VPCPersyaratan Amazon untuk AWS Cloud9 Buat VPC plus VPC sumber daya lainnya Buat VPC satu-satunya Buat subnet untuk AWS Cloud9 Mengonfigurasi subnet sebagai publik atau subnet privat

VPCpengaturan untuk Lingkungan AWS Cloud9 Pengembangan

Setiap lingkungan AWS Cloud9 pengembangan yang terkait dengan Amazon Virtual Private Cloud (AmazonVPC) harus memenuhi VPC persyaratan tertentu. Lingkungan ini mencakup EC2 lingkungan, dan SSH lingkungan yang terkait dengan instance AWS Cloud komputasi yang berjalan di dalam file. VPC Contohnya termasuk instans Amazon EC2 dan Amazon Lightsail.

VPCPersyaratan Amazon untuk AWS Cloud9

Amazon VPC yang AWS Cloud9 menggunakan memerlukan pengaturan berikut. Jika Anda sudah terbiasa dengan persyaratan ini dan hanya ingin membuat yang kompatibelVPC, lewati sajaBuat VPC plus VPC sumber daya lainnya.

Gunakan daftar periksa berikut untuk mengonfirmasi bahwa VPC memenuhi semua persyaratan berikut:

VPCBisa sama Akun AWS dan Wilayah AWS sebagai lingkungan AWS Cloud9 pengembangan atau VPC dapat dibagi VPC dalam lingkungan yang berbeda Akun AWS dari lingkungan. Namun, VPC harus Wilayah AWS sama dengan lingkungan. Untuk informasi selengkapnya tentang Amazon VPCs Wilayah AWS, lihatLihat daftar VPCs untuk sebuah Wilayah AWS. Untuk petunjuk selengkapnya tentang membuat VPC Amazon AWS Cloud9, lihatBuat VPC plus VPC sumber daya lainnya. Untuk informasi tentang bekerja dengan Amazon bersamaVPCs, lihat Bekerja dengan dibagikan VPCs di Panduan VPC Pengguna Amazon.
A VPC harus memiliki subnet publik. Subnet bersifat publik jika lalu lintasnya diarahkan ke gateway internet. Untuk daftar subnet untuk AmazonVPC, lihatLihat daftar subnet untuk VPC.
Jika lingkungan Anda mengakses EC2 instance-nya secara langsungSSH, instance dapat diluncurkan ke subnet publik saja. Untuk informasi tentang mengonfirmasi apakah subnet bersifat publik, lihatMengonfirmasi apakah subnet bersifat publik.
Jika Anda mengakses instans EC2Amazon tanpa masuk menggunakan Systems Manager, instans dapat diluncurkan ke subnet publik atau pribadi.
Jika Anda menggunakan subnet publik, lampirkan gateway internet ke. VPC Ini begitu AWS Systems Manager Agent (SSM Agent) misalnya dapat terhubung ke Systems Manager.
Jika Anda menggunakan subnet pribadi, izinkan instance untuk subnet untuk berkomunikasi dengan internet dengan menghosting NAT gateway di subnet publik. Untuk informasi selengkapnya tentang melihat atau mengubah setelan untuk gateway internet, lihat Melihat atau mengubah pengaturan untuk gateway internet
Subnet publik harus memiliki tabel rute dengan seperangkat rute minimum. Untuk mempelajari cara mengonfirmasi apakah subnet memiliki tabel rute, lihatMengonfirmasi apakah subnet memiliki tabel rute. Untuk informasi tentang cara membuat tabel rute, lihatMembuat tabel rute.
Grup keamanan terkait untuk VPC (atau untuk instance AWS Cloud komputasi, tergantung pada arsitektur Anda) harus mengizinkan set minimum lalu lintas masuk dan keluar. Untuk daftar grup keamanan AmazonVPC, lihatMelihat daftar grup keamanan untuk VPC. Untuk informasi selengkapnya tentang membuat grup keamanan di AmazonVPC, lihatMembuat grup keamanan di VPC.
Untuk lapisan keamanan tambahan, jika VPC memiliki jaringanACL, jaringan ACL harus memungkinkan set minimum lalu lintas masuk dan keluar. Untuk mengonfirmasi apakah Amazon VPC memiliki setidaknya satu jaringanACL, lihatKonfirmasikan apakah a VPC memiliki setidaknya satu jaringan ACL. Untuk informasi tentang membuat jaringanACL, lihatBuat jaringan ACL.
Jika lingkungan pengembangan Anda digunakan SSM untuk mengakses EC2 instance, pastikan instans tersebut diberi alamat IP publik oleh subnet publik yang diluncurkan. Untuk melakukannya, Anda harus mengaktifkan penetapan otomatis opsi alamat IP publik untuk subnet publik, dan mengaturnya ke. Yes Anda dapat mengaktifkan ini di subnet publik sebelum membuat AWS Cloud9 lingkungan dalam halaman pengaturan subnet. Untuk langkah-langkah yang terlibat dalam memodifikasi pengaturan IP penetapan otomatis di subnet publik, lihat Memodifikasi atribut IPv4 pengalamatan publik untuk subnet Anda di Panduan Pengguna Amazon. VPC Untuk informasi selengkapnya tentang mengonfigurasi subnet publik dan pribadi, lihat Mengonfigurasi subnet sebagai publik atau subnet privat

catatan

Untuk prosedur berikut, masuk ke AWS Management Console dan gunakan kredensi administrator untuk membuka konsol Amazon (https://console.aws.amazon.com/vpc) atau VPC konsol Amazon (/ec2). EC2 https://console.aws.amazon.com

Jika Anda menggunakan AWS CLI atau AWS CloudShell, kami sarankan Anda mengonfigurasi AWS CLI atau AWS CloudShell dengan kredensi untuk administrator di Anda. Akun AWS Jika Anda tidak dapat melakukan ini, tanyakan kepada Akun AWS administrator Anda.

