Paso 1: Creación de una VPC con subredes Paso 2: Lanzamiento de las instancias Paso 3: Prueba de acceso a CloudWatch Paso 4: Creación de un punto de conexión de VPC para acceder a CloudWatch Paso 5: Prueba del punto de conexión de VPC Paso 6: limpiar

Empiece a utilizar AWS PrivateLink

Este tutorial demuestra cómo enviar una solicitud desde una instancia de EC2 en una subred privada a Amazon CloudWatch mediante AWS PrivateLink.

En el diagrama siguiente se proporciona información general sobre esta situación. Para conectarse desde el equipo a la instancia de la subred privada, primero se conectará a un host bastión de una subred pública. Tanto el host bastión como la instancia deben usar el mismo par de claves. Como el archivo .pem de la clave privada está en el equipo, no en el host bastión, utilizará el reenvío de claves SSH. A continuación, puede conectarse a la instancia desde el host bastión sin especificar el archivo .pem en el comando ssh. Tras configurar un punto de conexión de VPC para CloudWatch, el tráfico de la instancia destinada a CloudWatch se resuelve en la interfaz de red del punto de conexión y, a continuación, se envía a CloudWatch mediante el punto de conexión de VPC.

Una instancia de una subred privada accede a CloudWatch mediante un punto de conexión de VPC.

Para probar, puede utilizar una única zona de disponibilidad. En producción, se recomienda utilizar al menos dos zonas de disponibilidad para conseguir baja latencia y alta disponibilidad.

Tareas

Paso 1: Creación de una VPC con subredes
Paso 2: Lanzamiento de las instancias
Paso 3: Prueba de acceso a CloudWatch
Paso 4: Creación de un punto de conexión de VPC para acceder a CloudWatch
Paso 5: Prueba del punto de conexión de VPC
Paso 6: limpiar

Paso 1: Creación de una VPC con subredes

Utilice el siguiente procedimiento para crear una VPC con una subred pública y una subred privada.

Para crear la VPC

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
Seleccione Creación de VPC.
En Resources to create (Recursos para crear), elija VPC and more (VPC y más).
En Generación automática de etiquetas de nombre, ingrese un nombre para la VPC.
Para configurar las subredes, haga lo siguiente:
1. En Number of Availability Zones (Número de zonas de disponibilidad), elija 1 o 2, según sus necesidades.
2. En Number of public subnets (Número de subredes públicas), asegúrese de tener una subred pública por zona de disponibilidad.
3. En Number of private subnets (Número de subredes privadas), asegúrese de tener una subred privada por zona de disponibilidad.
Seleccione Creación de VPC.

Paso 2: Lanzamiento de las instancias

Con la VPC que creó en el paso anterior, lance el host bastión en la subred pública y la instancia en la subred privada.

Requisitos previos

Cree un par de claves con el formato .pem. Debe elegir este par de claves al lanzar tanto el host bastión como la instancia.
Cree un grupo de seguridad para el host bastión que permita el tráfico SSH entrante desde el bloque CIDR para su equipo.
Cree un grupo de seguridad para la instancia que permita el tráfico SSH entrante desde el grupo de seguridad para el host bastión.
Cree un perfil de instancia de IAM y asocie la política CloudWatchReadOnlyAccess.

Para lanzar el host bastión

Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
Seleccione Iniciar instancia.
En Name (Nombre), ingrese un nombre para el host bastión.
Conserve la imagen y el tipo de instancia predeterminados.
En Key pair (Par de claves), seleccione su par de claves.
En Network settings (Configuración de red), haga lo siguiente:
1. En VPC, elija su VPC.
2. En Subnet (Subred), elija la subred pública.
3. En Auto-assign public IP (Autoasignar IP pública), elija Enable (Habilitar).
4. Para Firewall, elija Select existing security group (Seleccionar un grupo de seguridad existente) y, a continuación, elija el grupo de seguridad para el host bastión.
Seleccione Iniciar instancia.

Para lanzar la instancia

Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
Seleccione Iniciar instancia.
En Name (Nombre), ingrese un nombre para la instancia.
Conserve la imagen y el tipo de instancia predeterminados.
En Key pair (Par de claves), seleccione su par de claves.
En Network settings (Configuración de red), haga lo siguiente:
1. En VPC, elija su VPC.
2. En Subnet (Subred), elija la subred privada.
3. En Auto-assign public IP (Autoasignar IP pública), elija Disable (Deshabilitar).
4. Para Firewall, elija Select existing security group (Seleccionar un grupo de seguridad existente) y, a continuación, elija el grupo de seguridad para la instancia.
Amplíe Advanced details (Detalles avanzados). En IAM instance profile (Perfil de instancia de IAM), elija el perfil de instancia de IAM.
Seleccione Iniciar instancia.

