Fase 1: creazione di un VPC con sottoreti Fase 2: avvio delle istanze Fase 3: Verifica CloudWatch l'accesso Fase 4: Creare un endpoint VPC a cui accedere CloudWatch Fase 5: test dell'endpoint VPC Fase 6: pulizia

Inizia con AWS PrivateLink

Questo tutorial dimostra come inviare una richiesta da un'istanza EC2 in una sottorete privata ad Amazon utilizzando. CloudWatch AWS PrivateLink

Il diagramma seguente fornisce una panoramica di questo scenario. Per connetterti dal tuo computer all'istanza nella sottorete privata, devi prima connetterti a un host bastione in una sottorete pubblica. Sia l'host bastione che l'istanza devono utilizzare la stessa coppia di chiavi. Poiché il file .pem per la chiave privata si trova sul computer e non sull'host bastione, utilizzerai l'inoltro delle chiavi SSH. Quindi, puoi connetterti all'istanza dall'host bastione senza specificare il file .pem nel comando ssh. Dopo aver configurato un endpoint VPC per CloudWatch, il traffico proveniente dall'istanza a cui è destinato CloudWatch viene risolto nell'interfaccia di rete dell'endpoint e quindi inviato all'utilizzo CloudWatch dell'endpoint VPC.

Un'istanza in una sottorete privata accede CloudWatch utilizzando un endpoint VPC.

A scopo di test, puoi utilizzare una singola zona di disponibilità. In produzione, ti consigliamo di utilizzare almeno due zone di disponibilità per assicurare una bassa latenza e una disponibilità elevata.

Attività

Fase 1: creazione di un VPC con sottoreti
Fase 2: avvio delle istanze
Fase 3: Verifica CloudWatch l'accesso
Fase 4: Creare un endpoint VPC a cui accedere CloudWatch
Fase 5: test dell'endpoint VPC
Fase 6: pulizia

Fase 1: creazione di un VPC con sottoreti

Utilizza la procedura seguente per creare un VPC con una sottorete pubblica e una sottorete privata.

Per creare il VPC

Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Seleziona Crea VPC.
Per Resources to create (Risorse da creare), scegli VPC and more (VPC e altro).
Per Name tag auto-generation (Generazione automatica di tag nome), immetti un nome per il VPC.
Per configurare le sottoreti, procedi come segue:
1. Per Number of Availability Zones (Numero di zone di disponibilità), scegli 1 o 2, a seconda delle tue esigenze.
2. Per Number of public subnets (Numero di sottoreti pubbliche), assicurati di avere una sottorete pubblica per zona di disponibilità.
3. Per Number of private subnets (Numero di sottoreti private), assicurati di avere una sottorete privata per ogni zona di disponibilità.
Seleziona Crea VPC.

Fase 2: avvio delle istanze

Utilizzando il VPC creato nella fase precedente, avvia l'host bastione nella sottorete pubblica e l'istanza nella sottorete privata.

Prerequisiti

Crea una coppia di chiavi utilizzando il formato .pem. Quando avvii sia l'host bastione che l'istanza devi scegliere questa coppia di chiavi.
Crea un gruppo di sicurezza per l'host bastione che consenta il traffico SSH in entrata dal blocco CIDR per il tuo computer.
Crea un gruppo di sicurezza per l'istanza che consenta il traffico SSH in entrata dal gruppo di sicurezza per l'host bastione.
Crea un profilo di istanza IAM e allega la policy di accesso. CloudWatch ReadOnly

Per avviare l'host bastione

Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
Scegliere Launch Instance (Avvia istanza).
Per Name (Nome) immetti un nome per l'host bastione.
Mantieni l'immagine e il tipo di istanza predefiniti.
In Key pair (Coppia di chiavi), seleziona quella desiderata.
In Network settings (Impostazioni di rete) effettua le seguenti operazioni:
1. In VPC, seleziona il VPC.
2. In Subnet (Sottorete), seleziona la sottorete pubblica.
3. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegli Enable (Abilita).
4. Per Firewall, scegli Select existing security group (Seleziona gruppo di sicurezza esistente), quindi scegli il gruppo di sicurezza per l'host bastione.
Scegliere Launch Instance (Avvia istanza).

Per avviare l'istanza

Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
Scegliere Launch Instance (Avvia istanza).
Per Name (Nome), inserisci un nome per l'istanza.
Mantieni l'immagine e il tipo di istanza predefiniti.
In Key pair (Coppia di chiavi), seleziona quella desiderata.
In Network settings (Impostazioni di rete) effettua le seguenti operazioni:
1. In VPC, seleziona il VPC.
2. In Subnet (Sottorete), scegli la sottorete privata.
3. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegli Disable (Disabilita).
4. Per Firewall, scegli Select existing security group (Seleziona gruppo di sicurezza esistente), quindi scegli il gruppo di sicurezza per l'istanza.
Espandi Advanced details (Dettagli avanzati). Per IAM instance profile (Profilo dell'istanza IAM), scegli il profilo dell'istanza IAM.
Scegliere Launch Instance (Avvia istanza).