Lihat daftar VPCs untuk sebuah Wilayah AWS

Untuk menggunakan VPC konsol Amazon, di bilah AWS navigasi, pilih Wilayah AWS yang AWS Cloud9 menciptakan lingkungan di. Kemudian, pilih Your VPCs di panel navigasi.

Untuk menggunakan AWS CLI atau AWS CloudShell, jalankan EC2 describe-vpcsperintah Amazon, misalnya, sebagai berikut.


aws ec2 describe-vpcs --output table --query 'Vpcs[*].VpcId' --region us-east-2

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang AWS Cloud9 menciptakan lingkungan di. Untuk menjalankan perintah sebelumnya di Windows, ganti tanda kutip tunggal ('') dengan tanda kutip ganda (“”). Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Output berisi daftar VPCIDs.

Lihat daftar subnet untuk VPC

Untuk menggunakan VPC konsol Amazon, pilih Your VPCs di panel navigasi. Perhatikan ID VPC di kolom VPCID. Kemudian pilih Subnet di panel navigasi, dan cari subnet yang berisi ID itu di kolom. VPC

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 describe-subnetsperintah Amazon, misalnya, sebagai berikut.


aws ec2 describe-subnets --output table --query 'Subnets[*].[SubnetId,VpcId]' --region us-east-2

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi subnet. Untuk menjalankan perintah sebelumnya di Windows, ganti tanda kutip tunggal ('') dengan tanda kutip ganda (“”). Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Dalam output, cari subnet yang cocok dengan VPC ID.

Mengonfirmasi apakah subnet bersifat publik

penting

Misalkan Anda meluncurkan EC2 instance lingkungan Anda ke subnet pribadi. Pastikan lalu lintas keluar diizinkan untuk contoh itu sehingga dapat terhubung ke SSM layanan. Untuk subnet pribadi, lalu lintas keluar biasanya dikonfigurasi melalui gateway atau VPC endpoint terjemahan alamat jaringan (NAT). (NATGateway membutuhkan subnet publik.)

Misalkan Anda memilih VPC titik akhir alih-alih NAT gateway untuk mengaksesSSM. Pembaruan otomatis dan patch keamanan untuk instans Anda mungkin tidak berfungsi jika bergantung pada akses internet. Anda dapat menggunakan aplikasi lain, seperti AWS Systems Manager Patch Manager, untuk mengelola pembaruan perangkat lunak apa pun yang mungkin diperlukan oleh lingkungan Anda. AWS Cloud9 Perangkat lunak akan diperbarui seperti biasa.

Untuk menggunakan VPC konsol Amazon, pilih Subnet di panel navigasi. Pilih kotak di sebelah subnet yang AWS Cloud9 ingin Anda gunakan. Pada tab Tabel Rute, jika ada entri di kolom Target yang dimulai dengan igw-, subnet adalah publik.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 describe-route-tablesperintah Amazon.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi subnet, dan ganti subnet-12a3456b dengan subnet ID. Untuk menjalankan perintah sebelumnya di Windows, ganti tanda kutip tunggal ('') dengan tanda kutip ganda (“”). Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Dalam output, jika ada setidaknya satu hasil yang dimulai dengan igw-, subnet adalah publik.

Dalam output, jika tidak ada hasil, tabel rute mungkin terkait dengan VPC bukan subnet. Untuk mengonfirmasi ini, jalankan EC2 describe-route-tablesperintah Amazon untuk yang VPC terkait dengan subnet alih-alih subnet itu sendiri, misalnya, sebagai berikut.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Routes[*].{GatewayIds:GatewayId}' --region us-east-1 --filters Name=vpc-id,Values=vpc-1234ab56

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisiVPC, dan ganti vpc-1234ab56 dengan ID. VPC Untuk menjalankan perintah sebelumnya di Windows, ganti tanda kutip tunggal ('') dengan tanda kutip ganda (“”). Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Dalam output, jika setidaknya ada satu hasil yang dimulai denganigw-, VPC berisi gateway internet.

Melihat atau mengubah pengaturan untuk gateway internet

Untuk menggunakan VPC konsol Amazon, pilih Gateway Internet di panel navigasi. Pilih kotak di samping gateway internet. Untuk melihat pengaturan, lihat setiap tab. Untuk mengubah pengaturan pada tab, memilih Edit jika berlaku, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atau aws-shell untuk melihat pengaturan, jalankan EC2 describe-internet-gatewaysperintah Amazon.


aws ec2 describe-internet-gateways --output table --region us-east-2 --internet-gateway-id igw-1234ab5c

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi gateway internet, dan ganti igw-1234ab5c dengan ID gateway internet. Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Membuat gateway internet baru

Untuk menggunakan VPC konsol Amazon, pilih Gateway Internet di panel navigasi. Memilih Buat gateway internet, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 create-internet-gatewayperintah Amazon.


aws ec2 create-internet-gateway --output text --query 'InternetGateway.InternetGatewayId' --region us-east-2

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi gateway internet baru. Untuk menjalankan perintah sebelumnya di Windows, ganti tanda kutip tunggal ('') dengan tanda kutip ganda (“”). Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Output berisi ID dari gateway internet baru.

