Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esecuzione di uno stack in un VPC
Importante
Il AWS OpsWorks Stacks il servizio ha raggiunto la fine del ciclo di vita il 26 maggio 2024 ed è stato disattivato sia per i clienti nuovi che per quelli esistenti. Consigliamo vivamente ai clienti di migrare i propri carichi di lavoro verso altre soluzioni il prima possibile. Se hai domande sulla migrazione, contatta AWS Support Squadra su AWS Re:post o tramite
Puoi controllare l'accesso degli utenti alle istanze di uno stack creandolo in un cloud privato virtuale ()VPC. Ad esempio, supponi di non volere che gli utenti abbiano accesso diretto ai server applicazioni o ai database dello stack e richiedere invece che tutto il traffico pubblico venga incanalato attraverso un sistema di bilanciamento del carico elastico.
La procedura di base per eseguire uno stack in a è: VPC
-
Crea un file configurato in modo appropriatoVPC, utilizzando la VPC console Amazon o un API AWS CloudFormation modello.
-
Specificate l'VPCID quando create lo stack.
-
Avvio delle istanze dello stack nella sottorete appropriata.
Di seguito viene descritto brevemente come VPCs lavorare in AWS OpsWorks Pile.
Importante
Se utilizzi la funzionalità VPC Endpoint, tieni presente che ogni istanza dello stack deve essere in grado di completare le seguenti azioni da Amazon Simple Storage Service (Amazon S3):
-
Installazione dell'agente dell'istanza.
-
Installazione degli asset, come Ruby.
-
Caricamento dei log di esecuzione di Chef.
-
Recupero dei comandi dello stack.
Per permettere queste operazioni, devi assicurarti che le istanze dello stack abbiano accesso ai bucket seguenti, corrispondenti alla regione dello stack. In caso contrario, le operazioni precedenti non riusciranno.
Per Chef 12 Linux e Chef 12.2 Windows, i bucket sono i seguenti.
| Bucket di agenti | Bucket di asset | Bucket di log | DNASecchielli |
|---|---|---|---|
|
|
|
|
Per Chef 11.10 e versioni precedenti per Linux, i bucket sono i seguenti. Gli stack Chef 11.4 non sono supportati negli endpoint regionali al di fuori della regione Stati Uniti orientali (Virginia settentrionale).
| Bucket di agenti | Bucket di asset | Bucket di log | DNASecchielli |
|---|---|---|---|
|
|
|
|
Per ulteriori informazioni, consulta la pagina relativa agli endpoint VPC.
Nota
In AWS OpsWorks Per connetterti agli VPC endpoint abilitati, devi anche configurare il routing per il tuo IP NAT o per quello pubblico, come AWS OpsWorks L'agente Stacks richiede ancora l'accesso all'endpoint pubblico.
VPCNozioni di base
Per una discussione dettagliata diVPCs, consulta Amazon Virtual Private Cloud. In breve, a VPC è costituito da una o più sottoreti, ognuna delle quali contiene una o più istanze. A ogni sottorete è associata una tabella di routing che indirizza il traffico in uscita in base all'indirizzo IP di destinazione.
-
Per impostazione predefinita, le istanze all'interno di un VPC possono comunicare tra loro, indipendentemente dalla relativa sottorete. Tuttavia, le modifiche alle liste di controllo degli accessi alla rete (ACLs), alle politiche dei gruppi di sicurezza o l'utilizzo di indirizzi IP statici possono interrompere questa comunicazione.
-
Le sottoreti le cui istanze sono in grado di comunicare con Internet vengono definite sottoreti pubbliche.
-
Le sottoreti le cui istanze possono comunicare solo con altre istanze in Internet VPC e non possono comunicare direttamente con Internet vengono definite sottoreti private.
AWS OpsWorks Gli stack devono essere configurati in modo che ogni istanza dello stack, incluse le istanze nelle sottoreti private, abbia accesso ai seguenti endpoint: VPC
-
Uno dei AWS OpsWorks Gli endpoint del servizio Stacks sono elencati nella sezione «Region Support» di. Guida introduttiva a AWS OpsWorks Stacks
-
Uno dei seguenti endpoint di servizio di istanza, utilizzato da AWS OpsWorks Agente Stacks. L'agente viene eseguito sulle le istanze del cliente gestite per lo scambio dei dati con il servizio.
