Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memulai dengan AWS PrivateLink
Tutorial ini menunjukkan cara mengirim permintaan dari instans EC2 di subnet pribadi ke Amazon menggunakan. CloudWatch AWS PrivateLink
Diagram berikut memberikan gambaran umum tentang skenario ini. Untuk terhubung dari komputer Anda ke instance di subnet pribadi, pertama-tama Anda akan terhubung ke host bastion di subnet publik. Baik host bastion dan instance harus menggunakan key pair yang sama. Karena .pem file untuk kunci pribadi ada di komputer Anda, bukan host bastion, Anda akan menggunakan penerusan kunci SSH. Kemudian, Anda dapat terhubung ke instance dari host bastion tanpa menentukan .pem file dalam perintah. ssh Setelah Anda menyiapkan titik akhir VPC CloudWatch, lalu lintas dari instance yang ditakdirkan akan diselesaikan ke antarmuka jaringan titik akhir dan kemudian dikirim ke menggunakan CloudWatch titik akhir VPC. CloudWatch
Untuk tujuan pengujian, Anda dapat menggunakan Availability Zone tunggal. Dalam produksi, kami menyarankan Anda menggunakan setidaknya dua Availability Zone untuk latensi rendah dan ketersediaan tinggi.
Tugas
Langkah 1: Buat VPC dengan subnet
Gunakan prosedur berikut untuk membuat VPC dengan subnet publik dan subnet pribadi.
Untuk membuat VPC
-
Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/
. -
Pilih Buat VPC.
-
Agar Sumber Daya dapat dibuat, pilih VPC dan lainnya.
-
Untuk Pembuatan otomatis tanda nama, masukkan nama untuk VPC.
-
Untuk mengkonfigurasi subnet, lakukan hal berikut:
-
Untuk Jumlah Availability Zone, pilih 1 atau 2, tergantung kebutuhan Anda.
-
Untuk Jumlah subnet publik, pastikan Anda memiliki satu subnet publik per Availability Zone.
-
Untuk Jumlah subnet pribadi, pastikan Anda memiliki satu subnet pribadi per Availability Zone.
-
-
Pilih Buat VPC.
Langkah 2: Luncurkan instance
Menggunakan VPC yang Anda buat pada langkah sebelumnya, luncurkan host bastion di subnet publik dan instance di subnet pribadi.
Prasyarat
Buat key pair menggunakan format.pem. Anda harus memilih key pair ini saat meluncurkan host bastion dan instance.
Buat grup keamanan untuk host bastion yang memungkinkan lalu lintas SSH masuk dari blok CIDR untuk komputer Anda.
Buat grup keamanan untuk instance yang memungkinkan lalu lintas SSH masuk dari grup keamanan untuk host bastion.
Buat profil instans IAM dan lampirkan kebijakan CloudWatchReadOnlyAccess.
Untuk meluncurkan host benteng
-
Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/
. -
Pilih Luncurkan instans.
-
Untuk Nama, masukkan nama untuk host benteng Anda.
-
Pertahankan gambar default dan tipe instance.
-
Untuk Key pair, pilih key pair Anda.
-
Untuk pengaturan Jaringan, lakukan hal berikut:
-
Untuk VPC, pilih VPC Anda.
-
Untuk Subnet, pilih subnet publik.
-
Untuk Auto-assign IP publik, pilih Aktifkan.
-
Untuk Firewall, pilih Pilih grup keamanan yang ada dan kemudian pilih grup keamanan untuk host bastion.
-
-
Pilih Luncurkan instans.
Untuk meluncurkan instance
-
Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/
. -
Pilih Luncurkan instans.
-
Untuk Nama, masukkan nama untuk instance Anda.
-
Pertahankan gambar default dan tipe instance.
-
Untuk Key pair, pilih key pair Anda.
-
Untuk pengaturan Jaringan, lakukan hal berikut:
-
Untuk VPC, pilih VPC Anda.
-
Untuk Subnet, pilih subnet pribadi.
-
Untuk Auto-assign IP publik, pilih Nonaktifkan.
-
Untuk Firewall, pilih Pilih grup keamanan yang ada dan kemudian pilih grup keamanan untuk instance.
-
-
Perluas Detail lanjutan. Untuk profil instans IAM, pilih profil instans IAM Anda.
-
Pilih Luncurkan instans.
