Étape 1 : créer un VPC avec des sous-réseaux Étape 2 : Lancer les instances Étape 3 : Tester CloudWatch l'accès Étape 4 : créer un VPC point de terminaison auquel accéder CloudWatch Étape 5 : tester le VPC point de terminaison Étape 6 : Nettoyage

Commencez avec AWS PrivateLink

Ce didacticiel explique comment envoyer une demande depuis une EC2 instance d'un sous-réseau privé à Amazon à CloudWatch l'aide AWS PrivateLink de.

Le schéma suivant fournit un aperçu de ce scénario. Pour vous connecter depuis votre ordinateur à l'instance dans le sous-réseau privé, vous devez d'abord vous connecter à un hôte bastion dans un sous-réseau public. L'hôte bastion et l'instance doivent utiliser la même paire de clés. Comme le .pem fichier de la clé privée se trouve sur votre ordinateur, et non sur l'hôte de Bastion, vous allez utiliser le transfert de SSH clé. Vous pouvez ensuite vous connecter à l'instance depuis l'hôte bastion sans spécifier le fichier .pem dans la commande ssh. Une fois que vous avez configuré un VPC point de terminaison pour CloudWatch, le trafic provenant de l'instance à laquelle il est destiné CloudWatch est résolu vers l'interface réseau du point de terminaison, puis envoyé à CloudWatch l'aide du VPC point de terminaison.

Une instance d'un sous-réseau privé y accède CloudWatch via un VPC point de terminaison.

À des fins de test, vous pouvez utiliser une zone de disponibilité unique. En production, nous vous recommandons d'utiliser au moins deux zones de disponibilité pour une faible latence et une haute disponibilité.

Tâches

Étape 1 : créer un VPC avec des sous-réseaux
Étape 2 : Lancer les instances
Étape 3 : Tester CloudWatch l'accès
Étape 4 : créer un VPC point de terminaison auquel accéder CloudWatch
Étape 5 : tester le VPC point de terminaison
Étape 6 : Nettoyage

Étape 1 : créer un VPC avec des sous-réseaux

Utilisez la procédure suivante pour créer un VPC avec un sous-réseau public et un sous-réseau privé.

Pour créer le VPC

Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.
Sélectionnez CreateVPC (Créer).
Pour que Resources crée, choisissez VPCet plus encore.
Pour la génération automatique du tag Name, entrez un nom pour leVPC.
Pour configurer les sous-réseaux, procédez comme suit :
1. Pour Number of Availability Zones (Nombre de zones de disponibilité), choisissez 1 ou 2, selon vos besoins.
2. Pour Number of public subnets (Nombre de sous-réseaux publics), assurez-vous de disposer d'un sous-réseau public par zone de disponibilité.
3. Pour Number of private subnets (Nombre de sous-réseaux privés), assurez-vous de disposer d'un sous-réseau privé par zone de disponibilité.
Sélectionnez CreateVPC (Créer).

Étape 2 : Lancer les instances

À l'aide de VPC celui que vous avez créé à l'étape précédente, lancez l'hôte bastion dans le sous-réseau public et l'instance dans le sous-réseau privé.

Prérequis

Créez une paire de clés à l'aide du format .pem. Vous devez choisir cette paire de clés lorsque vous lancez à la fois l'hôte bastion et l'instance.
Créez un groupe de sécurité pour l'hôte Bastion qui autorise le SSH trafic entrant depuis le CIDR bloc de votre ordinateur.
Créez un groupe de sécurité pour l'instance qui autorise le SSH trafic entrant depuis le groupe de sécurité pour l'hôte Bastion.
Créez un profil d'IAMinstance et associez la CloudWatchReadOnlyAccesspolitique.

Pour lancer l'hôte bastion

Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
Choisissez Launch Instance.
Dans Name (Nom), saisissez un nom pour votre hôte bastion.
Conservez l'image et le type d'instance par défaut.
Pour Key pair (Paire de clés), choisissez votre paire de clés.
Sous Network settings (Paramètres réseau), effectuez les opérations suivantes :
1. Pour VPC, choisissez votreVPC.
2. Pour Subnet (Sous-réseau), sélectionnez votre sous-réseau public.
3. Pour Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), choisissez Enable (Activer).
4. Pour Firewall (Pare-feu), choisissez Select existing security group (Sélectionner un groupe de sécurité existant), puis choisissez le groupe de sécurité pour l'hôte bastion.
Choisissez Launch Instance.

Pour lancer l'instance

Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
Choisissez Launch Instance.
Pour Name (Nom), saisissez un nom pour votre instance.
Conservez l'image et le type d'instance par défaut.
Pour Key pair (Paire de clés), choisissez votre paire de clés.
Sous Network settings (Paramètres réseau), effectuez les opérations suivantes :
1. Pour VPC, choisissez votreVPC.
2. Pour Subnet (Sous-réseau), choisissez private subnet (Sous-réseau privé).
3. Pour Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), choisissez Disable (Désactiver).
4. Pour Firewall (Pare-feu), choisissez Select existing security group (Sélectionner un groupe de sécurité existant), puis choisissez le groupe de sécurité pour l'instance.
Développez Advanced Details (Détails avancés). IAMPar profil d'instance, choisissez votre profil d'IAMinstance.
Choisissez Launch instance (Lancer une instance).

