配置私有 Amazon MQ 代理 - Amazon MQ
在 Amazon Web Services 管理控制台 中配置私有代理访问不可公开访问的 Amazon MQ 代理 Web 控制台
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

配置私有 Amazon MQ 代理

私有代理不具备公共访问权限,无法从您的 VPC 外部访问。在配置私有代理之前,请查看以下有关 VPC、子网和安全组的信息:

  • VPC

    • 代理的子网和安全组必须位于同一 VPC 中。

    • 使用私有代理时,您可能会看到未在 VPC 中配置的 IP 地址。这些 IP 地址来自 Amazon MQ 基础设施,无需任何操作。

  • 子网

    • 如果子网位于共享 VPC 内,则该 VPC 必须由创建代理的同一账户拥有。

    • 如果未提供子网,将使用默认 VPC 中的默认子网。

    • 代理创建后,所使用的子网无法更改。

    • 对于集群和主备代理,子网必须位于不同的可用区。

    • 对于单实例代理,您可以指定要使用的子网,代理将在同一可用区内创建。

  • 安全组

    • 如果未提供安全组,将使用默认 VPC 中的默认安全组。

    • 单实例、集群和主备代理至少需要一个安全组(例如默认安全组)。

      注意

      公共 RabbitMQ 代理不使用子网或安全组。

    • 代理创建后,所使用的安全组无法更改。安全组本身仍可修改。

在 Amazon Web Services 管理控制台 中配置私有代理

要配置私有代理,请首先在 Amazon Web Services 管理控制台 中创建新代理。然后,在网络设置 部分,按以下步骤配置代理的连接性:

  1. 为您的代理选择私有访问。要连接到私有代理,您可以使用 IPv4、IPv6 或双栈(IPv4 和 IPv6)。有关更多信息,请参阅 Connecting to Amazon MQ

  2. 接下来,选择使用默认 VPC、子网和安全组,或选择选择现有 VPC、子网和安全组。如果您不希望使用默认或现有的 VPC、子网或安全组,则必须创建一个新的才能连接到私有代理。

    注意

    对于私有代理访问,连接方法将与所选子网的 IP 类型相同。代理创建后,VPC 端点将无法更改,并且始终具有所选子网的 IP 类型。如果您想使用新的 IP 类型,则必须创建新的代理。

    注意

    Amazon MQ for ActiveMQ 不使用 VPC 端点。当您首次创建 ActiveMQ 代理时,Amazon MQ 会在 VPC 中预置一个弹性网络接口(ENI)。安全组位于 ENI 中,并且可用于公共和私有代理。

访问不可公开访问的 Amazon MQ 代理 Web 控制台

关闭代理的公开可访问性后,创建代理的 Amazon 账户 ID 可以访问私有代理。如果关闭了代理的公开可访问性,则必须执行下列步骤才能访问代理的 Web 控制台。

  1. public-vpc 中创建 Linux EC2 实例(如有必要,请包含公有 IP)。

  2. 要验证 VPC 的配置是否正确,请建立到 EC2 实例的 ssh 连接,并将 curl 命令与您代理的 URI 结合使用。

  3. 从您的计算机中,使用私有密钥文件的路径和公有 EC2 实例的 IP 地址创建到 EC2 实例的 ssh 隧道。例如:

    ssh -i ~/.ssh/id_rsa -N -C -q -f -D 8080 ec2-user@203.0.113.0

    在您的计算机上启动转发代理服务器。

  4. 在您的计算机上安装代理客户端,如 FoxyProxy

  5. 使用以下设置配置您的代理客户端:

    • 对于代理类型,请指定 SOCKS5

    • 对于 IP 地址、DNS 名称和服务器名称,请指定 localhost

    • 对于端口,请指定 8080

    • 删除任何现有的 URL 模式。

    • 对于 URL 模式,请指定 *.mq.*.amazonaws.com*

    • 对于连接类型,请指定 HTTP(S)

    在您启用代理客户端后,便可以在您的计算机上访问 Web 控制台了。

重要

如果使用的是私有代理,则可能会看到未在 VPC 中配置的 IP 地址。这些 IP 地址来自 Amazon MQ 基础设施上的 RabbitMQ,无需任何操作。