Langkah 3: Uji CloudWatch akses
Gunakan prosedur berikut untuk mengonfirmasi bahwa instans tidak dapat mengakses CloudWatch. Anda akan melakukannya menggunakan AWS CLI perintah read-only untuk. CloudWatch
Untuk menguji CloudWatch akses
-
Dari komputer Anda, tambahkan key pair ke agen SSH menggunakan perintah berikut, di mana
key.pem adalah nama file.pemAnda.ssh-add ./key.pemJika Anda menerima kesalahan bahwa izin untuk key pair Anda terlalu terbuka, jalankan perintah berikut, lalu coba lagi perintah sebelumnya.
chmod 400 ./key.pem -
Connect ke host bastion dari komputer Anda. Anda harus menentukan
-Aopsi, nama pengguna instance (misalnya,ec2-user), dan alamat IP publik dari host bastion.ssh -Aec2-user@bastion-public-ip-address -
Connect ke instance dari host bastion. Anda harus menentukan nama pengguna instance (misalnya,
ec2-user) dan alamat IP pribadi dari instance tersebut.sshec2-user@instance-private-ip-address -
Jalankan perintah CloudWatch list-metrics pada instance sebagai berikut. Untuk
--regionopsi, tentukan Wilayah tempat Anda membuat VPC.aws cloudwatch list-metrics --namespace AWS/EC2 --regionus-east-1 -
Setelah beberapa menit, perintah habis. Ini menunjukkan bahwa Anda tidak dapat mengakses CloudWatch dari instance dengan konfigurasi VPC saat ini.
Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/ -
Tetap terhubung dengan instans Anda. Setelah Anda membuat titik akhir VPC, Anda akan mencoba perintah ini list-metrics lagi.
Langkah 4: Buat titik akhir VPC untuk mengakses CloudWatch
Gunakan prosedur berikut untuk membuat titik akhir VPC yang terhubung ke. CloudWatch
Prasyarat
Buat grup keamanan untuk titik akhir VPC yang memungkinkan lalu lintas ke. CloudWatch Misalnya, tambahkan aturan yang memungkinkan lalu lintas HTTPS dari blok CIDR VPC.
Untuk membuat titik akhir VPC untuk CloudWatch
Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/
. -
Di panel navigasi, pilih Titik Akhir.
-
Pilih Buat Titik Akhir.
-
Untuk tag Nama, masukkan nama untuk titik akhir.
-
Untuk Kategori layanan, pilih Layanan AWS.
-
Untuk Layanan, pilih com.amazonaws.
wilayah.monitoring. -
Untuk VPC, pilih VPC Anda.
-
Untuk Subnet, pilih Availability Zone dan kemudian pilih subnet pribadi.
-
Untuk grup Keamanan, pilih grup keamanan untuk titik akhir VPC.
-
Untuk Kebijakan, pilih Akses penuh untuk mengizinkan semua operasi oleh semua prinsipal di semua sumber daya melalui titik akhir VPC.
-
(Opsional) Untuk menambahkan tanda, pilih Tambahkan tanda baru dan masukkan kunci dan nilai tanda.
-
Pilih Buat titik akhir. Status awal adalah Tertunda. Sebelum Anda pergi ke langkah berikutnya, tunggu sampai statusnya Tersedia. Hal ini dapat menghabiskan waktu beberapa menit.
Langkah 5: Uji titik akhir VPC
Verifikasi bahwa titik akhir VPC mengirimkan permintaan dari instans Anda ke. CloudWatch
Untuk menguji titik akhir VPC
Jalankan perintah berikut di instans Anda. Untuk --region opsi, tentukan Wilayah tempat Anda membuat titik akhir VPC.
aws cloudwatch list-metrics --namespace AWS/EC2 --regionus-east-1
Jika Anda mendapatkan respons, bahkan respons dengan hasil kosong, maka Anda terhubung untuk CloudWatch menggunakan AWS PrivateLink.
Jika Anda mendapatkan UnauthorizedOperation kesalahan, pastikan instans memiliki peran IAM yang memungkinkan akses ke CloudWatch.
Jika waktu permintaan habis, verifikasi hal berikut:
Grup keamanan untuk titik akhir memungkinkan lalu lintas ke CloudWatch.
--regionOpsi menentukan Wilayah di mana Anda membuat titik akhir VPC.
Langkah 6: Bersihkan
Jika Anda tidak lagi membutuhkan host bastion dan instance yang Anda buat untuk tutorial ini, Anda dapat menghentikannya.
Untuk mengakhirkan instans
-
Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/
. -
Di panel navigasi, pilih Instans.
-
Pilih kedua instance pengujian dan pilih status Instance, Terminate instance.
-
Saat diminta konfirmasi, pilih Akhiri.
Jika Anda tidak lagi membutuhkan titik akhir VPC, Anda dapat menghapusnya.
Untuk menghapus titik akhir VPC
Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/
. -
Di panel navigasi, pilih Titik Akhir.
-
Pilih titik akhir VPC.
-
Pilih Tindakan, Hapus titik akhir VPC.
-
Saat diminta konfirmasi, masukkan
delete, lalu pilih Hapus.
