AWS Elastic Beanstalk
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

示例:使用堡垒主机启动 VPC 中的 Elastic Beanstalk 应用程序

如果您的 Amazon EC2 实例位于私有子网内,则将无法远程连接到这些实例。要连接到实例,您可以在公有子网中设置堡垒服务器以作为代理。例如,您可以在公有子网中设置 SSH 端口转发器或 RDP 网关,以代理从您自己的网络流向数据库服务器的数据流。本节提供有关如何创建包含私有和公有子网的 VPC 的示例。实例位于私有子网内,而堡垒主机、NAT 网关和负载均衡器位于公有子网内。您的基础设施与下图类似:


      使用堡垒主机的 Elastic Beanstalk 和 VPC 拓扑

要使用堡垒主机在 VPC 内部署 Elastic Beanstalk 应用程序,您需要完成以下操作:

创建带有公有子网和私有子网的 VPC

完成具有私有和公有子网的 VPC中的所有过程。在部署应用程序时,您必须为实例指定 Amazon EC2 键对,以便可远程连接到这些实例。有关如何指定实例键对的更多信息,请参阅AWS Elastic Beanstalk 环境的 Amazon EC2 实例

创建和配置堡垒主机安全组

创建堡垒主机的安全组并添加规则,该规则允许来自 Internet 的入站 SSH 流量以及流向包含 Amazon EC2 实例的私有子网的出站 SSH 流量。

创建堡垒主机安全组

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Security Groups

  3. 选择 Create Security Group

  4. Create Security Group 对话框中,输入以下内容并选择 Yes, Create

    Name tag(可选)

    输入安全组的名称标签。

    Group name

    输入安全组的名称。

    说明

    输入安全组的描述。

    VPC

    选择您的 VPC。

    此时将创建安全组并在 Security Groups 页上显示它。请注意,它具有 ID(例如,sg-xxxxxxxx)。您可能必须通过单击该页面右上角的 Show/Hide 来启用 Group ID 列。

配置堡垒主机安全组

  1. 在安全组列表中,选中刚才为堡垒主机创建的安全组的复选框。

  2. Inbound Rules 选项卡上,选择 Edit

  3. 如果需要,请选择 Add another rule (再添加一条规则)

  4. 如果堡垒主机是 Linux 实例,请选择 Type (类型) 下的 SSH

    如果堡垒主机是 Windows 实例,请选择 Type (类型) 下的 RDP

  5. Source (源) 字段中输入所需的源 CIDR 范围,然后选择 Save (保存)

    
            堡垒主机安全组
  6. Outbound Rules (出站规则) 选项卡上,选择 Edit (编辑)

  7. 如果需要,请选择 Add another rule (再添加一条规则)

  8. Type (类型) 下,选择为入站规则指定的类型。

  9. Source (源) 字段中,输入主机的子网在 VPC 的私有子网中的 CIDR 范围。

    要查找它:

    1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

    2. 在导航窗格中,选择 Subnets

    3. 对于您希望防御主机桥接到的主机,记下包含后者的每个 Availability Zone (可用区)IPv4 CIDR 下的值。

      注意

      如果您在多个可用区中有主机,请为每个可用区创建一个出站规则。

      
                VPC 子网
  10. 选择 Save

更新实例安全组

默认情况下,您为实例创建的安全组不允许传入流量。尽管 Elastic Beanstalk 会修改实例的默认组来允许 SSH 流量时,但如果您的实例是 Windows 实例,您必须修改自定义实例安全组来允许 RDP 流量。

更新 RDP 的实例安全组

  1. 在安全组的列表中,选中实例安全组的复选框。

  2. Inbound (入站) 选项卡上,选择 Edit (编辑)

  3. 如果需要,请选择 Add another rule (再添加一条规则)

  4. 输入下列值并选择 Save (保存)

    Type

    RDP

    协议

    TCP

    端口范围

    3389

    Source (源)

    输入堡垒主机安全组的 ID(例如,sg-8a6f71e8)并选择 Save (保存)

创建堡垒主机

为了创建堡垒主机,您应在充当堡垒主机的公有子网中启动 Amazon EC2 实例。

有关在私有子网中设置适用于 Windows 实例的堡垒主机的更多信息,请参阅使用堡垒服务器控制对 EC2 实例的网络访问

有关在私有子网中设置适用于 Linux 实例的堡垒主机的更多信息,请参阅安全地连接到在私有 Amazon VPC 中运行的 Linux 实例