|
|
|
Pour plus d'informations, consultez Points de terminaison VPC.
Note
Dans AWS OpsWorks Stacks Pour vous connecter aux VPC points de terminaison que vous activez, vous devez également configurer le routage pour votre adresse IP NAT ou pour votre adresse IP publique, comme AWS OpsWorks L'agent Stacks a toujours besoin d'accéder au point de terminaison public.
VPCPrincipes de base
Pour une discussion détaillée sur Amazon Virtual Private CloudVPCs, consultez Amazon Virtual Private Cloud. En bref, a VPC se compose d'un ou de plusieurs sous-réseaux, chacun contenant une ou plusieurs instances. Chaque sous-réseau dispose d'une table de routage associée qui dirige le trafic sortant en fonction de son adresse IP de destination.
-
Les instances d'un VPC peuvent communiquer entre elles par défaut, quel que soit leur sous-réseau. Cependant, les modifications apportées aux listes de contrôle d'accès au réseau (ACLs), aux politiques des groupes de sécurité ou à l'utilisation d'adresses IP statiques peuvent interrompre cette communication.
-
Les sous-réseaux dont les instances peuvent communiquer avec Internet sont appelés sous-réseaux publics.
-
Les sous-réseaux dont les instances ne peuvent communiquer qu'avec d'autres instances sur Internet VPC et ne peuvent pas communiquer directement avec Internet sont appelés sous-réseaux privés.
AWS OpsWorks Stacks nécessite que le soit configuré VPC de telle sorte que chaque instance de la pile, y compris les instances situées dans des sous-réseaux privés, ait accès aux points de terminaison suivants :
-
L'un des AWS OpsWorks Empile les points de terminaison de service répertoriés dans la section « Support régional » de. Débuter avec AWS OpsWorks Stacks
-
L'un des points de terminaison de service d'instance suivants, utilisé par AWS OpsWorks Agent Stacks. L'agent s'exécute sur les instances gérées par le client pour échanger des données avec le service.
-
opsworks-instance-service.us-east-2.amazonaws.com
-
opsworks-instance-service.us-east-1.amazonaws.com
-
opsworks-instance-service.us-west-1.amazonaws.com
-
opsworks-instance-service.us-west-2.amazonaws.com
-
opsworks-instance-service.ap-south-1.amazonaws.com
-
opsworks-instance-service.ap-northeast-1.amazonaws.com
-
opsworks-instance-service.ap-northeast-2.amazonaws.com
-
opsworks-instance-service.ap-southeast-1.amazonaws.com
-
opsworks-instance-service.ap-southeast-2.amazonaws.com
-
opsworks-instance-service.ca-central-1.amazonaws.com
-
opsworks-instance-service.eu-central-1.amazonaws.com
-
opsworks-instance-service.eu-west-1.amazonaws.com
-
opsworks-instance-service.eu-west-2.amazonaws.com
-
opsworks-instance-service.eu-west-3.amazonaws.com
-
-
Amazon S3
-
Tous les référentiels de package dont votre système d'exploitation dépend, tels que les référentiels Amazon Linux ou Ubuntu Linux.
-
Vos référentiels d'applications et de livres de recettes personnalisés.
Il existe différentes manières de configurer un VPC pour fournir cette connectivité. Voici un exemple simple de la façon dont vous pouvez configurer un VPC pour un AWS OpsWorks Stacks App Server Stack.
Cela VPC comporte plusieurs éléments :
- Sous-réseaux
-
VPCIl possède deux sous-réseaux, l'un public et l'autre privé.
-
Le sous-réseau public contient un équilibreur de charge et un dispositif de traduction d'adresses réseau (NAT), qui peuvent communiquer avec des adresses externes et avec les instances du sous-réseau privé.
-
Le sous-réseau privé contient les serveurs d'applications, qui peuvent communiquer avec l'équilibreur de charge NAT et le répartiteur de charge du sous-réseau public, mais ne peuvent pas communiquer directement avec des adresses externes.