Fase 3: Verifica CloudWatch l'accesso

Utilizza la procedura seguente per confermare che l'istanza non può accedere CloudWatch. Lo farai utilizzando un AWS CLI comando di sola lettura per. CloudWatch

Per testare l'accesso CloudWatch

Dal computer, aggiungi la coppia di chiavi all'agente SSH tramite il seguente comando, dove key.pem è il nome del tuo file .pem.
```
ssh-add ./key.pem
```
Se ricevi un messaggio di errore che indica che le autorizzazioni per la coppia di chiavi sono troppo aperte, esegui il comando seguente e quindi riprova il comando precedente.
```
chmod 400 ./key.pem
```
Connettiti all'host bastione dal computer. Devi specificare l'opzione -A, il nome utente dell'istanza (ad esempio ec2-user) e l'indirizzo IP pubblico dell'host bastione.
```
ssh -A ec2-user@bastion-public-ip-address
```
Connettiti all'istanza dall'host bastione. È necessario specificare il nome utente dell'istanza (ad esempio ec2-user) e l'indirizzo IP privato dell'istanza.
```
ssh ec2-user@instance-private-ip-address
```
Eseguite il comando CloudWatch list-metrics sull'istanza come segue. Per l'opzione --region, specifica la regione in cui hai creato il VPC.
```
aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
```
Dopo alcuni minuti, il comando scade. Ciò dimostra che non è possibile accedere CloudWatch dall'istanza con la configurazione VPC corrente.
```
Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/
```
Mantieni la connessione all'istanza. Dopo aver creato l'endpoint VPC, prova di nuovo questo comando list-metrics.

Fase 4: Creare un endpoint VPC a cui accedere CloudWatch

Utilizzare la procedura seguente per creare un endpoint VPC a cui connettersi. CloudWatch

Prerequisito

Crea un gruppo di sicurezza per l'endpoint VPC che consenta il traffico di. CloudWatch Ad esempio, aggiungi una regola che consenta il traffico HTTPS dal blocco CIDR del VPC.

Per creare un endpoint VPC per CloudWatch

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona Crea endpoint.
Per Name tag (Tag nome) immetti un nome per l'endpoint.
Per Service category (Categoria servizio), scegli Servizi AWS.
Per Service (Servizio), seleziona com.amazonaws.region.monitoring.
In VPC, seleziona il tuo VPC.
In Subnets (Sottoreti), seleziona la zona di disponibilità e quindi seleziona la sottorete privata.
In Security group (Gruppo di sicurezza), seleziona il gruppo di sicurezza per l'endpoint VPC.
Per Policy, seleziona Full access (Accesso completo) per consentire tutte le operazioni da parte di tutti i principali su tutte le risorse dell'endpoint VPC.
(Facoltativo) Per aggiungere un tag, scegliere Add new tag (Aggiungi nuovo tag) e immettere la chiave e il valore del tag.
Seleziona Crea endpoint. Lo stato iniziale è Pending (In sospeso). Prima di passare alla fase successiva, attendi che lo stato sia Available (Disponibile). Ciò può richiedere alcuni minuti.

Fase 5: test dell'endpoint VPC

Verifica che l'endpoint VPC stia inviando richieste dalla tua istanza a. CloudWatch

Per testare l'endpoint VPC

Eseguire il seguente comando sull'istanza. Per l'opzione --region, specifica la regione in cui hai creato l'endpoint VPC.


aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1

Se ricevi una risposta, anche se con risultati vuoti, sei connesso all' CloudWatch utilizzo. AWS PrivateLink

Se ricevi un UnauthorizedOperation errore, assicurati che l'istanza abbia un ruolo IAM che consenta l'accesso a CloudWatch.

Se la richiesta scade, verifica quanto segue:

Il gruppo di sicurezza per l'endpoint consente al CloudWatch traffico di.
L'opzione --region specifica la regione in cui è stato creato l'endpoint VPC.

Fase 6: pulizia

Se non hai più bisogno dell'host bastione e dell'istanza creati per questo tutorial, puoi terminarli.

Per terminare le istanze

Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
Nel riquadro di navigazione, seleziona Istanze.
Seleziona l'istanza e scegli Instance state (Stato istanza), Terminate instance (Termina istanza).
Quando viene richiesta la conferma, seleziona Terminate (Termina).

Se un endpoint VPC non è più necessario, puoi eliminarlo.

Per eliminare l'endpoint VPC

Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.
Nel pannello di navigazione, seleziona Endpoints (Endpoint).
Seleziona l'endpoint VPC.
Seleziona Actions (Operazioni), Delete VPC endpoints (Eliminazione di endpoint VPC).
Quando viene richiesta la conferma, immettere delete e quindi scegliere Elimina.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Concetti

Accesso Servizi AWS