本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
範例:透過堡壘主機啟動 VPC 內的 Elastic Beanstalk 應用程式
如果您的 Amazon EC2 執行個體位於私有子網路內,將無法從遠端進行連線。欲連接至您的執行個體,您可在公有子網路內設定堡壘伺服器做為代理。例如,您可於公有子網路內設定 SSH 連接埠轉寄站或 RDP 閘道,代理從您自己的網路流向資料庫伺服器的流量。本章節的範例說明如何透過私有和公有子網路建立 VPC。執行個體位於私有子網路內,而堡壘主機、NAT 閘道和負載平衡器則位於公有子網路內。您的基礎設施將與下圖類似。
如要使用堡壘主機在 VPC 內部部署 Elastic Beanstalk 應用程式,請完成下列小節所述的步驟。
建立包含公有和私有子網路的 VPC
在 公有/私有 VPC 完成所有程序。部署應用程式時,您必須為執行個體指定 Amazon EC2 金鑰對,以便從遠端連線。如需指定執行個體金鑰對的詳細資訊,請參閱 您 Elastic Beanstalk 環境的 Amazon EC2 執行個體。
建立並設定堡壘主機安全群組
建立堡壘主機的安全群組,並新增規則允許來自網際網路的傳入 SSH 流量,以及傳出至內含 Amazon EC2 執行個體私有子網路的 SSH 流量。
建立堡壘主機安全群組
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Security Groups (安全群組)。
-
選擇 Create Security Group (建立安全群組)。
-
在 Create Security Group (建立安全群組) 對話方塊中,輸入如下內容並選擇 Yes, Create (是,建立)。
- Name tag (名稱標籤) (選用)
-
輸入安全群組的名稱標籤。
- Group name (群組名稱):
-
輸入安全群組的名稱。
- 描述
-
輸入安全群組的描述。
- VPC
-
選取您的 VPC。
安全群組便會建立,並出現在 Security Groups (安全群組) 頁面上。請注意其會有 ID (例如:
sg-xxxxxxxx
)。您可能必須按一下頁面右上角的 Show/Hide (顯示/隱藏) 來開啟 Group ID (群組 ID) 資料行。
欲設定堡壘主機安全群組
-
在安全群組清單中,選取您剛為堡壘主機建立的安全群組核取方塊。
-
在 Inbound Rules (傳入規則) 標籤上,選擇 Edit (編輯)。
-
視需要選擇 Add another rule (新增其他規則)。
-
若您的防禦主機為 Linux 執行個體,在 Type (類型) 底下選取 SSH (SSH)。
若您的防禦主機為 Windows 執行個體,在 Type (類型) 底下選取 RDP (RDP)。
-
在 Source (來源) 欄位輸入所需來源 CIDR 範圍,然後選擇 Save (儲存)。
-
在 Outbound Rules (傳出規則) 索引標籤上,選擇 Edit (編輯)。
-
視需要選擇 Add another rule (新增其他規則)。
-
在 Type (類型) 下,選取您指定類型的傳入規則。
-
在 Source (來源) 欄位中,輸入 VPC 私有子網路中主機子網路的 CIDR 範圍。
尋找:
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Subnets (子網路)。
-
請注意,每個 Availability Zone (可用區域) 在 IPv4 CIDR (IPv4 CIDR) 下的值,其中有您希望防禦主機橋接的主機。
注意
如果您在多個可用區域擁有主機,請針對這些可用區域的每一個建立傳出規則。
-
選擇 Save (儲存)。
更新執行個體安全群組
您的執行個體安全群組預設不允許傳入流量。Elastic Beanstalk 會修改執行個體的預設群組以允許 SSH 流量,但如果您的執行個體為 Windows 執行個體,則必須自行修改自訂執行個體的安全群組,以允許 RDP 流量。
欲更新 RDP 執行個體安全群組
-
在安全群組清單中,選取執行個體安全群組的核取方塊。
-
在 Inbound (傳入) 標籤上,選擇 Edit (編輯)。
-
視需要選擇 Add another rule (新增其他規則)。
-
輸入下列值,然後選擇 Save (儲存)。
- 類型。
-
RDP
- Protocol (協定) – 。
-
TCP
- 連接埠範圍
-
3389
- 來源
-
輸入防禦主機安全群組的 ID (如
sg-8a6f71e8
),並選擇 Save (儲存)。
建立堡壘主機
如要建立堡壘主機,您可以在您的公有子網路中啟動將做為堡壘主機的 Amazon EC2 執行個體。
如需在私有子網路中為 Windows 執行個體設定堡壘主機的詳細資訊,請參閱使用堡壘伺服器控制 EC2 執行個體的網路存取
如需在私有子網路中為 Linux 執行個體設定堡壘主機的詳細資訊,請參閱安全連線至在私有 Amazon VPC 內執行的 Linux 執行個體