本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
示例:在带有堡垒主机的环境中启动 Elastic Beanstalk 应用程序 VPC
本节介绍如何在使用堡垒主机VPC内部署 Elastic Beanstalk 应用程序,以及为什么要实现这种拓扑。
如果您的 Amazon EC2 实例位于私有子网内,则您将无法远程连接到它们。要连接到实例,您可以在公有子网中设置堡垒服务器以作为代理。例如,您可以在公有子RDP网中设置SSH端口转发器或网关,以代理从您自己的网络流向数据库服务器的流量。本节提供了如何创建VPC具有私有和公有子网的示例。实例位于私有子网内,堡垒主机、NAT网关和负载均衡器位于公有子网内。您的基础设施与下图类似。
要在使用堡垒主机VPC内部署 Elastic Beanstalk 应用程序,请完成以下小节中描述的步骤。
创建VPC具有公有子网和私有子网的
完成公共/私人 VPC中的所有过程。部署应用程序时,必须为实例指定 Amazon EC2 key pair,这样您就可以远程连接到它们。有关如何指定实例键对的更多信息,请参阅你的 Elastic Beanstalk 环境的亚马逊EC2实例。
创建和配置堡垒主机安全组
为堡垒主机创建安全组,并添加规则,允许来自 Internet 的入站SSH流量以及到包含 Amazon EC2 实例的私有子网的出站SSH流量。
创建堡垒主机安全组
打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择安全组。
-
选择创建安全组。
-
在 Create Security Group (创建安全组) 对话框中,输入以下内容并选择 Yes, Create (是,创建)。
- Name tag (名称标签)(可选)
-
输入安全组的名称标签。
- 组名
-
输入安全组的名称。
- 描述
-
输入安全组的描述。
- VPC
-
选择你的VPC。
此时将创建安全组并在 Security Groups (安全组) 页上显示它。请注意,它具有 ID(例如,
sg-xxxxxxxx
)。您可能需要通过单击页面右上角的 “显示/隐藏” 来打开 “群组 ID” 列。
配置堡垒主机安全组
-
在安全组列表中,选中刚才为堡垒主机创建的安全组的复选框。
-
在 Inbound Rules 选项卡上,选择 Edit。
-
如果需要,请选择 Add another rule (再添加一条规则)。
-
如果您的堡垒主机是 Linux 实例,请在类型下选择SSH。
如果您的堡垒主机是 Windows 实例,请在类型下选择RDP。
-
在 “来源” 字段中输入所需的来源CIDR范围,然后选择 “保存”。
-
在 Outbound Rules (出站规则) 选项卡上,选择 Edit (编辑)。
-
如果需要,请选择 Add another rule (再添加一条规则)。
-
在 Type (类型) 下,选择为入站规则指定的类型。
-
在来源字段中,输入私有子网中主机的子网CIDR范围。VPC
要查找它:
打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中,选择 Subnets(子网)。
-
请记下每个可用区域下的IPv4CIDR值,您想让堡垒主机桥接到这些主机。
注意
如果您在多个可用区中有主机,请为每个可用区创建一个出站规则。
-
选择保存。
更新实例安全组
默认情况下,您为实例创建的安全组不允许传入流量。虽然 Elastic Beanstalk 会修改实例的默认组SSH以允许流量,但如果您的实例是 Windows 实例,则必须修改您的自定义实例安全组RDP以允许流量。
更新实例安全组 RDP
-
在安全组的列表中,选中实例安全组的复选框。
-
在 Inbound (入站) 选项卡上,选择 Edit (编辑)。
-
如果需要,请选择 Add another rule (再添加一条规则)。
-
输入下列值并选择 Save (保存)。
- 类型
-
RDP
- 协议
-
TCP
- 端口范围
-
3389
- 源
-
输入堡垒主机安全组的 ID(例如,
sg-8a6f71e8
)并选择 Save (保存)。
创建堡垒主机
要创建堡垒主机,您需要在公有子网中启动一个 Amazon EC2 实例,该实例将充当堡垒主机。
有关在私有子网中为 Windows 实例设置堡垒主机的更多信息,请参阅使用堡垒服务器控制对EC2实例的网络访问
有关为私有子网中的 Linux 实例设置堡垒主机的更多信息,请参阅安全地连接到在私有 Amazon VPC 中运行的 Linux 实例