Esempio: avvio di un'applicazione Elastic Beanstalk in un ambiente con host bastion VPC

Questa sezione spiega come implementare un'applicazione Elastic Beanstalk VPC all'interno di un host che utilizza un bastion e perché implementare questa topologia.

Se le tue EC2 istanze Amazon si trovano all'interno di una sottorete privata, non potrai connetterti ad esse da remoto. Per connetterti alle tue istanze, puoi configurare gli host bastione nella sottorete pubblica in modo che fungano da proxy. Ad esempio, puoi configurare SSH port forwarder o RDP gateway nella sottorete pubblica per inviare tramite proxy il traffico diretto ai server di database dalla tua rete. Questa sezione fornisce un esempio di come creare una sottorete VPC con una sottorete privata e una pubblica. Le istanze si trovano all'interno della sottorete privata e l'host, il NAT gateway e il sistema di bilanciamento del carico bastion si trovano all'interno della sottorete pubblica. L'infrastruttura si presenta in maniera analoga al diagramma riportato di seguito.

Per distribuire un'applicazione Elastic Beanstalk VPC all'interno di un host che utilizza un bastion, completa i passaggi descritti nelle seguenti sottosezioni.

Crea un file con una sottorete pubblica e privata VPC

Completa tutte le procedure descritte in Pubblico/privato VPC. Quando distribuisci l'applicazione, devi specificare una coppia di EC2 chiavi Amazon per le istanze in modo da poterti connettere in remoto. Per ulteriori informazioni su come specificare la coppia di chiavi dell'istanza, consulta Le EC2 istanze Amazon per il tuo ambiente Elastic Beanstalk.

Creazione e configurazione del gruppo di sicurezza host bastione

Crea un gruppo di sicurezza per l'host bastion e aggiungi regole che consentano il traffico in entrata da Internet e il SSH traffico in uscita verso SSH la sottorete privata che contiene le istanze Amazon. EC2

Per creare il gruppo di sicurezza dell'host bastione

1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

2. Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

3. Scegli Crea gruppo di sicurezza.

4. Nella finestra di dialogo Create Security Group (Crea gruppo di sicurezza) inserire le seguenti informazioni, quindi selezionare Yes, Create (Sì, crea).

   Name tag (Tag nome) (opzionale)

   Inserire un tag nome per il gruppo di sicurezza.

   Group name (Nome gruppo)

   Inserire il nome del gruppo di sicurezza.

   Descrizione

   Inserire una descrizione per il gruppo di sicurezza.

   VPC

   Seleziona il tuoVPC.

   Il gruppo di sicurezza viene creato e incluso nella pagina Security Groups (Gruppi di sicurezza). Ricorda che il gruppo presenta un ID, ad esempio sg-xxxxxxxx. Potrebbe essere necessario attivare la visualizzazione della colonna Group ID (ID gruppo) facendo clic su Show/Hide (Mostra/nascondi) nell'angolo superiore destro della pagina.

Per configurare il gruppo di sicurezza dell'host bastione

1. Nell'elenco dei gruppi di sicurezza, selezionare la casella del gruppo di sicurezza appena creato per l'host bastione.

2. Nella scheda Inbound Rules (Regole in entrata), selezionare Edit (Modifica).

3. Se necessario, selezionare Add another rule (Aggiungi un'altra regola).

4. Se il tuo host bastion è un'istanza Linux, in Tipo, seleziona SSH.

   Se il tuo host bastion è un'istanza Windows, in Tipo, seleziona. RDP

5. Inserisci l'CIDRintervallo di sorgenti desiderato nel campo Sorgente e scegli Salva.

   

6. Nella scheda Outbound Rules (Regole in uscita), selezionare Edit (Modifica).

7. Se necessario, selezionare Add another rule (Aggiungi un'altra regola).

8. In Type (Tipo), selezionare il tipo specificato per la regola in entrata.

9. Nel campo Origine, inserisci l'CIDRintervallo della sottorete degli host nella VPC sottorete privata.

   Per trovarlo:

   1. Apri la VPC console Amazon all'indirizzo https://console.aws.amazon.com/vpc/.

   2. Nel pannello di navigazione, scegli Subnets (Sottoreti).

   3. Annota il valore riportato sotto IPv4CIDRper ogni zona di disponibilità in cui hai host verso cui desideri che il bastion host faccia da bridge.

      Nota

      Se sono disponibili host in più zone di disponibilità, crea una regola in uscita per ognuna di esse.

      

10. Seleziona Salva.

Aggiornamento del gruppo di sicurezza delle istanze

Per impostazione predefinita, il gruppo di sicurezza creato per le istanze non consente il traffico in entrata. Sebbene Elastic Beanstalk modifichi il gruppo predefinito per le istanze per consentire il traffico, è necessario modificare il gruppo di sicurezza dell'SSHistanza personalizzato per consentire il traffico se le istanze sono istanze Windows. RDP

Per aggiornare il gruppo di sicurezza dell'istanza per RDP

1. Nell'elenco dei gruppi di sicurezza, selezionare la casella per il gruppo di sicurezza delle istanze.

2. Nella scheda Inbound (In entrata), selezionare Edito (Modifica).

3. Se necessario, selezionare Add another rule (Aggiungi un'altra regola).

4. Inserire i valori seguenti, quindi selezionare Save (Salva).

   Type

   RDP

   Protocollo

   TCP

   Port Range (Intervallo porte)

   3389

   Origine

   Inserire l'ID del gruppo di sicurezza dell'host bastione (ad esempio, sg-8a6f71e8), quindi scegliere Save (Salva).

Creazione di un host bastione

Per creare un bastion host, lanci un'EC2istanza Amazon nella tua sottorete pubblica che fungerà da host bastion.

Per ulteriori informazioni sulla configurazione di un bastion host per istanze Windows nella sottorete privata, consulta Controllo dell'accesso di rete alle EC2 istanze utilizzando un server Bastion.

Per ulteriori informazioni sulla configurazione di un bastion host per istanze Linux nella sottorete privata, consulta Securely Connect to Linux Instances Running in a Private Amazon. VPC