As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Comece com AWS PrivateLink
Este tutorial demonstra como enviar uma solicitação de uma instância do EC2 em uma sub-rede privada para a Amazon usando. CloudWatch AWS PrivateLink
O diagrama a seguir fornece uma visão geral desse cenário. Para se conectar do seu computador à instância na sub-rede privada, primeiro é necessário conectar a um bastion host em uma sub-rede pública. Tanto o bastion host quanto a instância devem usar o mesmo par de chaves. Como o arquivo `.pem` da chave privada está no seu computador, e não no bastion host, você usará o encaminhamento de chaves SSH. Em seguida, você poderá conectar à instância desde o bastion host sem especificar o arquivo `.pem` no comando **ssh**. Depois de configurar um VPC endpoint para CloudWatch, o tráfego da instância destinada CloudWatch é resolvido para a interface de rede do endpoint e, em seguida, enviado para o uso CloudWatch do VPC endpoint.
![\[Uma instância em uma sub-rede privada acessa CloudWatch usando um VPC endpoint.\]](http://docs.aws.amazon.com/pt_br/vpc/latest/privatelink/images/getting-started.png)
Para fins de teste, é possível usar uma única zona de disponibilidade. Em um ambiente de produção, recomendamos usar pelo menos duas zonas de disponibilidade para garantir baixa latência e alta disponibilidade.
**Topics**
+ [Etapa 1: criar uma VPC com sub-redes](#create-vpc-subnets)
+ [Etapa 2: iniciar as instâncias](#launch-instances)
+ [Etapa 3: testar o CloudWatch acesso](#test-cloudwatch-access)
+ [Etapa 4: criar um VPC endpoint para acessar CloudWatch](#create-vpc-endpoint-cloudwatch)
+ [Etapa 5: testar o endpoint da VPC](#test-vpc-endpoint)
+ [Etapa 6: limpar](#clean-up)
## Etapa 1: criar uma VPC com sub-redes
Use o procedimento a seguir para criar uma VPC com uma sub-rede pública e uma sub-rede privada.
**Como criar a VPC**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Escolha **Criar VPC**.
1. Em **Resources to create** (Recursos a serem criados), escolha **VPC and more** (VPC e mais).
1. Em **Name tag auto-generation** (Geração automática de tags de nome), insira um nome para a VPC.
1. Para configurar as sub-redes, faça o seguinte:
1. Em **Number of Availability Zones** (Número de zonas de disponibilidade), escolha **1** ou **2** dependendo das suas necessidades.
1. Em **Number of public subnets** (Número de sub-redes públicas), verifique se você tem uma sub-rede pública por zona de disponibilidade.
1. Em **Number of private subnets** (Número de sub-redes privadas), verifique se você tem uma sub-rede privada por zona de disponibilidade.
1. Escolha **Criar VPC**.
## Etapa 2: iniciar as instâncias
Usando a VPC criada na etapa anterior, inicie o bastion host na sub-rede pública e a instância na sub-rede privada.
**Pré-requisitos**
+ Crie um par de chaves usando o formato **.pem**. É necessário escolher esse par de chaves ao iniciar o bastion host e a instância.
+ Crie um grupo de segurança para o bastion host que permita o tráfego SSH de entrada do bloco CIDR para seu computador.
+ Crie um grupo de segurança para a instância que permita o tráfego SSH de entrada do grupo de segurança para o bastion host.
+ Crie um perfil de instância do IAM e anexe a **CloudWatchReadOnlyAccess**política.
**Para iniciar o bastion host**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Escolha **Iniciar instância**.
1. Em **Name** (Nome), insira um nome para o bastion host.
1. Mantenha os valores padrão de imagem e tipo de instância.
1. Em **Key pair** (Par de chaves), selecione seu par de chaves.
1. Em **Network settings** (Configurações de rede), faça o seguinte:
1. Em **VPC**, escolha sua VPC.
1. Em **Subnet** (Sub-rede), escolha a sub-rede pública.
1. Em **Auto-assign public IP** (Atribuir IP público automaticamente), selecione **Enable** (Habilitar).
1. Em **Firewall**, escolha **Select existing security group** (Selecionar grupo de segurança existente) e, em seguida, escolha o grupo de segurança para o bastion host.
1. Escolha **Iniciar instância**.
**Para iniciar a instância**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Escolha **Iniciar instância**.
1. Em **Name** (Nome), insira um nome para a instância.
1. Mantenha os valores padrão de imagem e tipo de instância.
1. Em **Key pair** (Par de chaves), selecione seu par de chaves.
1. Em **Network settings** (Configurações de rede), faça o seguinte:
1. Em **VPC**, escolha sua VPC.
1. Em **Subnet** (Sub-rede), escolha a sub-rede privada.
1. Em **Auto-assign public IP** (Atribuir IP público automaticamente), selecione **Disable** (Desabilitar).
1. Em **Firewall**, escolha **Select existing security group** (Selecionar grupo de segurança existente) e, em seguida, escolha o grupo de segurança para a instância.