Lampirkan gateway internet ke a VPC

Untuk menggunakan VPC konsol Amazon, pilih Gateway Internet di panel navigasi. Pilih kotak di samping gateway internet. Pilih Tindakan, Lampirkan VPC jika tersedia, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 attach-internet-gatewayperintah Amazon, misalnya, sebagai berikut.


aws ec2 attach-internet-gateway --region us-east-2 --internet-gateway-id igw-a1b2cdef --vpc-id vpc-1234ab56

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi gateway internet. Ganti igw-a1b2cdef dengan ID gateway internet. Dan ganti vpc-1234ab56 dengan VPC ID. Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Mengonfirmasi apakah subnet memiliki tabel rute

Untuk menggunakan VPC konsol Amazon, pilih Subnet di panel navigasi. Pilih kotak di sebelah subnet publik untuk VPC yang AWS Cloud9 ingin Anda gunakan. Pada tab Tabel rute, jika ada nilai untuk Tabel Rute, subnet publik memiliki tabel rute.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 describe-route-tablesperintah Amazon.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=association.subnet-id,Values=subnet-12a3456b

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi subnet publik, dan ganti subnet-12a3456b dengan ID subnet publik. Untuk menjalankan perintah sebelumnya di Windows, ganti tanda kutip tunggal ('') dengan tanda kutip ganda (“”). Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Jika ada nilai-nilai dalam output, subnet publik memiliki setidaknya satu tabel rute.

Dalam output, jika tidak ada hasil, tabel rute mungkin terkait dengan VPC bukan subnet. Untuk mengonfirmasi hal ini, jalankan EC2 describe-route-tablesperintah Amazon untuk subnet terkait VPC alih-alih subnet itu sendiri, misalnya, sebagai berikut.


aws ec2 describe-route-tables --output table --query 'RouteTables[*].Associations[*].{RouteTableIds:RouteTableId}' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Dalam output, jika setidaknya ada satu hasil, VPC memiliki setidaknya satu tabel rute.

Melampirkan tabel rute ke subnet

Untuk menggunakan VPC konsol Amazon, pilih Tabel Rute di panel navigasi. Pilih kotak di samping tabel rute yang ingin Anda lampirkan. Pada tab Asosiasi Subnet, memilih Edit, pilih kotak di samping subnet yang ingin Anda lampirkan, lalu memilih Simpan.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 associate-route-tableperintah Amazon, misalnya, sebagai berikut.


aws ec2 associate-route-table --region us-east-2 --subnet-id subnet-12a3456b --route-table-id rtb-ab12cde3

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi tabel rute. Ganti subnet-12a3456b dengan subnet ID. Dan ganti rtb-ab12cde3 dengan ID tabel rute. Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Membuat tabel rute

Untuk menggunakan VPC konsol Amazon, pilih Tabel Rute di panel navigasi. Memilih Buat Tabel Rute, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 create-route-tableperintah Amazon, misalnya, sebagai berikut.


aws ec2 create-route-table --output text --query 'RouteTable.RouteTableId' --region us-east-2 --vpc-id vpc-1234ab56

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi tabel rute baru, dan ganti vpc-1234ab56 dengan ID. VPC Untuk menjalankan perintah sebelumnya di Windows, ganti tanda kutip tunggal ('') dengan tanda kutip ganda (“”). Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Output berisi ID dari tabel rute baru.

Melihat atau mengubah pengaturan untuk tabel rute

Untuk menggunakan VPC konsol Amazon, pilih Tabel Rute di panel navigasi. Pilih kotak di samping tabel rute. Untuk melihat pengaturan, lihat setiap tab. Untuk mengubah pengaturan pada tab, memilih Edit, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atau aws-shell untuk melihat pengaturan, jalankan EC2 describe-route-tablesperintah Amazon, misalnya, sebagai berikut.


aws ec2 describe-route-tables --output table --region us-east-2 --route-table-ids rtb-ab12cde3

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi tabel rute, dan ganti rtb-ab12cde3 dengan ID tabel rute. Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Pengaturan tabel rute minimum yang disarankan untuk AWS Cloud9

Tujuan	Target	Status	Disebarkan
CIDR-BLOCK	lokal	Aktif	Tidak
0.0.0.0/0	`igw-INTERNET-GATEWAY-ID`	Aktif	Tidak

Dalam pengaturan ini, CIDR-BLOCK adalah CIDR blok untuk subnet, dan igw-INTERNET-GATEWAY-ID merupakan ID dari gateway internet yang kompatibel.

Melihat daftar grup keamanan untuk VPC

Untuk menggunakan VPC konsol Amazon, pilih Grup Keamanan di panel navigasi. Di kotak Cari Grup Keamanan, masukkan VPC ID atau nama, lalu tekanEnter. Grup keamanan untuk itu VPC muncul dalam daftar hasil pencarian.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 describe-security-groupsperintah Amazon.


aws ec2 describe-security-groups --output table --query 'SecurityGroups[*].GroupId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Output berisi daftar grup keamanan IDs untuk ituVPC.