-
- Passerelle Internet
-
La passerelle Internet permet aux instances dotées d'adresses IP publiques, telles que l'équilibreur de charge, de communiquer avec des adresses extérieures à. VPC
- Équilibreur de charge
-
L'équilibreur de charge Elastic Load Balancing accepte le trafic entrant des utilisateurs, le distribue aux serveurs d'applications du sous-réseau privé et retourne les réponses aux utilisateurs.
- NAT
-
L'appareil (NAT) fournit aux serveurs d'applications un accès Internet limité, généralement utilisé à des fins telles que le téléchargement de mises à jour logicielles à partir d'un référentiel externe. Tous AWS OpsWorks Les instances de Stacks doivent être en mesure de communiquer avec AWS OpsWorks Des piles et avec les référentiels Linux appropriés. L'un des moyens de résoudre ce problème consiste à placer un NAT appareil associé à une adresse IP élastique dans un sous-réseau public. Vous pouvez ensuite acheminer le trafic sortant depuis les instances du sous-réseau privé via le. NAT
Note
Une NAT instance unique crée un point de défaillance unique dans le trafic sortant de votre sous-réseau privé. Vous pouvez améliorer la fiabilité en configurant le VPC avec une paire d'NATinstances qui prennent le relais l'une de l'autre en cas de défaillance de l'une d'entre elles. Pour plus d'informations, consultez la section Haute disponibilité pour les VPC NAT instances Amazon
. Vous pouvez également utiliser une NAT passerelle. Pour plus d'informations, consultez NATle guide de VPC l'utilisateur Amazon.
La VPC configuration optimale dépend de votre AWS OpsWorks Les piles s'empilent. Voici quelques exemples de situations dans lesquelles vous pouvez utiliser certaines VPC configurations. Pour des exemples d'autres VPC scénarios, consultez Scénarios d'utilisation d'Amazon VPC.
- Utilisation d'une instance dans un sous-réseau public
-
Si vous disposez d'une pile à instance unique sans ressources privées associées, telle qu'une RDS instance Amazon qui ne doit pas être accessible au public, vous pouvez créer une instance VPC avec un sous-réseau public et placer l'instance dans ce sous-réseau. Si vous n'utilisez pas de valeur par défautVPC, la couche de l'instance doit attribuer une adresse IP élastique à l'instance. Pour de plus amples informations, veuillez consulter OpsWorks Principes de base des couches.
- Utilisation des ressources privées
-
Si vous avez des ressources qui ne devraient pas être accessibles au public, vous pouvez en créer un VPC avec un sous-réseau public et un sous-réseau privé. Par exemple, dans un environnement de dimensionnement automatique à équilibrage de charge, vous pouvez placer toutes les EC2 instances Amazon dans le sous-réseau privé et l'équilibreur de charge dans un sous-réseau public. Ainsi, les EC2 instances Amazon ne sont pas directement accessibles depuis Internet ; tout le trafic entrant doit être acheminé via l'équilibreur de charge.
Le sous-réseau privé isole les instances de l'accès EC2 direct des utilisateurs à Amazon, mais elles doivent tout de même envoyer des demandes sortantes aux référentiels de packages Linux appropriés AWS et aux référentiels de packages Linux appropriés. Pour autoriser de telles demandes, vous pouvez, par exemple, utiliser un périphérique de traduction d'adresses réseau (NAT) doté de sa propre adresse IP élastique, puis acheminer le trafic sortant des instances via le. NAT Vous pouvez le placer NAT dans le même sous-réseau public que l'équilibreur de charge, comme indiqué dans l'exemple précédent.
-
Si vous utilisez une base de données principale telle qu'une RDS instance Amazon, vous pouvez placer ces instances dans le sous-réseau privé. Pour les RDS instances Amazon, vous devez spécifier au moins deux sous-réseaux différents dans des zones de disponibilité différentes.
-
Si vous avez besoin d'un accès direct aux instances d'un sous-réseau privé, par exemple pour vous connecter SSH à une instance, vous pouvez placer un hôte bastion dans le sous-réseau public qui transmet par proxy les demandes provenant d'Internet.
