Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exécuter une pile dans un VPC
Important
Le AWS OpsWorks Stacks service a atteint sa fin de vie le 26 mai 2024 et a été désactivé tant pour les nouveaux clients que pour les clients existants. Nous recommandons vivement aux clients de migrer leurs charges de travail vers d'autres solutions dès que possible. Si vous avez des questions sur la migration, contactez l' AWS Support équipe sur AWS Re:Post
Vous pouvez contrôler l'accès des utilisateurs aux instances d'une pile en la créant dans un cloud privé virtuel (VPC). Par exemple, il se peut que vous ne vouliez pas que les utilisateurs accèdent directement aux serveurs d'applications ou aux bases de données de votre pile, et, qu'à la place, tout le trafic public soit acheminé via un Elastic Load Balancer.
La procédure de base pour exécuter une pile dans un VPC est la suivante :
-
Créez un modèle configuré de manière appropriéeVPC, à l'aide de VPC la console Amazon ou d'un AWS CloudFormation modèle. API
-
Spécifiez l'VPCID lorsque vous créez la pile.
-
Lancez les instances de la pile dans le sous-réseau approprié.
Ce qui suit décrit brièvement le VPCs fonctionnement de AWS OpsWorks Stacks.
Important
Si vous utilisez la fonctionnalité VPC Endpoint, sachez que chaque instance de la pile doit être capable d'effectuer les actions suivantes depuis Amazon Simple Storage Service (Amazon S3) :
-
Installer l'agent de l'instance.
-
Installez les ressources, tels que Ruby.
-
Charger les journaux d'exécution Chef.
-
Récupérer les commandes de pile.
Pour activer ces actions, vous devez vous assurer que les instances de la pile ont accès aux compartiments suivants qui correspondent à la région de la pile. Sinon, les actions précédentes échouent.
Pour Chef 12 Linux et Chef 12.2 Windows, les compartiments sont les suivants.
| Compartiments d'agents | Compartiments de ressources | Compartiments de journaux | Compartiments DNA |
|---|---|---|---|
|
|
|
|
Pour Chef 11.10 pour Linux et versions antérieures, les compartiments se présentent comme suit. Les piles Chef 11.4 ne sont pas prises en charge sur les points de terminaison régionaux situés en dehors de la région de l'est des États-Unis (Virginie du Nord).
| Compartiments d'agents | Compartiments de ressources | Compartiments de journaux | Compartiments DNA |
|---|---|---|---|
|
|
|
|
Pour plus d'informations, consultez Points de terminaison VPC.
Note
Pour que AWS OpsWorks Stacks puisse se connecter aux VPC points de terminaison que vous activez, vous devez également configurer le routage pour votre adresse IP NAT ou celle de votre adresse IP publique, car l'agent AWS OpsWorks Stacks doit toujours accéder au point de terminaison public.
Bases d'une VPC
Pour une discussion détaillée sur Amazon Virtual Private CloudVPCs, consultez Amazon Virtual Private Cloud. En bref, a VPC se compose d'un ou de plusieurs sous-réseaux, chacun contenant une ou plusieurs instances. Chaque sous-réseau dispose d'une table de routage associée qui dirige le trafic sortant en fonction de son adresse IP de destination.
-
Les instances d'un VPC peuvent communiquer entre elles par défaut, quel que soit leur sous-réseau. Cependant, les modifications apportées aux listes de contrôle d'accès au réseau (ACLs), aux politiques des groupes de sécurité ou à l'utilisation d'adresses IP statiques peuvent interrompre cette communication.
-
Les sous-réseaux dont les instances peuvent communiquer avec Internet sont appelés sous-réseaux publics.
-
Les sous-réseaux dont les instances ne peuvent communiquer qu'avec d'autres instances sur Internet VPC et ne peuvent pas communiquer directement avec Internet sont appelés sous-réseaux privés.
AWS OpsWorks Stacks nécessite que le soit configuré VPC de telle sorte que chaque instance de la pile, y compris les instances situées dans des sous-réseaux privés, ait accès aux points de terminaison suivants :
-
L'un des points de terminaison du service AWS OpsWorks Stacks répertoriés dans la section « Support régional » de. Débuter avec AWS OpsWorks Stacks
-
L'un des points de terminaison du service d'instance suivants, utilisé par l'agent AWS OpsWorks Stacks. L'agent s'exécute sur les instances gérées par le client pour échanger des données avec le service.
