Exemplo: lançamento de um aplicativo Elastic Beanstalk em um com bastion hosts VPC - AWS Elastic Beanstalk
Crie um VPC com uma sub-rede pública e privadaCriar e configurar o grupo de segurança do bastion hostAtualizar o grupo de segurança da instânciaCriar um bastion host

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplo: lançamento de um aplicativo Elastic Beanstalk em um com bastion hosts VPC

Esta seção explica como implantar um aplicativo do Elastic Beanstalk VPC dentro de um host usando um bastion host e por que você implementaria essa topologia.

Se suas EC2 instâncias da Amazon estiverem localizadas dentro de uma sub-rede privada, você não poderá se conectar a elas remotamente. Para se conectar às suas instâncias, configure os servidores bastion na sub-rede pública para atuarem como proxies. Por exemplo, você pode configurar encaminhadores de SSH portas ou RDP gateways na sub-rede pública para fazer proxy do tráfego que vai para seus servidores de banco de dados a partir de sua própria rede. Esta seção fornece um exemplo de como criar uma VPC com uma sub-rede pública e privada. As instâncias estão localizadas dentro da sub-rede privada, e o bastion host, o NAT gateway e o balanceador de carga estão localizados dentro da sub-rede pública. A infraestrutura terá aparência semelhante ao diagrama a seguir.

Diagrama do Elastic VPC Beanstalk e topologia com bastion host.

Para implantar um aplicativo do Elastic Beanstalk VPC dentro de um host usando um bastion host, conclua as etapas descritas nas subseções a seguir.

Crie um VPC com uma sub-rede pública e privada

Complete todos os procedimentos em Público/privado VPC. Ao implantar o aplicativo, você deve especificar um par de EC2 chaves da Amazon para as instâncias para que você possa se conectar a elas remotamente. Para obter mais informações sobre como especificar o par de chaves da instância, consulte As EC2 instâncias da Amazon para seu ambiente Elastic Beanstalk.

Criar e configurar o grupo de segurança do bastion host

Crie um grupo de segurança para o Bastion Host e adicione regras que permitam tráfego de entrada da Internet e SSH tráfego de saída SSH para a sub-rede privada que contém as instâncias da Amazon. EC2

Para criar o security group do bastion host

  1. Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Grupos de segurança.

  3. Escolha Create Security Group.

  4. Na caixa de diálogo Create Security Group (Criar grupo de segurança), informe o seguinte e escolha Yes, Create (Sim, criar).

    Name tag (Tag do nome) (opcional)

    Informe uma tag de nome para o grupo de segurança.

    Group name

    Informe o nome do grupo de segurança.

    Descrição

    Informe uma descrição para o grupo de segurança.

    VPC

    Selecione seuVPC.

    O grupo de segurança é criado e exibido na página Security Groups (Grupos de segurança). Ele tem uma ID (por exemplo, sg-xxxxxxxx). Talvez você precise ativar a coluna de Group ID (ID de grupo) clicando em Show/Hide (Mostrar/ocultar) no canto superior direito da página.

Para configurar o security group do bastion host.

  1. Na lista de security groups, marque a caixa de seleção do security group que acabou de criar para o bastion host.

  2. Na guia Inbound Rules, escolha Edit.

  3. Se necessário, escolha Add another rule.

  4. Se o seu bastion host for uma instância Linux, em Tipo, selecione SSH.

    Se o seu bastion host for uma instância do Windows, em Tipo, selecione RDP.

  5. Insira o CIDR intervalo de origem desejado no campo Fonte e escolha Salvar.

    Grupo de segurança do bastion host

  6. Na guia Inbound Rules (Regras de saída), escolha Edit (Editar).

  7. Se necessário, escolha Add another rule.

  8. Em Type (Tipo), selecione o tipo de dados que você especificou para a regra de entrada.

  9. No campo Origem, insira o CIDR intervalo da sub-rede dos hosts na sub-rede privada VPC do.

    Para encontrá-lo:

    1. Abra o VPC console da Amazon em https://console.aws.amazon.com/vpc/.

    2. No painel de navegação, escolha Sub-redes.

    3. Observe o valor abaixo IPv4CIDRpara cada zona de disponibilidade na qual você tem hosts aos quais deseja que o bastion host faça a ponte.

      nota

      Se você tiver hosts em várias zonas de disponibilidade, crie uma regra de saída para cada uma dessas zonas de disponibilidade.

      VPCsub-redes

  10. Escolha Salvar.

Atualizar o grupo de segurança da instância

Por padrão, o security group que você criou para suas instâncias não permite o tráfego de entrada. Embora o Elastic Beanstalk modifique o grupo padrão das instâncias SSH para permitir tráfego, você deve modificar seu grupo de segurança de instância personalizado RDP para permitir tráfego se suas instâncias forem instâncias do Windows.

Para atualizar o grupo de segurança da instância para RDP

  1. Na lista de security groups, marque a caixa de seleção do security group da instância.

  2. Na guia Entrada, escolha Editar.

  3. Se necessário, escolha Add another rule.

  4. Insira os valores a seguir e escolha Save.

    Tipo

    RDP

    Protocolo

    TCP

    Intervalo de portas

    3389

    Origem

    Insira o ID do security group do bastion host (por exemplo, sg-8a6f71e8) e escolha Save.

Criar um bastion host

Para criar um bastion host, você executa uma EC2 instância da Amazon em sua sub-rede pública que atuará como bastion host.

Para obter mais informações sobre como configurar um bastion host para instâncias do Windows na sub-rede privada, consulte Como controlar o acesso à rede às EC2 instâncias usando um servidor Bastion.

Para obter mais informações sobre como configurar um bastion host para instâncias Linux na sub-rede privada, consulte Connect to Linux Instances Running in a Private Amazon. VPC