-
- Étendre votre propre réseau à AWS
-
Si vous souhaitez étendre votre propre réseau dans le cloud et accéder directement à Internet depuis le vôtreVPC, vous pouvez créer une VPN passerelle. Pour plus d'informations, voir Scénario 3 : VPC avec sous-réseaux publics et privés et VPN accès au matériel.
Créez un VPC pour un AWS OpsWorks Stacks Stack
Cette section montre comment créer un VPC pour AWS OpsWorks Les piles s'empilent en utilisant un exemple de AWS CloudFormationmodèle. Vous pouvez télécharger le modèle dans le fichier OpsWorks VPCtemplates .zip. Pour plus d'informations sur la façon de créer manuellement un VPC fichier similaire à celui décrit dans cette rubrique, voir Scénario 2 : VPC avec des sous-réseaux publics et privés. Pour plus d'informations sur la configuration des tables de routage, des groupes de sécurité, etc., consultez l'exemple de modèle.
Note
Par défaut, AWS OpsWorks Stacks affiche les noms de sous-réseaux en concaténant leur CIDR plage et leur zone de disponibilité, par exemple. 10.0.0.1/24 - us-east-1b Pour que les noms soient plus faciles à lire, créez une balise pour chaque sous-réseau avec Clé défini sur Name et Valeur défini sur le nom du sous-réseau. AWS OpsWorks Stacks ajoute ensuite le nom du sous-réseau au nom par défaut. Par exemple, le sous-réseau privé de l'exemple suivant possède une balise dont le nom est défini surPrivate, qui s' OpsWorks affiche sous 10.0.0.1/24
us-east - 1b - Private la forme.
Vous pouvez lancer un VPC modèle à l'aide du AWS CloudFormation console en quelques étapes seulement. La procédure suivante utilise l'exemple de modèle pour créer une région VPC dans l'est des États-Unis (Virginie du Nord). Pour savoir comment utiliser le modèle pour créer un VPC dans d'autres régions, consultez la note qui suit la procédure.
Pour créer le VPC
-
Ouvrez le fichier AWS CloudFormation console
, sélectionnez la région USA Est (Virginie du Nord), puis choisissez Create Stack. -
Sur la page Select Template (Sélectionner un modèle), sélectionnez Upload a template (Télécharger un modèle). Recherchez le
OpsWorksinVPC.templatefichier que vous avez téléchargé dans le fichier OpsWorks VPCtemplates .zip. Choisissez Continuer.
Vous pouvez également lancer cette pile en ouvrant AWS CloudFormation Sample Templates
, en localisant AWS OpsWorks VPCModèle Stacks, et choisissez Launch Stack. -
Sur la page Spécifier les paramètres, acceptez les valeurs par défaut et choisissez Continuer.
-
Sur la page Ajouter des balises, créez une balise dont la clé est définie sur
Nameet la valeur sur le VPC nom. Cette balise vous permettra de vous identifier plus facilement VPC lorsque vous créerez un AWS OpsWorks Les piles s'empilent. -
Choisissez Continuer, puis Fermer pour lancer la pile.
Remarque : Vous pouvez le créer VPC dans d'autres régions en utilisant l'une des approches suivantes.
-
Accédez à la section Utilisation de modèles dans différentes régions
, choisissez la région appropriée, localisez AWS OpsWorks VPCModèle Stacks, puis choisissez Launch Stack. -
Copiez le fichier modèle sur votre système, sélectionnez la région appropriée dans AWS CloudFormation console
, et utilisez l'option Upload a template to Amazon S3 de l'assistant Create Stack pour télécharger le modèle depuis votre système.
L'exemple de modèle inclut des sorties qui fournissent le VPC sous-réseau et l'équilibreur de charge IDs dont vous aurez besoin pour créer AWS OpsWorks Les piles s'empilent. Vous pouvez les consulter en choisissant l'onglet Sorties en bas du AWS CloudFormation fenêtre de console.