Melihat daftar grup keamanan untuk instance AWS Cloud komputasi

Untuk menggunakan EC2 konsol Amazon, perluas Instans di panel navigasi, lalu pilih Instans. Dalam daftar instans, memilih kotak di samping instans. Grup keamanan untuk instans itu muncul di tab Deskripsi di sebelah Grup keamanan.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 describe-security-groupsperintah Amazon, misalnya, sebagai berikut.


aws ec2 describe-instances --output table --query 'Reservations[*].Instances[*].NetworkInterfaces[*].Groups[*].GroupId' --region us-east-2 --instance-ids i-12a3c456d789e0123

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi instance, dan ganti i-12a3c456d789e0123 dengan ID instance. Untuk menjalankan perintah sebelumnya di Windows, ganti tanda kutip tunggal ('') dengan tanda kutip ganda (“”). Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Output berisi daftar grup keamanan IDs untuk contoh itu.

Melihat atau mengubah setelan untuk grup keamanan di VPC

Untuk menggunakan VPC konsol Amazon, pilih Grup Keamanan di panel navigasi. Pilih kotak centang di samping grup keamanan. Untuk melihat pengaturan, lihat setiap tab. Untuk mengubah pengaturan pada tab, memilih Edit jika berlaku, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atau aws-shell untuk melihat pengaturan, jalankan EC2 describe-security-groupsperintah Amazon, misalnya, sebagai berikut.


aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi instance, dan ganti sg-12a3b456 dengan ID grup keamanan. Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Melihat atau mengubah setelan untuk grup keamanan instans AWS Cloud komputasi

Untuk menggunakan EC2 konsol Amazon, perluas Instans di panel navigasi, lalu pilih Instans. Dalam daftar instans, pilih kotak di samping instans. Di tab Deskripsi untuk, untuk Grup keamanan, memilih grup keamanan. Lihat masing-masing tab. Untuk mengubah pengaturan pada tab, memilih Edit jika berlaku, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atau aws-shell untuk melihat pengaturan, jalankan EC2 describe-security-groupsperintah Amazon, misalnya, sebagai berikut.


aws ec2 describe-security-groups --output table --region us-east-2 --group-ids sg-12a3b456

Pengaturan lalu lintas masuk dan keluar minimum untuk AWS Cloud9

penting

Grup keamanan IA untuk sebuah instance mungkin tidak memiliki aturan masuk. Jika ini terjadi, ini berarti tidak ada lalu lintas masuk yang berasal dari host lain ke instance yang diizinkan. Untuk informasi tentang menggunakan EC2 instance no-ingress, lihat. Mengakses instance no-ingress EC2 dengan AWS Systems Manager

Inbound: Semua alamat IP menggunakan SSH lebih dari port 22. Namun, Anda dapat membatasi alamat IP ini hanya untuk yang AWS Cloud9 menggunakan. Untuk informasi selengkapnya, lihat Rentang alamat SSH IP masuk untuk AWS Cloud9.

catatan
Untuk EC2 lingkungan yang dibuat pada atau setelah 31 Juli 2018, AWS Cloud9 menggunakan grup keamanan untuk membatasi alamat IP masuk menggunakan SSH lebih dari port 22. Alamat IP masuk ini secara khusus hanya alamat yang AWS Cloud9 digunakan. Untuk informasi selengkapnya, lihat Rentang alamat SSH IP masuk untuk AWS Cloud9.
Inbound (ACLshanya jaringan): Untuk EC2 lingkungan dan lingkungan yang terkait dengan EC2 instans Amazon yang menjalankan Amazon Linux atau Ubuntu Server, semua alamat IP digunakan TCP melalui port 32768-61000. SSH Untuk informasi selengkapnya, dan untuk rentang port untuk jenis EC2 instans Amazon lainnya, lihat Port Ephemeral di VPCPanduan Pengguna Amazon.
Keluar: Semua sumber lalu lintas menggunakan protokol dan port.

Anda dapat mengatur perilaku ini pada tingkat grup keamanan. Untuk tingkat keamanan tambahan, Anda juga dapat menggunakan jaringanACL. Untuk informasi selengkapnya, lihat Perbandingan grup keamanan dan jaringan ACLs di Panduan VPC Pengguna Amazon.

Misalnya, untuk menambahkan aturan masuk dan keluar untuk grup keamanan, Anda dapat mengatur aturan-aturan tersebut sebagai berikut.

Aturan-aturan ke dalam
Jenis	Protokol	Rentang pelabuhan	Sumber
SSH(22)	TCP(6)	22	0.0.0.0 (Tapi lihat catatan berikut dan Rentang alamat SSH IP masuk untuk AWS Cloud9.)

catatan

Untuk EC2 lingkungan yang dibuat pada atau setelah 31 Juli 2018, AWS Cloud9 menambahkan aturan masuk untuk membatasi alamat IP masuk menggunakan SSH lebih dari port 22. Ini membatasi secara khusus hanya alamat yang AWS Cloud9 menggunakan. Untuk informasi selengkapnya, lihat Rentang alamat SSH IP masuk untuk AWS Cloud9.