-
opsworks-instance-service.us-east-2.amazonaws.com
-
opsworks-instance-service.us-east-1.amazonaws.com
-
opsworks-instance-service.us-west-1.amazonaws.com
-
opsworks-instance-service.us-west-2.amazonaws.com
-
opsworks-instance-service.ap-south-1.amazonaws.com
-
opsworks-instance-service.ap-northeast-1.amazonaws.com
-
opsworks-instance-service.ap-northeast-2.amazonaws.com
-
opsworks-instance-service.ap-southeast-1.amazonaws.com
-
opsworks-instance-service.ap-sutheast-2.amazonaws.com
-
opsworks-instance-service.ca-central-1.amazonaws.com
-
opsworks-instance-service.eu-central-1.amazonaws.com
-
opsworks-instance-service.eu-west-1.amazonaws.com
-
opsworks-instance-service.eu-west-2.amazonaws.com
-
opsworks-instance-service.eu-west-3.amazonaws.com
-
-
Amazon S3
-
Qualsiasi repository di pacchetti da cui dipende il sistema operativo, ad esempio i repository Amazon Linux o Ubuntu Linux.
-
I repository della tua app e del libro di ricette personalizzato.
Esistono diversi modi per configurare a per fornire questa connettività. VPC Di seguito è riportato un semplice esempio di come è possibile configurare a VPC per un AWS OpsWorks Stack di server dell'app Stacks.
Questo VPC ha diversi componenti:
- Sottoreti
-
VPCHa due sottoreti, una pubblica e una privata.
-
La sottorete pubblica contiene un sistema di bilanciamento del carico e un dispositivo di traduzione degli indirizzi di rete (NAT), in grado di comunicare con indirizzi esterni e con le istanze nella sottorete privata.
-
La sottorete privata contiene i server delle applicazioni, che possono comunicare con il sistema di bilanciamento del carico NAT e con il sistema di bilanciamento del carico nella sottorete pubblica ma non possono comunicare direttamente con indirizzi esterni.
-
- Internet Gateway
-
Il gateway Internet consente alle istanze con indirizzi IP pubblici, come il sistema di bilanciamento del carico, di comunicare con indirizzi esterni a. VPC
- Sistema di bilanciamento del carico
-
Il sistema di bilanciamento del carico Elastic Load Balancing riceve il traffico in ingresso dagli utenti, lo distribuisce ai server applicazioni nella sottorete privata e restituisce le risposte agli utenti.
- NAT
-
Il dispositivo (NAT) fornisce ai server delle app un accesso limitato a Internet, che viene in genere utilizzato per scopi quali il download di aggiornamenti software da un archivio esterno. Tutti AWS OpsWorks Le istanze Stacks devono essere in grado di comunicare con AWS OpsWorks Stack e con i repository Linux appropriati. Un modo per gestire questo problema consiste nell'inserire un NAT dispositivo con un indirizzo IP elastico associato in una sottorete pubblica. È quindi possibile indirizzare il traffico in uscita dalle istanze nella sottorete privata tramite. NAT
Nota
Una singola NAT istanza crea un singolo punto di errore nel traffico in uscita della sottorete privata. Puoi migliorare l'affidabilità configurandola VPC con un paio di NAT istanze che si sostituiscono l'una all'altra in caso di guasto di una. Per ulteriori informazioni, consulta High Availability for Amazon VPC NAT Instances.
Puoi anche usare un NAT gateway. Per ulteriori informazioni, NATconsulta la Amazon VPC User Guide.
La VPC configurazione ottimale dipende dal AWS OpsWorks Le pile si accumulano. Di seguito sono riportati alcuni esempi di quando è possibile utilizzare determinate VPC configurazioni. Per esempi di altri VPC scenari, consulta Scenari per l'utilizzo di Amazon VPC.
- Utilizzo di un'istanza in una sottorete pubblica
-
Se disponi di uno stack a istanza singola senza risorse private associate, ad esempio un'istanza RDS Amazon che non dovrebbe essere accessibile pubblicamente, puoi crearne uno con VPC una sottorete pubblica e inserire l'istanza in quella sottorete. Se non utilizzi un'impostazione predefinitaVPC, devi fare in modo che il livello dell'istanza assegni un indirizzo IP elastico all'istanza. Per ulteriori informazioni, consulta OpsWorks Nozioni di base sui livelli.
- Utilizzo di risorse private
-
Se disponi di risorse che non dovrebbero essere accessibili pubblicamente, puoi crearne una VPC con una sottorete pubblica e una sottorete privata. Ad esempio, in un ambiente di scalabilità automatica con bilanciamento del carico, puoi inserire tutte le EC2 istanze Amazon nella sottorete privata e il sistema di bilanciamento del carico in una sottorete pubblica. In questo modo non è possibile accedere direttamente EC2 alle istanze Amazon da Internet; tutto il traffico in entrata deve essere instradato attraverso il sistema di bilanciamento del carico.