Paso 3: Prueba de acceso a CloudWatch

Utilice el siguiente procedimiento para confirmar que la instancia no puede acceder a CloudWatch. Lo hará mediante un comando AWS CLI de solo lectura para CloudWatch.

Para probar el acceso a CloudWatch

Desde el equipo, agregue el par de claves al agente SSH mediante el siguiente comando, donde key.pem es el nombre del archivo .pem.
```
ssh-add ./key.pem
```
Si recibe un error que indica que los permisos de su par de claves están demasiado abiertos, ejecute el siguiente comando y, a continuación, vuelva a intentar el comando anterior.
```
chmod 400 ./key.pem
```
Conéctese al bastión host desde el equipo. Debe especificar la opción -A, el nombre de usuario de la instancia (por ejemplo, ec2-user) y la dirección IP pública del host bastión.
```
ssh -A ec2-user@bastion-public-ip-address
```
Conéctese a la instancia desde el host bastión. Debe especificar el nombre de usuario de la instancia (por ejemplo, ec2-user) y la dirección IP privada de la instancia.
```
ssh ec2-user@instance-private-ip-address
```
Ejecute el comando list-metrics de CloudWatch en la instancia de la siguiente manera. Para la opción --region, especifique la región en la que creó la VPC.
```
aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1
```
Transcurridos unos minutos, se agota el tiempo de espera del comando. Esto demuestra que no puede acceder a CloudWatch desde la instancia con la configuración de VPC actual.
```
Connect timeout on endpoint URL: https://monitoring.us-east-1.amazonaws.com/
```
Manténgase conectado a la instancia. Tras crear el punto de conexión de VPC, volverá a intentar este comando list-metrics.

Paso 4: Creación de un punto de conexión de VPC para acceder a CloudWatch

Utilice el siguiente procedimiento para crear un punto de conexión de VPC que se conecte a CloudWatch.

Requisito previo

Cree un grupo de seguridad para el punto de conexión de VPC que permita el tráfico a CloudWatch. Por ejemplo, agregue una regla que permita el tráfico HTTPS desde el bloque CIDR de VPC.

Para crear un punto de conexión de VPC para CloudWatch

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Elija Crear punto de conexión.
En Name tag (Etiqueta de nombre), ingrese un nombre para el punto de conexión.
En Categoría de servicios, elija Servicios de AWS.
En Service (Servicio), seleccione com.amazonaws.region.monitoring.
En VPC, seleccione la VPC.
En Subnets (Subredes), seleccione la zona de disponibilidad y, a continuación, seleccione la subred privada.
En Security group (Grupo de seguridad), seleccione el grupo de seguridad para el punto de conexión de VPC.
En Política, seleccione Acceso completo para permitir todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión de VPC.
(Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.
Elija Crear punto de conexión. El estado inicial es Pending (Pendiente). Antes de continuar con el paso siguiente, espere a que el estado sea Available (Disponible). Este proceso puede tardar unos minutos.

Paso 5: Prueba del punto de conexión de VPC

Compruebe que el punto de conexión de VPC esté enviando solicitudes desde su instancia a CloudWatch.

Para probar el punto de conexión de VPC

Ejecute el siguiente comando en la instancia. En la opción --region, especifique la región en la que creó el punto de conexión de VPC.


aws cloudwatch list-metrics --namespace AWS/EC2 --region us-east-1

Si recibe una respuesta, aunque sea una respuesta con resultados vacíos, sabrá que está conectado a CloudWatch mediante AWS PrivateLink.

Si aparece el error UnauthorizedOperation, asegúrese de que la instancia tenga un rol de IAM que le permita acceder a CloudWatch.

Si se agota el tiempo de espera de la solicitud, compruebe lo siguiente:

El grupo de seguridad del punto de conexión permite el tráfico a CloudWatch.
La opción --region especifica la región en la que creó el punto de conexión de VPC.

Paso 6: limpiar

Si ya no necesita el host bastión y la instancia que creó para este tutorial, puede terminarlos.

Para terminar las instancias

Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
En el panel de navegación, seleccione Instances (Instancias).
Seleccione ambas instancias de prueba y elija Instance state (Estado de la instancia) y Terminate instance (Terminar instancia).
Cuando se le indique que confirme, elija Finalizar.

Si ya no necesita el punto de conexión de VPC, puede eliminarlo.

Para eliminar el punto de conexión de VPC

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Puntos de conexión.
Seleccione el punto de conexión de VPC.
Elija Acciones, Eliminar puntos de conexión de VPC.
Cuando se le pida confirmación, ingrese delete y elija Eliminar.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Conceptos

Acceso a Servicios de AWS