範例:在VPC具有堡壘主機的情況下啟動 Elastic Beanstalk 應用程式 - AWS Elastic Beanstalk
使用公VPC有和私有子網路建立建立並設定堡壘主機安全群組更新執行個體安全群組建立堡壘主機

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

範例:在VPC具有堡壘主機的情況下啟動 Elastic Beanstalk 應用程式

本節說明如何在使用防禦主機中部署 Elastic Beanstalk 應VPC用程式,以及實作此拓撲的原因。

如果您的 Amazon EC2 執行個體位於私有子網路內,您將無法從遠端連線到它們。欲連接至您的執行個體,您可在公有子網路內設定堡壘伺服器做為代理。例如,您可以在公用子網路中設定SSH連接埠轉送站或RDP閘道,以代理從您自己網路傳送至資料庫伺服器的流量。本節提供如何使用私有和公VPC用子網路建立子網路的範例。執行個體位於私有子網路內,防禦主機、NAT閘道和負載平衡器位於公有子網路內。您的基礎設施將與下圖類似。

Elastic Beanstalk 圖和VPC拓撲與堡壘主機。

若要在使用防禦主機中部署 Elastic Beanstalk 應VPC用程式,請完成以下小節中描述的步驟。

使用公VPC有和私有子網路建立

公共/私人 VPC 完成所有程序。部署應用程式時,您必須為執行個體指定 Amazon EC2 key pair,以便從遠端連線到它們。如需指定執行個體金鑰對的詳細資訊,請參閱 Elastic Beanstalk 環境的 EC2 Amazon 實例

建立並設定堡壘主機安全群組

為防禦主機建立安全群組,並新增規則以允許來自網際網路的輸入SSH流量,以及輸出SSH流量至包含 Amazon EC2 執行個體的私有子網路。

建立堡壘主機安全群組

  1. 在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)。

  4. Create Security Group (建立安全群組) 對話方塊中,輸入如下內容並選擇 Yes, Create (是,建立)

    Name tag (名稱標籤) (選用)

    輸入安全群組的名稱標籤。

    Group name (群組名稱)

    輸入安全群組的名稱。

    Description

    輸入安全群組的描述。

    VPC

    選擇您的VPC.

    安全群組便會建立,並出現在 Security Groups (安全群組) 頁面上。請注意其會有 ID (例如:sg-xxxxxxxx)。您可能必須按一下頁面右上角的 Show/Hide (顯示/隱藏) 來開啟 Group ID (群組 ID) 資料行。

欲設定堡壘主機安全群組

  1. 在安全群組清單中,選取您剛為堡壘主機建立的安全群組核取方塊。

  2. Inbound Rules (傳入規則) 標籤上,選擇 Edit (編輯)

  3. 視需要選擇 Add another rule (新增其他規則)

  4. 如果您的防禦主機是 Linux 執行個體,請在「類型」下選取SSH

    如果您的防禦主機是 Windows 執行個體,請在「類型」下選取RDP

  5. 在「來源」欄位中輸入所需的來源CIDR範圍,然後選擇「儲存」。

    防禦主機安全群組

  6. Outbound Rules (傳出規則) 索引標籤上,選擇 Edit (編輯)

  7. 視需要選擇 Add another rule (新增其他規則)

  8. Type (類型) 下,選取您指定類型的傳入規則。

  9. 在「來源」欄位中,輸入私有子網路中主機子網路的CIDR範圍。VPC

    尋找:

    1. 在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/

    2. 在導覽窗格中,選擇 Subnets (子網)。

    3. 請記下IPv4CIDR每個可用區域 (您擁有要讓防禦主機橋接的主機) 下的值。

      注意

      如果您在多個可用區域擁有主機,請針對這些可用區域的每一個建立傳出規則。

      VPC子網路

  10. 選擇 Save (儲存)。

更新執行個體安全群組

您的執行個體安全群組預設不允許傳入流量。雖然 Elastic Beanstalk 會修改執行個體的預設群組以允許SSH流量,但如果您的執行個體是 Windows 執行個體,則您必須修改自訂執行個體安全性群組以允許RDP流量。

若要更新執行個體安全性群組 RDP

  1. 在安全群組清單中,選取執行個體安全群組的核取方塊。

  2. Inbound (傳入) 標籤上,選擇 Edit (編輯)

  3. 視需要選擇 Add another rule (新增其他規則)

  4. 輸入下列值,然後選擇 Save (儲存)

    類型

    RDP

    通訊協定

    TCP

    連接埠範圍

    3389

    來源

    輸入防禦主機安全群組的 ID (如 sg-8a6f71e8),並選擇 Save (儲存)

建立堡壘主機

若要建立防禦主機,請在公有子網路中啟動 Amazon EC2 執行個體,該執行個體將充當防禦主機。

如需在私有子網路中為 Windows 執行個體設定防禦主機的詳細資訊,請參閱使用防禦伺服器控制EC2執行個體的網路存取

如需在私有子網路中為 Linux 執行個體設定防禦主機的詳細資訊,請參閱安全地 Connect 到在私有 Amazon VPC 中執行的 Linux 執行個體。