Beispiel: Starten einer Elastic Beanstalk-Anwendung in einer VPC mit Bastion-Hosts

Wenn sich Ihre Amazon EC2-Instances in einem privaten Subnetz befinden, können Sie keine Remote-Verbindung zu ihnen herstellen. Zum Herstellen einer Verbindung können Sie Bastion-Server im öffentlichen Subnetz herstellen, die als Proxys fungieren. Beispiel: Sie können SSH-Port-Weiterleitungen oder RDP-Gateways im öffentlichen Subnetz einrichten, um für den Datenverkehr an Ihre Datenbankserver aus Ihrem eigenen Netzwerk einen Proxy bereitzustellen. In diesem Abschnitt finden Sie ein Beispiel dafür, wie Sie eine VPC mit einem privaten und öffentlichen Subnetz erstellen. Die Instances befinden sich im privaten Subnetz und Bastion-Host, NAT-Gateway und Load Balancer befinden sich im öffentlichen Subnetz. Ihre Infrastruktur sollte dann wie das folgende Diagramm aussehen.

Um eine Elastic Beanstalk-Anwendung in einer VPC mithilfe eines Bastion-Host bereitzustellen, führen Sie die in den folgenden Unterabschnitten beschriebenen Schritte aus.

Erstellen einer VPC mit einem öffentlichen und privaten Subnetz

Führen Sie alle Verfahren in durch Öffentliche/private VPC. Wenn Sie die Anwendung bereitstellen, müssen Sie ein Amazon EC2-Schlüsselpaar für die Instances angeben, sodass Sie eine Remote-Verbindung herstellen können. Weitere Informationen darüber, wie Sie das Instance-Schlüsselpaar angeben können, finden Sie unter Die Amazon EC2-Instances Ihrer Elastic Beanstalk-Umgebung.

Erstellen und Konfigurieren der Bastion-Host-Sicherheitsgruppe

Erstellen Sie eine Sicherheitsgruppe für den Bastion-Host und fügen Sie Regeln hinzu, mit denen eingehender SSH-Datenverkehr aus dem Internet und ausgehender SSH-Datenverkehr an das private Subnetz mit den Amazon EC2-Instances zulässig ist.

So erstellen Sie die Bastion-Host-Sicherheitsgruppe

1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

2. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.

3. Wählen Sie Sicherheitsgruppen erstellen aus.

4. Geben Sie im Dialogfeld Create Security Group (Sicherheitsgruppe erstellen) Folgendes ein und wählen Sie Yes, Create (Ja, erstellen) aus.

   Name tag (Namens-Tag) (optional)

   Geben Sie einen Namens-Tag für die Sicherheitsgruppe ein.

   Gruppenname

   Geben Sie den Namens der Sicherheitsgruppe ein.

   Beschreibung

   Geben Sie eine Beschreibung für die Sicherheitsgruppe ein.

   VPC

   Wählen Sie Ihre VPC aus.

   Die Sicherheitsgruppe wird erstellt und auf der Seite Security Groups (Sicherheitsgruppen) angezeigt. Die Gruppe ist mit einer ID versehen (z. B. ).., sg-xxxxxxxx). Möglicherweise müssen Sie die Spalte Group ID (Gruppen-ID) aktivieren, indem Sie oben rechts auf der Seite auf Show/Hide (Einblenden/Ausblenden) klicken.

Konfigurieren der Bastion-Host-Sicherheitsgruppe

1. Aktivieren Sie in der Liste der Sicherheitsgruppen das Kontrollkästchen für die Sicherheitsgruppe, die Sie gerade für Ihren Bastion-Host erstellt haben.

2. Wählen Sie auf der Registerkarte Inbound Rules die Option Edit aus.

3. Wählen Sie bei Bedarf Add another rule (Weitere Regel hinzufügen) aus.

4. Wenn der Bastion-Host eine Linux-Instance ist, wählen Sie unter Type (Typ) die Option SSH aus.

   Wenn der Bastion-Host eine Windows-Instance ist, wählen Sie unter Type (Typ) die Option RDP aus.

5. Geben Sie den gewünschten Quell-CIDR-Bereich im Feld Source (Quelle) ein und wählen Sie Save (Speichern) aus.

   

6. Wählen Sie auf der Registerkarte Outbound Rules (Ausgehende Regeln) die Option Edit (Bearbeiten) aus.

7. Wählen Sie bei Bedarf Add another rule (Weitere Regel hinzufügen) aus.

8. Wählen Sie unter Type (Typ) den für die eingehende Regel angegebenen Typ aus.

9. Geben Sie in das Feld Source (Quelle) den CIDR-Bereich des Subnetzes der Hosts im privaten Subnetz der VPC ein.

   So suchen Sie:

   1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

   2. Wählen Sie im Navigationsbereich Subnets (Subnetze) aus.

   3. Beachten Sie den Wert unter IPv4 CIDR für jede Availability Zone, in der sich die Hosts befinden, zu denen der Bastion-Host weiterleiten soll.

      Anmerkung

      Wenn Sie Hosts in mehreren Availability Zones haben, erstellen Sie eine Regel für ausgehenden Datenverkehr für jede dieser Availability Zones.

      

10. Wählen Sie Save (Speichern) aus.

Aktualisieren der Instance-Sicherheitsgruppe

Standardmäßig erlaubt die Sicherheitsgruppe, die Sie für Ihre Instances erstellt haben, eingehenden Datenverkehr nicht. Während Elastic Beanstalk die Standardgruppe so ändert, dass die Instances SSH-Datenverkehr zulassen, müssen Sie Ihre benutzerdefinierte Instance-Sicherheitsgruppe für das Zulassen von RDP-Datenverkehr ändern, wenn Ihre Instances Windows-Instances sind.

So aktualisieren Sie die Instance-Sicherheitsgruppe für RDP

1. Aktivieren Sie in der Liste der Sicherheitsgruppen das Kontrollkästchen für die Instance-Sicherheitsgruppe.

2. Klicken Sie auf die Registerkarte Inbound und wählen Sie Edit aus.

3. Wählen Sie bei Bedarf Add another rule (Weitere Regel hinzufügen) aus.

4. Geben Sie die folgenden Werte ein und wählen Sie Save (Speichern) aus.

   Typ

   RDP

   Protokoll

   TCP

   Port-Bereich

   3389

   Quelle

   Geben Sie die ID der Bastion-Host-Sicherheitsgruppe ein (z. B. sg-8a6f71e8) und wählen Sie Save (Speichern) aus.

Erstellen eines Bastion-Host

Zum Erstellen eines Bastion-Host starten Sie eine Amazon EC2-Instance in Ihrem öffentlichen Subnetz, das als Bastion-Host fungiert.

Weitere Informationen zum Einrichten eines Bastion-Host für Windows-Instances im privaten Subnetz finden Sie unter Controlling Network Access to EC2 Instances Using a Bastion Server.

Weitere Informationen zum Einrichten eines Bastion-Host für Linux-Instances im privaten Subnetz finden Sie unter Securely Connect to Linux Instances Running in a Private Amazon VPC.