Aturan-aturan ke luar
Jenis	Protokol	Rentang pelabuhan	Sumber
Semua Lalu lintas	ALL	ALL	0.0.0.0/0

Jika Anda juga memilih untuk menambahkan aturan masuk dan keluar ke jaringanACL, Anda dapat mengatur aturan tersebut sebagai berikut.

Aturan-aturan ke dalam
Aturan #	Jenis	Protokol	Rentang pelabuhan	Sumber	Izinkan/Tolak
100	SSH(22)	TCP(6)	22	0.0.0.0 (Tapi lihat Rentang alamat SSH IP masuk untuk AWS Cloud9.)	ALLOW
200	TCPAturan khusus	TCP(6)	32768-61000 (Untuk instans Amazon Linux dan Ubuntu Server. Untuk tipe instans lainnya, lihat Port Ephemeral.)	0.0.0.0/0	ALLOW
`*`	Semua Lalu lintas	ALL	ALL	0.0.0.0/0	DENY

Aturan-aturan ke luar
Aturan #	Jenis	Protokol	Rentang pelabuhan	Sumber	Izinkan/Tolak
100	Semua Lalu lintas	ALL	ALL	0.0.0.0/0	ALLOW
`*`	Semua Lalu lintas	ALL	ALL	0.0.0.0/0	DENY

Untuk informasi selengkapnya tentang grup keamanan dan jaringanACLs, lihat berikut ini di Panduan VPC Pengguna Amazon.

Membuat grup keamanan di VPC

Untuk menggunakan EC2 konsol Amazon VPC atau Amazon, lakukan salah satu tindakan berikut:

Di VPC konsol Amazon, pilih Grup Keamanan di panel navigasi. Memilih Buat Grup Keamanan, lalu ikuti petunjuk di layar.
Di EC2 konsol Amazon, perluas Jaringan & Keamanan di panel navigasi, lalu pilih Grup Keamanan. Memilih Buat Grup Keamanan, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 create-security-groupperintah Amazon, misalnya, sebagai berikut.


aws ec2 create-security-group --region us-east-2 --vpc-id vpc-1234ab56

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisiVPC, dan ganti vpc-1234ab56 dengan ID. VPC Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Konfirmasikan apakah a VPC memiliki setidaknya satu jaringan ACL

Untuk menggunakan VPC konsol Amazon, pilih Your VPCs di panel navigasi. Pilih kotak di sebelah VPC yang AWS Cloud9 ingin Anda gunakan. Pada tab Ringkasan, jika ada nilai untuk Jaringan ACL, VPC memiliki setidaknya satu jaringanACL.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 describe-network-aclsperintah Amazon.


aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Jika output berisi setidaknya satu entri dalam daftar, VPC memiliki setidaknya satu jaringanACL.

Melihat daftar jaringan ACLs untuk VPC

Untuk menggunakan VPC konsol Amazon, pilih Jaringan ACLs di panel navigasi. Di ACLs kotak Jaringan Pencarian, masukkan VPC ID atau nama, lalu tekanEnter. Jaringan ACLs untuk itu VPC muncul dalam daftar hasil pencarian.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 describe-network-aclsperintah Amazon.


aws ec2 describe-network-acls --output table --query 'NetworkAcls[*].Associations[*].NetworkAclId' --region us-east-2 --filters Name=vpc-id,Values=vpc-1234ab56

Output berisi daftar jaringan ACLs untuk ituVPC.

Melihat atau mengubah pengaturan untuk jaringan ACL

Untuk menggunakan VPC konsol Amazon, pilih Jaringan ACLs di panel navigasi. Pilih kotak di sebelah jaringanACL. Untuk melihat pengaturan, lihat setiap tab. Untuk mengubah pengaturan pada tab, memilih Edit, jika berlaku, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atau aws-shell untuk melihat pengaturan, jalankan EC2 describe-network-aclsperintah Amazon.


aws ec2 describe-network-acls --output table --region us-east-2 --network-acl-ids acl-1234ab56

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi jaringanACL, dan ganti acl-1234ab56 dengan ID jaringanACL. Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Buat jaringan ACL

Untuk menggunakan VPC konsol Amazon, pilih Jaringan ACLs di panel navigasi. Pilih Buat Jaringan ACL, lalu ikuti petunjuk di layar.

Untuk menggunakan AWS CLI atauaws-shell, jalankan EC2 create-network-aclperintah Amazon.


aws ec2 create-network-acl --region us-east-2 --vpc-id vpc-1234ab56

Pada perintah sebelumnya, ganti us-east-2 dengan Wilayah AWS yang berisi yang ingin Anda lampirkan ke jaringan ACL baru. VPC Juga, ganti vpc-1234ab56 dengan VPC ID. Untuk menjalankan perintah sebelumnya denganaws-shell, hilangkan. aws

Buat VPC plus VPC sumber daya lainnya

Gunakan prosedur berikut untuk membuat VPC dan VPC sumber daya tambahan yang Anda butuhkan untuk menjalankan aplikasi Anda. VPCsumber daya termasuk subnet, tabel rute, gateway internet, dan gateway. NAT

