Come posso attivare gli indirizzi IP elastici sull'endpoint del server Transfer Family abilitato per SFTP con una porta listener personalizzata?

5 minuti di lettura
0

Desidero utilizzare gli indirizzi IP elastici per rendere accessibile il mio server AWS Transfer Family abilitato per SFTP tramite una porta listener personalizzata.

Risoluzione

Se puoi usare la porta 22, 2222, 22000 o 2223 come porta listener, crea un endpoint con connessione Internet per il server.

Per cambiare la porta listener con una porta diversa dalla 22, 2222, 22000 o 2223, segui i passaggi riportati di seguito.

Creazione di un Amazon Virtual Private Cloud (Amazon VPC) e assegnazione degli indirizzi IP

Completa i passaggi seguenti:

  1. Crea un Amazon VPC nella stessa Regione AWS del server.
  2. Crea sottoreti nel VPC all'interno delle zone di disponibilità in cui desideri utilizzare il server.
    Nota: un server Transfer Family può supportare fino a tre zone di disponibilità.
  3. Assegna fino a tre indirizzi IP elastici nella stessa regione del server. In alternativa puoi portare il tuo intervallo di indirizzi IP (BYOIP).
    Nota: il numero di indirizzi IP elastici deve corrispondere al numero di zone di disponibilità utilizzate con gli endpoint del server.

Creazione di un server AWS Transfer Family abilitato per SFTP con un tipo di endpoint VPC interno

Completa i passaggi seguenti:

  1. Segui i passaggi per creare un endpoint del server che sia accessibile solo dall'interno del tuo VPC.
  2. Dopo aver creato il server, visualizza i relativi dettagli dalla console AWS Transfer Family. Nella sezione Configurazione endpoint, prendi nota degli indirizzi IPv4 privati. Questi indirizzi IP vengono utilizzati durante la creazione di un Network Load Balancer.

Creazione di un Network Load Balancer e definizione dell'endpoint VPC del server come destinazione del bilanciatore del carico

Completa i passaggi seguenti:

  1. Apri la console Amazon Elastic Compute Cloud (Amazon EC2).
  2. Dal pannello di navigazione scegli Sistemi di bilanciamento del carico.
  3. Scegli Crea sistema di bilanciamento del carico.
  4. In Network Load Balancer, scegli Crea.
  5. Per la Fase 1: Configura sistema di bilanciamento del carico, inserisci quanto segue:
    In Nome, inserisci un nome per il bilanciatore del carico.
    Per Schema, seleziona con connessione Internet.
    In Ascoltatori, mantieni il protocollo del sistema del bilanciamento del carico come TCP. Quindi, cambia la porta associata del sistema di bilanciamento del carico nella porta dell'ascoltatore personalizzata.
    Per VPC, seleziona l'Amazon VPC che hai creato.
    Per le Zone di disponibilità, seleziona le zone di disponibilità associate alle sottoreti pubbliche disponibili nello stesso VPC utilizzato con gli endpoint del server.
    Per l'indirizzo IPv4 di ciascuna sottorete, seleziona uno degli indirizzi IP elastici che hai assegnato.
  6. Scegli Avanti: Configura impostazioni di sicurezza.
  7. Scegli Avanti: Configura instradamento.
  8. Per la Fase 3: Configura instradamento, inserisci quanto segue:
    In Gruppo di destinazione, seleziona Nuovo gruppo di destinazione.
    In Nome, inserisci un nome per il gruppo di destinazione.
    In Tipo di destinazione, seleziona IP.
    In Protocollo, seleziona TCP.
    In Porta, inserisci 22.
    Nota: i server Transfer Family supportano il traffico solo sulla porta 22. Il bilanciatore del carico deve comunicare con il server tramite la porta 22.
    In Controlli dell'integrità, per Protocollo seleziona TCP.
  9. Scegli Avanti: Registra destinazioni.
  10. Per la Fase 4: Registra destinazioni, inserisci quanto segue:
    In Rete, conferma che sia selezionato l'Amazon VPC che desideri utilizzare.
    In IP, inserisci gli indirizzi IPv4 privati degli endpoint del tuo server. Hai copiato questi indirizzi IP dopo aver creato il server.
  11. Scegli Aggiungi all'elenco.
  12. Ripeti i passaggi 10 e 11 finché non hai inserito gli indirizzi IP privati per tutti gli endpoint del server.
  13. Scegli Successivo: Rivedi.
  14. Scegli Crea.

Dopo aver configurato il server e il bilanciatore del carico, i client comunicano con il bilanciatore del carico tramite la porta dell'ascoltatore personalizzata. Quindi, il bilanciatore del carico comunica con il server tramite la porta 22.

Verifica l'accesso al server da un indirizzo IP elastico

Connettiti al server tramite la porta personalizzata attraverso un indirizzo IP elastico o il nome DNS del Network Load Balancer. Ad esempio, il seguente comando OpenSSH si connette al server tramite un indirizzo IP elastico e una porta personalizzata:

Nota: sostituisci portNumber con il numero di porta personalizzato. Quindi, sostituisci 192.0.2.3 con un indirizzo IP elastico che hai assegnato.

sftp -i sftpuserkey -P portNumber sftpuser@192.0.2.3

Importante: per gestire l'accesso al server dagli indirizzi IP dei client, utilizza le lista di controllo degli accessi alla rete (ACL) e il gruppo di sicurezza per il bilanciatore del carico. Se i controlli dell'integrità del Network Load Balancer non vanno a buon fine, il bilanciatore del carico non può connettersi all'endpoint del server. Per risolvere i problemi di connessione, verifica le seguenti condizioni:

  • Conferma che il gruppo di sicurezza associato all'endpoint del server consenta le connessioni in entrata dalle sottoreti del bilanciatore del carico. Il bilanciatore del carico deve essere in grado di connettersi all'endpoint del server tramite la porta 22.
  • Conferma che lo Stato del server sia Online.

Informazioni correlate

Lift and shift migration of SFTP servers to AWS

AWS UFFICIALE
AWS UFFICIALEAggiornata un mese fa