範例:透過堡壘主機啟動 VPC 內的 Elastic Beanstalk 應用程式 - AWS Elastic Beanstalk
建立包含公有和私有子網路的 VPC建立並設定堡壘主機安全群組更新執行個體安全群組建立堡壘主機

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

範例:透過堡壘主機啟動 VPC 內的 Elastic Beanstalk 應用程式

如果您的 Amazon EC2 執行個體位於私有子網路內,將無法從遠端進行連線。欲連接至您的執行個體,您可在公有子網路內設定堡壘伺服器做為代理。例如,您可於公有子網路內設定 SSH 連接埠轉寄站或 RDP 閘道,代理從您自己的網路流向資料庫伺服器的流量。本章節的範例說明如何透過私有和公有子網路建立 VPC。執行個體位於私有子網路內,而堡壘主機、NAT 閘道和負載平衡器則位於公有子網路內。您的基礎設施將與下圖類似。

搭配防禦主機的 Elastic Beanstalk 和 VPC 拓撲

如要使用堡壘主機在 VPC 內部部署 Elastic Beanstalk 應用程式,請完成下列小節所述的步驟。

建立包含公有和私有子網路的 VPC

公有/私有 VPC 完成所有程序。部署應用程式時,您必須為執行個體指定 Amazon EC2 金鑰對,以便從遠端連線。如需指定執行個體金鑰對的詳細資訊,請參閱 您 Elastic Beanstalk 環境的 Amazon EC2 執行個體

建立並設定堡壘主機安全群組

建立堡壘主機的安全群組,並新增規則允許來自網際網路的傳入 SSH 流量,以及傳出至內含 Amazon EC2 執行個體私有子網路的 SSH 流量。

建立堡壘主機安全群組

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)。

  4. Create Security Group (建立安全群組) 對話方塊中,輸入如下內容並選擇 Yes, Create (是,建立)

    Name tag (名稱標籤) (選用)

    輸入安全群組的名稱標籤。

    Group name (群組名稱):

    輸入安全群組的名稱。

    描述

    輸入安全群組的描述。

    VPC

    選取您的 VPC。

    安全群組便會建立,並出現在 Security Groups (安全群組) 頁面上。請注意其會有 ID (例如:sg-xxxxxxxx)。您可能必須按一下頁面右上角的 Show/Hide (顯示/隱藏) 來開啟 Group ID (群組 ID) 資料行。

欲設定堡壘主機安全群組

  1. 在安全群組清單中,選取您剛為堡壘主機建立的安全群組核取方塊。

  2. Inbound Rules (傳入規則) 標籤上,選擇 Edit (編輯)

  3. 視需要選擇 Add another rule (新增其他規則)

  4. 若您的防禦主機為 Linux 執行個體,在 Type (類型) 底下選取 SSH (SSH)

    若您的防禦主機為 Windows 執行個體,在 Type (類型) 底下選取 RDP (RDP)

  5. Source (來源) 欄位輸入所需來源 CIDR 範圍,然後選擇 Save (儲存)

    防禦主機安全群組

  6. Outbound Rules (傳出規則) 索引標籤上,選擇 Edit (編輯)

  7. 視需要選擇 Add another rule (新增其他規則)

  8. Type (類型) 下,選取您指定類型的傳入規則。

  9. Source (來源) 欄位中,輸入 VPC 私有子網路中主機子網路的 CIDR 範圍。

    尋找:

    1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

    2. 在導覽窗格中,選擇 Subnets (子網路)

    3. 請注意,每個 Availability Zone (可用區域)IPv4 CIDR (IPv4 CIDR) 下的值,其中有您希望防禦主機橋接的主機。

      注意

      如果您在多個可用區域擁有主機,請針對這些可用區域的每一個建立傳出規則。

      VPC 子網路

  10. 選擇 Save (儲存)。

更新執行個體安全群組

您的執行個體安全群組預設不允許傳入流量。Elastic Beanstalk 會修改執行個體的預設群組以允許 SSH 流量,但如果您的執行個體為 Windows 執行個體,則必須自行修改自訂執行個體的安全群組,以允許 RDP 流量。

欲更新 RDP 執行個體安全群組

  1. 在安全群組清單中,選取執行個體安全群組的核取方塊。

  2. Inbound (傳入) 標籤上,選擇 Edit (編輯)

  3. 視需要選擇 Add another rule (新增其他規則)

  4. 輸入下列值,然後選擇 Save (儲存)

    類型

    RDP

    Protocol (協定) – 。

    TCP

    連接埠範圍

    3389

    來源

    輸入防禦主機安全群組的 ID (如 sg-8a6f71e8),並選擇 Save (儲存)

建立堡壘主機

如要建立堡壘主機,您可以在您的公有子網路中啟動將做為堡壘主機的 Amazon EC2 執行個體。

如需在私有子網路中為 Windows 執行個體設定堡壘主機的詳細資訊,請參閱使用堡壘伺服器控制 EC2 執行個體的網路存取

如需在私有子網路中為 Linux 執行個體設定堡壘主機的詳細資訊,請參閱安全連線至在私有 Amazon VPC 內執行的 Linux 執行個體