-
opsworks-instance-service.us-east-2.amazonaws.com
-
opsworks-instance-service.us-east-1.amazonaws.com
-
opsworks-instance-service.us-west-1.amazonaws.com
-
opsworks-instance-service.us-west-2.amazonaws.com
-
opsworks-instance-service.ap-south-1.amazonaws.com
-
opsworks-instance-service.ap-northeast-1.amazonaws.com
-
opsworks-instance-service.ap-northeast-2.amazonaws.com
-
opsworks-instance-service.ap-southeast-1.amazonaws.com
-
opsworks-instance-service.ap-southeast-2.amazonaws.com
-
opsworks-instance-service.ca-central-1.amazonaws.com
-
opsworks-instance-service.eu-central-1.amazonaws.com
-
opsworks-instance-service.eu-west-1.amazonaws.com
-
opsworks-instance-service.eu-west-2.amazonaws.com
-
opsworks-instance-service.eu-west-3.amazonaws.com
-
-
Amazon S3
-
Tous les référentiels de package dont votre système d'exploitation dépend, tels que les référentiels Amazon Linux ou Ubuntu Linux.
-
Vos référentiels d'applications et de livres de recettes personnalisés.
Il existe différentes manières de configurer un VPC pour fournir cette connectivité. Voici un exemple simple de la façon dont vous pouvez configurer un VPC pour une pile de serveurs d'applications AWS OpsWorks Stacks.
Cela VPC comporte plusieurs éléments :
- Sous-réseaux
-
VPCIl possède deux sous-réseaux, l'un public et l'autre privé.
-
Le sous-réseau public contient un équilibreur de charge et un dispositif de traduction d'adresses réseau (NAT), qui peuvent communiquer avec des adresses externes et avec les instances du sous-réseau privé.
-
Le sous-réseau privé contient les serveurs d'applications, qui peuvent communiquer avec l'équilibreur de charge NAT et le répartiteur de charge du sous-réseau public, mais ne peuvent pas communiquer directement avec des adresses externes.
-
- Passerelle Internet
-
La passerelle Internet permet aux instances dotées d'adresses IP publiques, telles que l'équilibreur de charge, de communiquer avec des adresses extérieures à. VPC
- Équilibreur de charge
-
L'équilibreur de charge Elastic Load Balancing accepte le trafic entrant des utilisateurs, le distribue aux serveurs d'applications du sous-réseau privé et retourne les réponses aux utilisateurs.
- NAT
-
L'appareil (NAT) fournit aux serveurs d'applications un accès Internet limité, généralement utilisé à des fins telles que le téléchargement de mises à jour logicielles à partir d'un référentiel externe. Toutes les instances de AWS OpsWorks Stacks doivent être capables de communiquer avec AWS OpsWorks Stacks et avec les référentiels Linux appropriés. L'un des moyens de résoudre ce problème consiste à placer un NAT appareil associé à une adresse IP élastique dans un sous-réseau public. Vous pouvez ensuite acheminer le trafic sortant depuis les instances du sous-réseau privé via le. NAT
Note
Une NAT instance unique crée un point de défaillance unique dans le trafic sortant de votre sous-réseau privé. Vous pouvez améliorer la fiabilité en configurant le VPC avec une paire d'NATinstances qui prennent le relais l'une de l'autre en cas de défaillance de l'une d'entre elles. Pour plus d'informations, consultez la section Haute disponibilité pour les VPC NAT instances Amazon
. Vous pouvez également utiliser une NAT passerelle. Pour plus d'informations, consultez NATle guide de VPC l'utilisateur Amazon.
La VPC configuration optimale dépend de votre stack AWS OpsWorks Stacks. Voici quelques exemples de situations dans lesquelles vous pouvez utiliser certaines VPC configurations. Pour des exemples d'autres VPC scénarios, consultez Scénarios d'utilisation d'Amazon VPC.
- Utilisation d'une instance dans un sous-réseau public
-
Si vous disposez d'une pile à instance unique sans ressources privées associées, telle qu'une RDS instance Amazon qui ne doit pas être accessible au public, vous pouvez créer une instance VPC avec un sous-réseau public et placer l'instance dans ce sous-réseau. Si vous n'utilisez pas de valeur par défautVPC, la couche de l'instance doit attribuer une adresse IP élastique à l'instance. Pour de plus amples informations, veuillez consulter OpsWorks Principes de base des couches.
- Utilisation des ressources privées
-
Si vous avez des ressources qui ne devraient pas être accessibles au public, vous pouvez en créer un VPC avec un sous-réseau public et un sous-réseau privé. Par exemple, dans un environnement de dimensionnement automatique à équilibrage de charge, vous pouvez placer toutes les EC2 instances Amazon dans le sous-réseau privé et l'équilibreur de charge dans un sous-réseau public. Ainsi, les EC2 instances Amazon ne sont pas directement accessibles depuis Internet ; tout le trafic entrant doit être acheminé via l'équilibreur de charge.