Untuk membuatVPC, subnet, dan VPC sumber daya lainnya menggunakan konsol

Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.
Di VPC dasbor, pilih Buat VPC.
Agar Sumber Daya dapat dibuat, pilih, VPCdan lainnya.
Untuk membuat tag nama untuk VPC sumber daya, pertahankan pembuatan otomatis tag Nama tetap dipilih. Untuk memberikan tag nama Anda sendiri untuk VPC sumber daya, bersihkan.
Untuk IPv4CIDRblok, Anda harus memasukkan rentang IPv4 alamat untukVPC. IPv4Rentang yang direkomendasikan untuk AWS Cloud9 adalah10.0.0.0/16.
(Opsional) Untuk mendukung IPv6 lalu lintas, pilih IPv6CIDRblokir, blok yang disediakan Amazon IPv6 CIDR.
Pilih opsi Sewa. Opsi ini menentukan apakah EC2 instance yang Anda luncurkan VPC akan berjalan pada perangkat keras yang dibagikan dengan perangkat keras lain Akun AWS atau pada perangkat keras yang didedikasikan untuk penggunaan Anda saja. Jika Anda memilih tenancy VPC to beDefault, EC2 instance yang diluncurkan ke dalamnya VPC akan menggunakan atribut tenancy yang ditentukan saat Anda meluncurkan instance. Untuk informasi selengkapnya, lihat Meluncurkan instance menggunakan parameter yang ditentukan di Panduan EC2 Pengguna Amazon.

Jika Anda memilih tenancy of the VPC to beDedicated, instans akan selalu berjalan sebagai Instans Khusus pada perangkat keras yang didedikasikan untuk Anda gunakan. Jika Anda menggunakan AWS Outposts, Anda Outpost membutuhkan konektivitas pribadi, dan Anda harus menggunakan Default penyewaan.
Untuk Jumlah Availability Zones (AZs), kami sarankan Anda menyediakan subnet setidaknya dalam dua Availability Zones untuk lingkungan produksi. Untuk memilih subnet Anda, perluas Kustomisasi AZs. AZs Jika tidak, Anda dapat membiarkan AWS memilih AZs untuk Anda.
Untuk mengkonfigurasi subnet Anda, pilih nilai untuk Jumlah subnet publik dan Jumlah subnet pribadi. Untuk memilih rentang alamat IP untuk subnet Anda, perluas blok Sesuaikan subnet CIDR. Jika tidak, biarkan AWS memilihnya untuk Anda.
(Opsional) Jika sumber daya dalam subnet pribadi memerlukan akses ke internet publik melaluiIPv4: Untuk NATgateway, pilih jumlah AZs di mana untuk membuat gateway. NAT Dalam produksi, kami menyarankan Anda menerapkan NAT gateway di setiap AZ dengan sumber daya yang memerlukan akses ke internet publik.
(Opsional) Jika sumber daya di subnet pribadi memerlukan akses ke internet publik melaluiIPv6: Untuk gateway internet khusus Egress, pilih Ya.
(Opsional) Untuk mengakses Amazon S3 langsung dari AndaVPC, pilih VPCtitik akhir, S3 Gateway. Ini menciptakan VPC titik akhir gateway untuk Amazon S3. Untuk informasi selengkapnya, lihat VPCtitik akhir Gateway di AWS PrivateLink Panduan.
(Opsional) Untuk DNSopsi, kedua opsi untuk resolusi nama domain diaktifkan secara default. Jika default tidak memenuhi kebutuhan Anda, Anda dapat menonaktifkan opsi ini.
(Opsional) Untuk menambahkan tag ke tag AndaVPC, perluas Tag tambahan, pilih Tambahkan tag baru, dan masukkan kunci tag dan nilai tag.
Di panel Pratinjau, Anda dapat memvisualisasikan hubungan antara VPC sumber daya yang Anda konfigurasi. Garis padat mewakili hubungan antar sumber daya. Garis putus-putus mewakili lalu lintas jaringan ke gateway, NAT gateway internet, dan titik akhir gateway. Setelah Anda membuatVPC, Anda dapat memvisualisasikan sumber daya dalam format Anda VPC dalam format ini kapan saja menggunakan tab Peta sumber daya.
Setelah Anda selesai mengonfigurasiVPC, pilih Buat VPC.

Buat VPC satu-satunya

Gunakan prosedur berikut untuk membuat VPC tanpa VPC sumber daya tambahan dengan menggunakan VPC konsol Amazon.

Untuk membuat VPC tanpa VPC sumber daya tambahan menggunakan konsol

Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.
Di VPC dasbor, pilih Buat VPC.
Agar Sumber Daya dapat dibuat, pilih VPCsaja.
(Opsional) Untuk tag Nama, masukkan nama untuk AndaVPC. Melakukan hal itu akan menciptakan tag dengan kunci Name dan nilai yang Anda tentukan.
Untuk IPv4CIDRblok, lakukan salah satu hal berikut:
- Pilih input IPv4 CIDR manual dan masukkan rentang IPv4 alamat untuk AndaVPC. IPv4Rentang yang direkomendasikan untuk AWS Cloud9 adalah10.0.0.0/16.
- Pilih IPv4CIDRblok IPAM yang dialokasikan, pilih kumpulan alamat Amazon VPC IP Address Manager (IPAM) IPv4 dan netmask. Ukuran CIDR blok dibatasi oleh aturan alokasi di IPAM kolam renang. IPAMadalah VPC fitur yang membantu Anda merencanakan, melacak, dan memantau alamat IP untuk AWS beban kerja Anda. Untuk informasi lebih lanjut, lihat Apa ituIPAM? di Panduan Administrator Amazon Virtual Private Cloud.
  