Étape 3 : Tester CloudWatch l'accès

Utilisez la procédure suivante pour vérifier que l'instance ne peut pas y accéder CloudWatch. Pour ce faire, utilisez une AWS CLI commande en lecture seule pour. CloudWatch

Pour tester CloudWatch l'accès

Depuis votre ordinateur, ajoutez la paire de clés à l'SSHagent à l'aide de la commande suivante, où se key.pem trouve le nom de votre fichier .pem.
```
ssh-add ./key.pem
```
Si vous recevez un message d'erreur indiquant que les autorisations pour votre paire de clés sont trop ouvertes, exécutez la commande suivante, puis réessayez la commande précédente.
```
chmod 400 ./key.pem
```
Connexion à l'hôte bastion depuis votre ordinateur. Vous devez spécifier l'option -A, le nom d'utilisateur de l'instance (par exemple ec2-user) et l'adresse IP publique de l'hôte bastion.
```
ssh -A ec2-user@bastion-public-ip-address
```
Connexion à l'instance depuis l'hôte bastion. Vous devez spécifier le nom d'utilisateur de l'instance (par exemple ec2-user) et l'adresse IP privée de l'instance.
```
ssh ec2-user@instance-private-ip-address
```
Exécutez la commande CloudWatch list-metrics sur l'instance comme suit. Pour l'--regionoption, spécifiez la région dans laquelle vous avez créé leVPC.
```
aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
```
Après quelques minutes, la commande expire. Cela montre que vous ne pouvez pas y accéder CloudWatch depuis l'instance avec la VPC configuration actuelle.
```
Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/
```
Restez connecté à votre instance. Après avoir créé le VPC point de terminaison, vous allez réessayer cette list-metrics commande.

Étape 4 : créer un VPC point de terminaison auquel accéder CloudWatch

Utilisez la procédure suivante pour créer un VPC point de terminaison qui se connecte à CloudWatch.

Prérequis

Créez un groupe de sécurité pour le VPC point de terminaison qui autorise le trafic à CloudWatch. Par exemple, ajoutez une règle qui autorise le HTTPS trafic provenant du VPC CIDR bloc.

Pour créer un VPC point de terminaison pour CloudWatch

Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.
Dans le panneau de navigation, choisissez Points de terminaison.
Choisissez Créer un point de terminaison.
Sous Name (Nom), saisissez un nom pour le point de terminaison.
Pour Service category (Catégorie de service), choisissez Services AWS.
Pour Service, sélectionnez com.amazonaws. region.surveillance.
Pour VPC, sélectionnez votreVPC.
Pour Subnets (Sous-réseaux), sélectionnez la zone de disponibilité puis le sous-réseau privé.
Pour Groupe de sécurité, sélectionnez le groupe de sécurité pour le VPC point de terminaison.
Pour Policy, sélectionnez Accès complet pour autoriser toutes les opérations effectuées par tous les principaux sur toutes les ressources du VPC point de terminaison.
(Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.
Choisissez Créer un point de terminaison. Le statut initial est Pending (En attente). Avant de passer à l'étape suivante, attendez que le statut soit Disponible. Cette opération peut prendre quelques minutes.

Étape 5 : tester le VPC point de terminaison

Vérifiez que le VPC point de terminaison envoie des demandes depuis votre instance à CloudWatch.

Pour tester le VPC point de terminaison

Exécutez la commande suivante sur votre instance. Pour l'--regionoption, spécifiez la région dans laquelle vous avez créé le VPC point de terminaison.


aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1

Si vous obtenez une réponse, même une réponse avec des résultats vides, vous êtes connecté à CloudWatch l'utilisation de AWS PrivateLink.

Si un UnauthorizedOperation message d'erreur s'affiche, assurez-vous que l'instance possède un IAM rôle autorisant l'accès à CloudWatch.

Si le délai de la demande expire, vérifiez les points suivants :

Le groupe de sécurité du point de terminaison autorise le trafic à CloudWatch.
L'--regionoption indique la région dans laquelle vous avez créé le VPC point de terminaison.

Étape 6 : Nettoyage

Si vous n'avez plus besoin de l'hôte bastion et de l'instance que vous avez créés pour ce didacticiel, vous pouvez y mettre fin.

Pour résilier les instances

Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.
Dans le panneau de navigation, choisissez Instances.
Sélectionnez les deux instances de test, choisissez Instance state) (État de l'instance, Terminate instance (Résilier l'instance).
Lorsque vous êtes invité à confirmer, choisissez Terminate (Mettre fin).

Si vous n'avez plus besoin du VPC point de terminaison, vous pouvez le supprimer.

Pour supprimer le point de VPC terminaison

Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.
Dans le panneau de navigation, choisissez Points de terminaison.
Sélectionnez le VPC point de terminaison.
Choisissez Actions, puis Supprimer les VPC points de terminaison.
Lorsque vous êtes invité à confirmer, entrez delete, puis choisissez Delete (Supprimer).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Concepts

Accès à Services AWS