Le sous-réseau privé isole les instances de l'accès EC2 direct des utilisateurs à Amazon, mais elles doivent tout de même envoyer des demandes sortantes aux référentiels de packages Linux appropriés AWS et aux référentiels de packages Linux appropriés. Pour autoriser de telles demandes, vous pouvez, par exemple, utiliser un périphérique de traduction d'adresses réseau (NAT) doté de sa propre adresse IP élastique, puis acheminer le trafic sortant des instances via le. NAT Vous pouvez le placer NAT dans le même sous-réseau public que l'équilibreur de charge, comme indiqué dans l'exemple précédent.
-
Si vous utilisez une base de données principale telle qu'une RDS instance Amazon, vous pouvez placer ces instances dans le sous-réseau privé. Pour les RDS instances Amazon, vous devez spécifier au moins deux sous-réseaux différents dans des zones de disponibilité différentes.
-
Si vous avez besoin d'un accès direct aux instances d'un sous-réseau privé, par exemple pour vous connecter SSH à une instance, vous pouvez placer un hôte bastion dans le sous-réseau public qui transmet par proxy les demandes provenant d'Internet.
-
- Étendre votre propre réseau à AWS
-
Si vous souhaitez étendre votre propre réseau dans le cloud et accéder directement à Internet depuis le vôtreVPC, vous pouvez créer une VPN passerelle. Pour plus d'informations, voir Scénario 3 : VPC avec sous-réseaux publics et privés et VPN accès au matériel.
Créez un VPC pour un AWS OpsWorks Stacks Stacks
Cette section explique comment créer un VPC pour une pile AWS OpsWorks Stacks à l'aide d'un exemple de AWS CloudFormationmodèle. Vous pouvez télécharger le modèle dans le fichier OpsWorks VPCtemplates .zip. Pour plus d'informations sur la façon de créer manuellement un VPC fichier similaire à celui décrit dans cette rubrique, voir Scénario 2 : VPC avec des sous-réseaux publics et privés. Pour plus d'informations sur la configuration des tables de routage, des groupes de sécurité, etc., consultez l'exemple de modèle.
Note
Par défaut, AWS OpsWorks Stacks affiche les noms de sous-réseaux en concaténant leur CIDR plage et leur zone de disponibilité, par exemple. 10.0.0.1/24 - us-east-1b Pour rendre les noms plus lisibles, créez une balise pour chaque sous-réseau avec la clé définie sur Name et la valeur définie sur le nom du sous-réseau. AWS OpsWorks Stacks ajoute ensuite le nom du sous-réseau au nom par défaut. Par exemple, le sous-réseau privé de l'exemple suivant possède une balise dont le nom est défini surPrivate, qui s' OpsWorks affiche sous 10.0.0.1/24
us-east - 1b - Private la forme.
Vous pouvez lancer un VPC modèle à l'aide de la AWS CloudFormation console en quelques étapes seulement. La procédure suivante utilise l'exemple de modèle pour créer une région VPC dans l'est des États-Unis (Virginie du Nord). Pour savoir comment utiliser le modèle pour créer un VPC dans d'autres régions, consultez la note qui suit la procédure.
Pour créer le VPC
-
Ouvrez la console AWS CloudFormation
, sélectionnez la région USA Est (Virginie du Nord), puis choisissez Créer une pile. -
Sur la page Select Template (Sélectionner un modèle), sélectionnez Upload a template (Télécharger un modèle). Recherchez le
OpsWorksinVPC.templatefichier que vous avez téléchargé dans le fichier OpsWorks VPCtemplates .zip. Choisissez Continuer.
Vous pouvez également lancer cette pile en ouvrant AWS CloudFormation Sample Templates
, en localisant le VPC template AWS OpsWorks Stacks et en choisissant Launch Stack. -
Sur la page Spécifier les paramètres, acceptez les valeurs par défaut et choisissez Continuer.
-
Sur la page Ajouter des balises, créez une balise dont la clé est définie sur
Nameet la valeur sur le VPC nom. Cette balise vous permettra de vous identifier plus facilement VPC lorsque vous créez une pile AWS OpsWorks Stacks. -
Choisissez Continuer, puis Fermer pour lancer la pile.
Remarque : Vous pouvez le créer VPC dans d'autres régions en utilisant l'une des approches suivantes.
-
Accédez à la section Utilisation de modèles dans différentes régions
, choisissez la région appropriée, recherchez le VPC modèle AWS OpsWorks Stacks, puis choisissez Launch Stack. -
Copiez le fichier modèle sur votre système, sélectionnez la région appropriée dans la AWS CloudFormation console
et utilisez l'option Upload a template to Amazon S3 de l'assistant Create Stack pour télécharger le modèle depuis votre système.
L'exemple de modèle inclut des sorties qui fournissent le VPC sous-réseau et l'équilibreur de charge IDs dont vous aurez besoin pour créer la pile AWS OpsWorks Stacks. Vous pouvez les voir en choisissant l'onglet Sorties en bas de la fenêtre de AWS CloudFormation console.