  Jika Anda menggunakan IPAM untuk mengelola alamat IP Anda, kami sarankan Anda memilih opsi ini. Jika tidak, CIDR blok yang Anda tentukan untuk Anda VPC mungkin tumpang tindih dengan IPAM CIDR alokasi.
(Opsional) Untuk membuat tumpukan gandaVPC, tentukan rentang IPv6 alamat untuk AndaVPC. Untuk IPv6CIDRblok, lakukan salah satu hal berikut:
- Pilih IPv6CIDRblok IPAM yang dialokasikan dan pilih kumpulan IPAM IPv6 alamat Anda. Ukuran CIDR blok dibatasi oleh aturan alokasi di IPAM kolam renang.
- Untuk meminta IPv6 CIDR blok dari kumpulan IPv6 alamat Amazon, pilih blok yang disediakan Amazon IPv6 CIDR. Untuk Grup Perbatasan Jaringan, pilih grup tempat AWS mengiklankan alamat IP. Amazon menyediakan ukuran IPv6 CIDR blok tetap/56.
- Pilih IPv6CIDRdimiliki oleh saya untuk menggunakan IPv6 CIDR blok yang Anda bawa untuk AWS menggunakan membawa alamat IP Anda sendiri (BYOIP). Untuk Pool, pilih kumpulan IPv6 alamat untuk mengalokasikan IPv6 CIDR blok.
(Opsional) Pilih opsi Sewa. Opsi ini menentukan apakah EC2 instance yang Anda luncurkan VPC akan berjalan pada perangkat keras yang dibagikan dengan perangkat keras lain Akun AWS atau pada perangkat keras yang didedikasikan untuk penggunaan Anda saja. Jika Anda memilih tenancy VPC to beDefault, EC2 instance yang diluncurkan ke dalam ini VPC akan menggunakan atribut tenancy yang ditentukan saat Anda meluncurkan instance. Untuk informasi selengkapnya, lihat Meluncurkan instance menggunakan parameter yang ditentukan di Panduan EC2 Pengguna Amazon.

Jika Anda memilih tenancy of the VPC to beDedicated, instans akan selalu berjalan sebagai Instans Khusus pada perangkat keras yang didedikasikan untuk Anda gunakan. Jika Anda menggunakan AWS Outposts, Anda Outpost membutuhkan konektivitas pribadi, dan Anda harus menggunakan Default penyewaan.
(Opsional) Untuk menambahkan tag ke AndaVPC, pilih Tambahkan tag baru dan masukkan kunci tag dan nilai tag.
Pilih Buat VPC.
Setelah Anda membuatVPC, Anda dapat menambahkan subnet.

Buat subnet untuk AWS Cloud9

Anda dapat menggunakan VPC konsol Amazon untuk membuat subnet untuk VPC yang kompatibel dengannya AWS Cloud9. Apakah Anda dapat membuat subnet pribadi atau publik untuk EC2 instans Anda tergantung pada bagaimana lingkungan Anda terhubung dengannya:

Akses langsung melaluiSSH: subnet publik saja
Akses melalui Systems Manager: subnet publik atau subnet privat

Opsi untuk meluncurkan lingkungan Anda EC2 ke subnet pribadi hanya tersedia jika Anda membuat EC2 lingkungan “no-ingress” menggunakan konsol, baris perintah, atau. AWS CloudFormation

Anda mengikuti Langkah yang sama untuk membuat subnet yang dapat dibuat publik atau privat. Jika subnet dikaitkan dengan tabel rute yang memiliki rute ke gateway internet, itu menjadi subnet publik. Jika subnet dikaitkan dengan tabel rute yang tidak memiliki rute ke gateway internet, itu menjadi subnet publik. Untuk informasi selengkapnya, silakan lihat Mengonfigurasi subnet sebagai publik atau subnet privat

Jika Anda mengikuti prosedur sebelumnya untuk membuat VPC for AWS Cloud9, Anda juga tidak perlu mengikuti prosedur ini. Ini karena VPC wizard Create new membuat subnet untuk Anda secara otomatis.

penting

Akun AWS Harus sudah memiliki yang kompatibel VPC dalam hal yang sama Wilayah AWS untuk lingkungan. Untuk informasi lebih lanjut, lihat VPC persyaratan diVPCPersyaratan Amazon untuk AWS Cloud9.
Untuk prosedur ini, kami menyarankan Anda masuk ke AWS Management Console dan membuka VPC konsol Amazon menggunakan kredensi untuk IAM administrator di Anda. Akun AWS Jika Anda tidak dapat melakukan ini, tanyakan kepada Akun AWS administrator Anda.
Beberapa organisasi mungkin tidak mengizinkan Anda membuat subnet sendiri. Jika Anda tidak dapat membuat subnet, periksa dengan Akun AWS administrator atau administrator jaringan Anda.

