Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempio: avvio di un'applicazione Elastic Beanstalk in un VPC con host bastione
Se le istanze Amazon EC2 si trovano all'interno di una sottorete privata, non è possibile connettersi ad esse da remoto. Per connetterti alle tue istanze, puoi configurare gli host bastione nella sottorete pubblica in modo che fungano da proxy. Ad esempio, puoi configurare le unità di inoltro alla porta SSH o i gateway RDP nella sottorete pubblica per fungere da proxy per il traffico verso i server del database dalla tua rete. Questa sezione fornisce un esempio di come creare un VPC con una sottorete privata e pubblica. Le istanze si trovano all'interno della sottorete privata, mentre l'host bastione, il gateway NAT e il sistema di bilanciamento del carico si trovano all'interno della sottorete pubblica. L'infrastruttura si presenta in maniera analoga al diagramma riportato di seguito.
Per distribuire un'applicazione Elastic Beanstalk all'interno di un VPC utilizzando un host bastione, completa le fasi descritte nelle sottosezioni seguenti.
Fasi
Creazione di un VPC con una sottorete pubblica e privata
Completa tutte le procedure descritte in VPC pubblico/privato. Durante la distribuzione dell'applicazione, è necessario specificare una coppia di chiavi Amazon EC2 per le istanze in modo da potersi connettere ad esse da remoto. Per ulteriori informazioni su come specificare la coppia di chiavi dell'istanza, consulta Istanze Amazon EC2 per l'ambiente Elastic Beanstalk.
Creazione e configurazione del gruppo di sicurezza host bastione
Crea un gruppo di sicurezza per l'host bastione e aggiungi le regole che consentono il traffico SSH in entrata da Internet e in uscita verso la sottorete privata che contiene le istanze Amazon EC2.
Per creare il gruppo di sicurezza dell'host bastione
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Fare clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.
-
Scegli Crea gruppo di sicurezza.
-
Nella finestra di dialogo Create Security Group (Crea gruppo di sicurezza) inserire le seguenti informazioni, quindi selezionare Yes, Create (Sì, crea).
- Name tag (Tag nome) (opzionale)
-
Inserire un tag nome per il gruppo di sicurezza.
- Group name (Nome gruppo
-
Inserire il nome del gruppo di sicurezza.
- Descrizione
-
Inserire una descrizione per il gruppo di sicurezza.
- VPC
-
Seleziona il tuo VPC.
Il gruppo di sicurezza viene creato e incluso nella pagina Security Groups (Gruppi di sicurezza). Ricorda che il gruppo presenta un ID, ad esempio ..,
sg-xxxxxxxx). Potrebbe essere necessario attivare la visualizzazione della colonna Group ID (ID gruppo) facendo clic su Show/Hide (Mostra/nascondi) nell'angolo superiore destro della pagina.
Per configurare il gruppo di sicurezza dell'host bastione
-
Nell'elenco dei gruppi di sicurezza, selezionare la casella del gruppo di sicurezza appena creato per l'host bastione.
-
Nella scheda Inbound Rules (Regole in entrata), selezionare Edit (Modifica).
-
Se necessario, selezionare Add another rule (Aggiungi un'altra regola).
-
Se l'host bastione è un'istanza Linux, in Type (Tipo), selezionare SSH.
Se l'host bastione è un'istanza Windows, in Type (Tipo), selezionare RDP.
-
Inserire l'intervallo CIDR dell'origine desiderata nel campo Source (Origine), quindi selezionare Save (Salva).
-
Nella scheda Outbound Rules (Regole in uscita), selezionare Edit (Modifica).
-
Se necessario, selezionare Add another rule (Aggiungi un'altra regola).
-
In Type (Tipo), selezionare il tipo specificato per la regola in entrata.
-
Nel campo Source (Origine), immettere l'intervallo CIDR della sottorete degli host nella sottorete privata del VPC.
Per trovarlo:
Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, scegliere Subnets (Sottoreti).
-
Prendere nota del valore in IPv4 CIDR (CIDR IPv4) per ogni Availability Zone (Zona di disponibilità) in cui sono presenti host che si desidera siano collegati tramite l'host bastione.
Nota
Se sono disponibili host in più zone di disponibilità, crea una regola in uscita per ognuna di esse.
-
Selezionare Salva.
Aggiornamento del gruppo di sicurezza delle istanze
Per impostazione predefinita, il gruppo di sicurezza creato per le istanze non consente il traffico in entrata. Mentre Elastic Beanstalk si occupa di modificare il gruppo predefinito per le istanze per consentire il traffico SSH, il tuo compito è modificare il gruppo di sicurezza dell'istanza personalizzato per consentire il traffico RDP, se utilizzi istanze Windows.
Per aggiornare il gruppo di sicurezza delle istanze per RDP
-
Nell'elenco dei gruppi di sicurezza, selezionare la casella per il gruppo di sicurezza delle istanze.
-
Nella scheda Inbound (In entrata) selezionare Edit (Modifica).
-
Se necessario, selezionare Add another rule (Aggiungi un'altra regola).
-
Inserire i valori seguenti, quindi selezionare Save (Salva).
- Tipo
-
RDP - Protocol (Protocollo
-
TCP - Intervallo porte
-
3389 - Origine
-
Inserire l'ID del gruppo di sicurezza dell'host bastione (ad esempio,
sg-8a6f71e8), quindi scegliere Save (Salva).
Creazione di un host bastione
Per creare un host bastione, avvia un'istanza di Amazon EC2 in una sottorete pubblica che fungerà da host bastione.
Per ulteriori informazioni sulla configurazione di un host bastione per le istanze Windows in una sottorete privata, consulta la pagina relativa al controllo degli accessi di rete alle istanze EC2 mediante un host bastione
Per ulteriori informazioni sulla configurazione di un host bastione per le istanze Linux in una sottorete privata, consulta la pagina relativa alla connessione sicura alle istanze Linux in esecuzione in un VPC Amazon privato
