As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplo: lançamento de um aplicativo Elastic Beanstalk em um com bastion hosts VPC
Esta seção explica como implantar um aplicativo do Elastic Beanstalk VPC dentro de um host usando um bastion host e por que você implementaria essa topologia.
Se suas EC2 instâncias da Amazon estiverem localizadas dentro de uma sub-rede privada, você não poderá se conectar a elas remotamente. Para se conectar às suas instâncias, configure os servidores bastion na sub-rede pública para atuarem como proxies. Por exemplo, você pode configurar encaminhadores de SSH portas ou RDP gateways na sub-rede pública para fazer proxy do tráfego que vai para seus servidores de banco de dados a partir de sua própria rede. Esta seção fornece um exemplo de como criar uma VPC com uma sub-rede pública e privada. As instâncias estão localizadas dentro da sub-rede privada, e o bastion host, o NAT gateway e o balanceador de carga estão localizados dentro da sub-rede pública. A infraestrutura terá aparência semelhante ao diagrama a seguir.
Para implantar um aplicativo do Elastic Beanstalk VPC dentro de um host usando um bastion host, conclua as etapas descritas nas subseções a seguir.
Etapas
Crie um VPC com uma sub-rede pública e privada
Complete todos os procedimentos em Público/privado VPC. Ao implantar o aplicativo, você deve especificar um par de EC2 chaves da Amazon para as instâncias para que você possa se conectar a elas remotamente. Para obter mais informações sobre como especificar o par de chaves da instância, consulte As EC2 instâncias da Amazon para seu ambiente Elastic Beanstalk.
Criar e configurar o grupo de segurança do bastion host
Crie um grupo de segurança para o Bastion Host e adicione regras que permitam tráfego de entrada da Internet e SSH tráfego de saída SSH para a sub-rede privada que contém as instâncias da Amazon. EC2
Para criar o security group do bastion host
Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Grupos de segurança.
-
Escolha Create Security Group.
-
Na caixa de diálogo Create Security Group (Criar grupo de segurança), informe o seguinte e escolha Yes, Create (Sim, criar).
- Name tag (Tag do nome) (opcional)
-
Informe uma tag de nome para o grupo de segurança.
- Group name
-
Informe o nome do grupo de segurança.
- Descrição
-
Informe uma descrição para o grupo de segurança.
- VPC
-
Selecione seuVPC.
O grupo de segurança é criado e exibido na página Security Groups (Grupos de segurança). Ele tem uma ID (por exemplo,
sg-xxxxxxxx
). Talvez você precise ativar a coluna de Group ID (ID de grupo) clicando em Show/Hide (Mostrar/ocultar) no canto superior direito da página.
Para configurar o security group do bastion host.
-
Na lista de security groups, marque a caixa de seleção do security group que acabou de criar para o bastion host.
-
Na guia Inbound Rules, escolha Edit.
-
Se necessário, escolha Add another rule.
-
Se o seu bastion host for uma instância Linux, em Tipo, selecione SSH.
Se o seu bastion host for uma instância do Windows, em Tipo, selecione RDP.
-
Insira o CIDR intervalo de origem desejado no campo Fonte e escolha Salvar.
-
Na guia Inbound Rules (Regras de saída), escolha Edit (Editar).
-
Se necessário, escolha Add another rule.
-
Em Type (Tipo), selecione o tipo de dados que você especificou para a regra de entrada.
-
No campo Origem, insira o CIDR intervalo da sub-rede dos hosts na sub-rede privada VPC do.
Para encontrá-lo:
Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/
. -
No painel de navegação, escolha Sub-redes.
-
Observe o valor abaixo IPv4CIDRpara cada zona de disponibilidade na qual você tem hosts aos quais deseja que o bastion host faça a ponte.
nota
Se você tiver hosts em várias zonas de disponibilidade, crie uma regra de saída para cada uma dessas zonas de disponibilidade.
-
Escolha Salvar.
Atualizar o grupo de segurança da instância
Por padrão, o security group que você criou para suas instâncias não permite o tráfego de entrada. Embora o Elastic Beanstalk modifique o grupo padrão das instâncias SSH para permitir tráfego, você deve modificar seu grupo de segurança de instância personalizado RDP para permitir tráfego se suas instâncias forem instâncias do Windows.
Para atualizar o grupo de segurança da instância para RDP
-
Na lista de security groups, marque a caixa de seleção do security group da instância.
-
Na guia Entrada, escolha Editar.
-
Se necessário, escolha Add another rule.
-
Insira os valores a seguir e escolha Save.
- Tipo
-
RDP
- Protocolo
-
TCP
- Intervalo de portas
-
3389
- Origem
-
Insira o ID do security group do bastion host (por exemplo,
sg-8a6f71e8
) e escolha Save.
Criar um bastion host
Para criar um bastion host, você executa uma EC2 instância da Amazon em sua sub-rede pública que atuará como bastion host.
Para obter mais informações sobre como configurar um bastion host para instâncias do Windows na sub-rede privada, consulte Como controlar o acesso à rede às EC2 instâncias usando um servidor Bastion
Para obter mais informações sobre como configurar um bastion host para instâncias Linux na sub-rede privada, consulte Connect to Linux Instances Running in a Private