Come posso attivare gli indirizzi IP elastici sull'endpoint del server AWS Transfer Family abilitato per SFTP con una porta dell'ascoltatore personalizzata?

5 minuti di lettura
0

Desidero utilizzare gli indirizzi IP elastici per rendere accessibile il mio server AWS Transfer Family abilitato per SFTP. Tuttavia, la porta dell'ascoltatore non può essere la porta 22.

Risoluzione

Se puoi usare la porta 22 come porta dell'ascoltatore, crea un endpoint con connessione Internet per il tuo server.

Tuttavia, se devi cambiare la porta dell'ascoltatore con una porta diversa dalla 22 (per la migrazione), segui questi passaggi:

Crea un Amazon Virtual Private Cloud (Amazon VPC) e assegna gli indirizzi IP

  1. Crea un Amazon VPC nella stessa Regione AWS del tuo server.
  2. Crea sottoreti nel tuo VPC all'interno delle zone di disponibilità in cui desideri utilizzare il tuo server.
    Nota: un server AWS Transfer Family può supportare fino a tre zone di disponibilità.
  3. Assegna fino a tre indirizzi IP elastici nella stessa regione del tuo server. In alternativa puoi portare il tuo intervallo di indirizzi IP (BYOIP).
    Nota: il numero di indirizzi IP elastici deve corrispondere al numero di zone di disponibilità utilizzate con gli endpoint del server.

Crea un server AWS Transfer Family abilitato per SFTP con un tipo di endpoint VPC interno

  1. Segui i passaggi per creare un endpoint del server che sia accessibile solo dall'interno del tuo VPC.
  2. Dopo aver creato il server, visualizzane i dettagli dalla console AWS Transfer Family. Nella sezione Configurazione endpoint, annota gli indirizzi IPv4 privati. Questi indirizzi IP sono necessari per la creazione di un Network Load Balancer.

Crea un Network Load Balancer e stabilisci l'endpoint VPC del server come destinazione del bilanciatore del carico

  1. Apri la console Amazon Elastic Compute Cloud (Amazon EC2).
  2. Dal pannello di navigazione scegli Sistemi di bilanciamento del carico.
  3. Scegli Crea sistema di bilanciamento del carico.
  4. In Network Load Balancer, scegli Crea.
  5. Per la Fase 1: Configura sistema di bilanciamento del carico, inserisci quanto segue:
    In Nome, inserisci un nome per il bilanciatore del carico.
    Per Schema, seleziona con connessione Internet.
    In Ascoltatori, mantieni il protocollo del sistema del bilanciamento del carico come TCP. Quindi, cambia la porta associata del sistema di bilanciamento del carico nella porta dell'ascoltatore personalizzata.
    Per VPC, seleziona l'Amazon VPC che hai creato.
    Per le Zone di disponibilità, seleziona le zone di disponibilità associate alle sottoreti pubbliche disponibili nello stesso VPC utilizzato con gli endpoint del server.
    Per l'indirizzo IPv4 di ciascuna sottorete, seleziona uno degli indirizzi IP elastici che hai assegnato.
  6. Scegli Avanti: Configura impostazioni di sicurezza.
  7. Scegli Avanti: Configura instradamento.
  8. Per la Fase 3: Configura instradamento, inserisci quanto segue:
    In Gruppo di destinazione, seleziona Nuovo gruppo di destinazione.
    In Nome, inserisci un nome per il gruppo di destinazione.
    In Tipo di destinazione, seleziona IP.
    In Protocollo, seleziona TCP.
    In Porta, inserisci 22.
    Nota: i server AWS Transfer Family supportano il traffico solo sulla porta 22. Il bilanciatore del carico deve comunicare con il server tramite la porta 22.
    In Controlli dell'integrità, per Protocollo seleziona TCP.
  9. Scegli Avanti: Registra destinazioni.
  10. Per la Fase 4: Registra destinazioni, inserisci quanto segue:
    In Rete, conferma che l'Amazon VPC che desideri utilizzare sia selezionato.
    In IP, inserisci gli indirizzi IPv4 privati degli endpoint del tuo server. Hai copiato questi indirizzi IP dopo aver creato il server.
  11. Scegli Aggiungi all'elenco.
  12. Ripeti i passaggi 10 e 11 finché non hai inserito gli indirizzi IP privati per tutti gli endpoint del server.
  13. Scegli Avanti: Rivedi.
  14. Scegli Crea.

Dopo aver configurato il server e il bilanciatore del carico, i client comunicano con il bilanciatore del carico tramite la porta dell'ascoltatore personalizzata. Quindi, il bilanciatore del carico comunica con il server tramite la porta 22.

Verifica l'accesso al server da un indirizzo IP elastico

Connettiti al server tramite la porta personalizzata attraverso un indirizzo IP elastico o il nome DNS del Network Load Balancer. Ad esempio, il seguente comando OpenSSH si connette al server tramite un indirizzo IP elastico e una porta personalizzata:

Nota: sostituisci**[port]** con la tua porta personalizzata. Quindi, sostituisci 192.0.2.3 con un indirizzo IP elastico che hai assegnato.

sftp -i sftpuserkey -P [port] sftpuser@192.0.2.3

Importante: per gestire l'accesso al server dagli indirizzi IP dei client, utilizza le liste di controllo degli accessi alla rete (ACL) e il gruppo di sicurezza per il bilanciatore del carico. Se i controlli di integrità del Network Load Balancer falliscono, il bilanciatore del carico non può connettersi all'endpoint del server. Per risolvere questo problema, verifica le seguenti condizioni:

  • Conferma che il gruppo di sicurezza associato all'endpoint del server consenta le connessioni in entrata dalle sottoreti del bilanciatore del carico. Il bilanciatore del carico deve essere in grado di connettersi all'endpoint del server tramite la porta 22.
  • Conferma che lo Stato del server sia Online.

Informazioni correlate

Lift and shift migration of SFTP servers to AWS

AWS UFFICIALE
AWS UFFICIALEAggiornata 4 mesi fa