La sottorete privata isola le istanze dall'accesso EC2 diretto degli utenti di Amazon, ma devono comunque inviare richieste in uscita agli archivi di pacchetti Linux AWS appropriati. Per consentire tali richieste puoi, ad esempio, utilizzare un dispositivo di traduzione degli indirizzi di rete (NAT) con un proprio indirizzo IP elastico e quindi indirizzare il traffico in uscita delle istanze attraverso. NAT È possibile inserirlo NAT nella stessa sottorete pubblica del sistema di bilanciamento del carico, come illustrato nell'esempio precedente.
-
Se utilizzi un database di back-end come un'RDSistanza Amazon, puoi inserire tali istanze nella sottorete privata. Per RDS le istanze Amazon, devi specificare almeno due sottoreti diverse in zone di disponibilità diverse.
-
Se hai bisogno dell'accesso diretto alle istanze in una sottorete privata, ad esempio da utilizzare per accedere SSH a un'istanza, puoi inserire un bastion host nella sottorete pubblica che invia tramite proxy le richieste da Internet.
-
- Estendere la propria rete in AWS
-
Se desideri estendere la tua rete nel cloud e anche accedere direttamente a Internet dal tuoVPC, puoi creare un VPN gateway. Per ulteriori informazioni, vedere Scenario 3: VPC con sottoreti pubbliche e private e accesso all'hardware VPN.
Crea un file per un VPC AWS OpsWorks Pile, pila
Questa sezione mostra come creare un file per un VPC AWS OpsWorks Le pile si accumulano utilizzando un modello di esempio AWS CloudFormation. Puoi scaricare il modello nel OpsWorksVPCtemplatesfile.zip. Per ulteriori informazioni su come creare manualmente un file VPC simile a quello discusso in questo argomento, consulta Scenario 2: VPC con sottoreti pubbliche e private. Per informazioni su come configurare tabelle di routing, gruppi di sicurezza e così via, consulta il modello di esempio.
Nota
Per impostazione predefinita, AWS OpsWorks Stacks visualizza i nomi delle sottoreti concatenandone l'CIDRintervallo e la zona di disponibilità, ad esempio. 10.0.0.1/24 - us-east-1b Per rendere i nomi più leggibili, puoi creare un tag per ogni sottorete con Key (Chiave) impostato su Name e Value (Valore) impostato sul nome della sottorete. AWS OpsWorks Stacks aggiunge quindi il nome della sottorete al nome predefinito. Ad esempio, la sottorete privata dell'esempio seguente ha un tag con Nome impostato suPrivate, che viene visualizzato come. OpsWorks 10.0.0.1/24
us-east - 1b - Private
È possibile avviare un VPC modello utilizzando AWS CloudFormation console con pochi passaggi. La procedura seguente utilizza il modello di esempio per creare una regione VPC negli Stati Uniti orientali (Virginia settentrionale). Per istruzioni su come utilizzare il modello per creare un file VPC in altre regioni, consultate la nota che segue la procedura.
Per creare il VPC
-
Aprire AWS CloudFormation console
, seleziona la regione Stati Uniti orientali (Virginia settentrionale) e scegli Create Stack. -
Nella pagina Select Template (Seleziona modello), selezionare Upload a template to Amazon S3 (Carica un modello in Amazon S3). Cerca il
OpsWorksinVPC.templatefile scaricato nel OpsWorksVPCtemplatesfile.zip .Scegli Continua.
Puoi anche avviare questo stack aprendo AWS CloudFormation Sample Templates
, individuando il AWS OpsWorks VPCModello Stacks e scegliendo Launch Stack. -
Nella pagina Specify Parameters (Specifica parametri) accettare i valori predefiniti e scegliere Continue (Continua).
-
Nella pagina Aggiungi tag, crea un tag con Chiave impostata su
Namee Valore impostato sul VPC nome. Questo tag ti consentirà di identificare più facilmente il tuo VPC quando crei un AWS OpsWorks Le pile si accumulano. -
Scegliere Continue (Continua), quindi Close (Chiudi) per avviare lo stack.
Nota: è possibile crearli VPC in altre regioni utilizzando uno dei seguenti approcci.
-
Vai a Utilizzo dei modelli in diverse regioni
, scegli la regione appropriata, individua il AWS OpsWorks VPCModello Stacks, quindi scegli Launch Stack. -
Copia il file del modello sul tuo sistema, seleziona la regione appropriata nel AWS CloudFormation console
e utilizza l'opzione Carica un modello su Amazon S3 della procedura guidata Create Stack per caricare il modello dal tuo sistema.
Il modello di esempio include output che forniscono la sottorete e il VPC sistema di bilanciamento del carico necessari per creare IDs il AWS OpsWorks Le pile si accumulano. Puoi vederli selezionando la scheda Uscite nella parte inferiore del AWS CloudFormation finestra della console.