Untuk membuat subnet

Jika VPC konsol Amazon belum terbuka, masuk ke AWS Management Console dan buka VPC konsol Amazon di https://console.aws.amazon.com/vpc.
Di bilah navigasi, jika Wilayah AWS tidak sama dengan Wilayah untuk lingkungan, pilih Wilayah yang benar.
Memilih Subnet di panel navigasi, jika halaman Subnet belum ditampilkan.
Pilih Buat Subnet
Di kotak dialog Buat Subnet, untuk Tanda nama, memasukkan nama untuk subnet.
Untuk VPC, pilih VPC untuk mengaitkan subnet dengan.
Untuk Availability Zone, pilih Availability Zone dalam subnet yang akan digunakan, atau pilih No Preference untuk membiarkan AWS memilih Availability Zone untuk Anda. Wilayah AWS
Untuk IPv4CIDRblok, masukkan rentang alamat IP untuk subnet yang akan digunakan, dalam CIDR format. Rentang alamat IP ini harus merupakan bagian dari alamat IP di file. VPC

Untuk informasi tentang CIDR blok, lihat VPCdan ukuran subnet di VPCPanduan Pengguna Amazon. Lihat juga 3.1. Konsep Dasar dan Notasi Awalan di RFC 4632 atau IPv4CIDRblok di Wikipedia.

Setelah Anda membuat subnet, mengonfigurasi itu sebagai subnet publik atau subnet privat.

Mengonfigurasi subnet sebagai publik atau subnet privat

Setelah Anda membuat subnet, Anda dapat membuatnya publik atau privat dengan menentukan bagaimana ia berkomunikasi dengan internet.

Subnet publik memiliki alamat IP publik dan gateway internet (IGW) dilampirkan padanya yang memungkinkan komunikasi antara instance untuk subnet dan internet dan lainnya. Layanan AWS

Sebuah contoh dalam subnet pribadi memiliki alamat IP pribadi dan gateway terjemahan alamat jaringan (NAT) digunakan untuk mengirim lalu lintas bolak-balik antara instance untuk subnet dan internet dan lainnya. Layanan AWS NATGateway harus di-host di subnet publik.

Public subnets

catatan

Bahkan jika instance untuk lingkungan Anda diluncurkan di subnet pribadi, Anda VPC harus menampilkan setidaknya satu subnet publik. Ini karena NAT gateway yang meneruskan lalu lintas ke dan dari instance harus di-host di subnet publik.

Mengkonfigurasi subnet sebagai publik melibatkan melampirkan gateway internet (IGW) ke sana, mengonfigurasi tabel rute untuk menentukan rute ke sanaIGW, dan menentukan pengaturan dalam grup keamanan untuk mengontrol lalu lintas masuk dan keluar.

Bimbingan untuk melaksanakan tugas-tugas ini tersedia di Buat VPC plus VPC sumber daya lainnya.

penting

Jika lingkungan pengembangan Anda digunakan SSM untuk mengakses EC2 instance, pastikan instans tersebut diberi alamat IP publik oleh subnet publik yang diluncurkan. Untuk melakukannya, Anda harus mengaktifkan penetapan otomatis opsi alamat IP publik untuk subnet publik, dan mengaturnya ke. Yes Anda dapat mengaktifkan ini di subnet publik sebelum membuat AWS Cloud9 lingkungan dalam halaman pengaturan subnet. Untuk langkah-langkah yang terlibat dalam memodifikasi pengaturan IP penetapan otomatis di subnet publik, lihat Memodifikasi atribut IPv4 pengalamatan publik untuk subnet Anda di Panduan Pengguna Amazon. VPC Untuk informasi selengkapnya tentang mengonfigurasi subnet publik dan pribadi, lihat. Mengonfigurasi subnet sebagai publik atau subnet privat

Private subnets

Jika Anda membuat instans no-ingress yang diakses melalui Systems Manager, Anda dapat meluncurkannya ke subnet privat. Subnet pribadi tidak memiliki alamat IP publik. Jadi Anda memerlukan NAT gateway untuk memetakan alamat IP pribadi ke alamat publik untuk permintaan, dan Anda juga perlu memetakan alamat IP publik kembali ke alamat pribadi untuk tanggapan.

Awas

Anda dikenakan biaya untuk membuat dan menggunakan NAT gateway di akun Anda. NATGateway penggunaan per jam dan tarif pemrosesan data berlaku. EC2Biaya Amazon untuk transfer data juga berlaku. Untuk informasi selengkapnya, lihat VPCHarga Amazon.

Sebelum membuat dan mengonfigurasi NAT gateway, Anda harus melakukan hal berikut:

Buat VPC subnet publik untuk meng-host NAT gateway.
Menyediakan alamat IP Elastis yang dapat ditetapkan ke NAT gateway.
Untuk subnet pribadi, kosongkan kotak centang Enable auto-assign public IPv4 address sehingga instance yang diluncurkan ke dalamnya diberi alamat IP pribadi. Untuk informasi selengkapnya, lihat Alamat IP VPC di Panduan VPC Pengguna Amazon.

Untuk langkah-langkah dalam tugas ini, lihat Bekerja dengan NAT gateway di VPCPanduan Pengguna Amazon.

penting

Saat ini, jika EC2 instance lingkungan Anda diluncurkan ke subnet pribadi, Anda tidak dapat menggunakan kredensi sementara AWS terkelola untuk memungkinkan EC2 lingkungan mengakses Layanan AWS atas nama AWS entitas seperti pengguna. IAM

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

EC2Lingkungan dibandingkan dengan SSH lingkungan

SSHpersyaratan host lingkungan