1. Expanda **Advanced details** (Detalhes avançados). Em **IAM instance profile** (Perfil de instância do IAM), escolha o perfil de instância do IAM.
1. Escolha **Iniciar instância**.
## Etapa 3: testar o CloudWatch acesso
Use o procedimento a seguir para confirmar que a instância não pode acessar CloudWatch. Você fará isso usando um AWS CLI comando somente de leitura para. CloudWatch
**Para testar o CloudWatch acesso**
1. No seu computador, adicione o key pair ao agente SSH usando o comando a seguir, onde *key.pem* está o nome do seu arquivo.pem.
```
ssh-add ./key.pem
```
Se você receber um erro informando que as permissões do seu par de chaves estão muito abertas, execute o comando a seguir e repita o comando anterior.
```
chmod 400 ./key.pem
```
1. Conecte ao bastion host do seu computador. É necessário especificar a opção `-A`, o nome de usuário da instância (por exemplo, `ec2-user`) e o endereço IP público do bastion host.
```
ssh -A ec2-user@bastion-public-ip-address
```
1. Connect à instância desde o bastion host. Você deve especificar o nome de usuário da instância (por exemplo,`ec2-user`) e o endereço IP privado da instância.
```
ssh ec2-user@instance-private-ip-address
```
1. Execute o comando CloudWatch [list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) na instância da seguinte maneira. Para a opção `--region`, especifique a região em que você a VPC foi criada.
```
aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
```
1. Após alguns minutos, o tempo limite do comando é excedido. Isso demonstra que você não pode acessar a CloudWatch partir da instância com a configuração atual da VPC.
```
Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/
```
1. Permaneça conectado à sua instância Depois de criar o endpoint da VPC, você tentará este comando **list-metrics** novamente.
## Etapa 4: criar um VPC endpoint para acessar CloudWatch
Use o procedimento a seguir para criar um VPC endpoint que se conecta a. CloudWatch
**Pré-requisito**
Crie um grupo de segurança para o VPC endpoint que permita tráfego para o. CloudWatch Por exemplo, adicione uma regra que permita o tráfego de HTTPS do bloco CIDR da VPC.
**Para criar um VPC endpoint para CloudWatch**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints**.
1. Escolha **Criar endpoint**.
1. Em **Name tag** (Etiqueta de nome), insira um nome para o endpoint.
1. Em **Service category** (Categoria de serviço), escolha **Serviços da AWS**.
1. Em **Serviço**, selecione **com.amazonaws. *region*.monitoramento**.
1. Em **VPC**, selecione sua VPC.
1. Em **Subnets** (Sub-redes), selecione a zona de disponibilidade e, em seguida, selecione a sub-rede privada.
1. Em **Security group** (Grupo de segurança), selecione o grupos de segurança para o endpoint da VPC.
1. Em **Policy** (Política), selecione **Full access** (Acesso total) para permitir todas as operações de todas as entidades principais em todos os recursos no endpoint da VPC.
1. (Opcional) Para adicionar uma tag, escolha **Adicionar nova tag** e insira a chave e o valor da tag.
1. Escolha **Criar endpoint**. O status inicial é **Pending** (Pendente). Antes de passar para a próxima etapa, aguarde até que o status se torne **Available** (Disponível). Isso pode levar alguns minutos.
## Etapa 5: testar o endpoint da VPC
Verifique se o VPC endpoint está enviando solicitações da sua instância para o. CloudWatch
**Para testar o endpoint da VPC**
Execute o comando apresentado a seguir na instância. Para a opção `--region`, especifique a região em que o endpoint da VPC foi criado.
```
aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
```
Se você receber uma resposta, mesmo uma resposta com resultados vazios, estará conectado ao CloudWatch uso AWS PrivateLink.
Se você receber um `UnauthorizedOperation` erro, certifique-se de que a instância tenha uma função do IAM que permita acesso CloudWatch a.
Se a solicitação atingir o tempo limite, verifique o seguinte:
+ O grupo de segurança do endpoint permite o tráfego para CloudWatch.
+ A opção `--region` especifica a região na qual você criou o endpoint da VPC.
## Etapa 6: limpar
Se o bastion host e a instância criados durante este tutorial não forem mais necessários, você poderá encerrá-los.
**Para encerrar as instâncias**
1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. No painel de navegação, escolha **Instâncias**.
1. Selecione ambas as instâncias de teste e escolha **Instance state** (Estado da instância) e **Terminate instance** (Encerrar instância).
1. Quando a confirmação for solicitada, escolha **Terminate** (Encerrar).
Caso não precise mais do endpoint da VPC, você poderá excluí-lo.
**Para excluir o endpoint da VPC**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints**.
1. Selecione o endpoint da VPC.
1. Escolha **Actions** (Ações), **Delete VPC endpoints** (Excluir endpoints da VPC).
1. Quando a confirmação for solicitada, insira **delete** e escolha **Excluir**.