Teil 3 - Vorbereiten der Bereitstellung von Tableau Server Enterprise

Im 3. Teil werden die Anforderungen für die Vorbereitung Ihrer Infrastruktur auf die Bereitstellung der Tableau Server-Referenzarchitektur beschrieben. Bevor Sie beginnen sollten Sie sich Teil 2 – Einführung in die Referenzarchitektur für die Bereitstellung von Tableau Server ansehen.

Neben den Beschreibungen der Anforderungen enthält dieses Thema ein Implementierungsbeispiel der Referenzarchitektur in einer AWS-Umgebung. Der Rest dieses Handbuchs baut auf dem AWS-Referenzarchitekturbeispiel auf, das in diesem Thema begonnen wurde.

Ein Kernprinzip der Referenzarchitektur ist die Standardisierung mit Best Practices für die Sicherheit im Rechenzentrum. Die Architektur ist insbesondere darauf ausgelegt, Dienste in geschützte Netzwerk-Subnetze aufzuteilen. Die Kommunikation zwischen Subnetzen ist auf bestimmten Protokoll- und Portverkehr beschränkt.

Das folgende Diagramm veranschaulicht das Subnetzdesign der Referenzarchitektur für eine lokale Bereitstellung oder eine vom Kunden verwaltete Cloud-Bereitstellung. Ein Beispiel für eine Cloud-Bereitstellung finden Sie weiter unten im Abschnitt Beispiel: Konfigurieren von Subnetzen und Sicherheitsgruppen in AWS.

Subnetze

Erstellen Sie drei Subnetze: 

  • Eine Webschicht
  • Eine Anwendungsschicht
  • Eine Datenschicht

Firewall-/Sicherheitsgruppenregeln

Auf den folgenden Registerkarten werden die Firewallregeln für jede Schicht des Rechenzentrums beschrieben. Informationen zu Regeln AWS-spezifischer Sicherheitsgruppen finden Sie weiter unten in diesem Thema.

Die Webschicht ist ein öffentliches DMZ-Subnetz, das eingehende HTTPS-Anfragen verarbeitet und die Anfragen an die Anwendungsschicht weiterleitet. Dieses Design bietet eine Ebene zum Schutz vor Malware, die Ihr Unternehmen befallen könnte. Die Webschicht blockiert den Zugriff auf die Anwendungs-/Datenschicht.

DatenverkehrTypProtokollPortbereichQuelle

Eingehend

SSHTCP22Bastion-Subnetz (für Cloud-Bereitstellungen)
EingehendHTTPTCP80Internet (0.0.0.0/0)
EingehendHTTPSTCP443Internet (0.0.0.0/0)
AusgehendSämtlicher DatenverkehrAlleAlle 

Das Anwendungs-Subnetz ist die Stelle, an der sich die Tableau Server-Bereitstellung befindet. Das Anwendungs-Subnetz enthält die Tableau-Anwendungsserver (Knoten 1 und Knoten 2). Die Tableau-Anwendungsserver verarbeiten Benutzeranforderungen, die an die Datenserver gestellt werden, und führen die zentrale Geschäftslogik aus.

Das Anwendungs-Subnetz umfasst auch die Tableau-Datenserver (Knoten 3 und Knoten 4).

Sämtlicher Client-Datenverkehr zur Anwendungsschicht wird in der Webschicht authentifiziert. Der administrative Zugriff auf das Anwendungs-Subnetz wird authentifiziert und über den Bastion-Host geleitet.

DatenverkehrTypProtokollPortbereichQuelle

Eingehend

SSHTCP22Bastion-Subnetz (für Cloud-Bereitstellungen)
EingehendHTTPSTCP443Webschicht-Subnetz
AusgehendSämtlicher DatenverkehrAlleAlle 

Das Daten-Subnetz ist die Stelle, an der sich der externe PostgreSQL-Datenbankserver befindet.

DatenverkehrTypProtokollPortbereichQuelle

Eingehend

SSHTCP22Bastion-Subnetz (für Cloud-Bereitstellungen)
EingehendPostgreSQLTCP5432Subnetz "Anwendungsschicht"
AusgehendSämtlicher DatenverkehrAlleAlle 

Die meisten Sicherheitsteams in Unternehmen erlauben keine direkte Kommunikation zwischen dem lokalen Verwaltungssystem und den in der Cloud bereitgestellten Knoten. Stattdessen wird der gesamte administrative SSH-Verkehr zu den Cloud-Knoten über einen Bastion-Host (auch als "Jump Server" bezeichnet) geleitet. Für Cloud-Bereitstellungen empfehlen wir eine Bastion-Host-Proxyverbindung zu allen Ressourcen in der Referenzarchitektur. Dies ist eine optionale Konfiguration für On-Premise-Umgebungen.

Der Bastion-Host authentifiziert den administrativen Zugriff und lässt nur Datenverkehr über das SSH-Protokoll zu.

DatenverkehrTypProtokollPortbereichQuelleZiel

Eingehend

SSHTCP22IP-Adresse des Administratorcomputers 
AusgehendSSHTCP22 Webschicht-Subnetz
AusgehendSSHTCP22 Subnetz "Anwendungsschicht"

Beispiel: Konfigurieren von Subnetzen und Sicherheitsgruppen in AWS

Dieses Thema enthält Schritt-für-Schritt-Anleitungen zum Erstellen und Konfigurieren der VPC und Netzwerkumgebung für die Bereitstellung der Tableau Server-Referenzarchitektur in AWS.

Die folgenden Folien zeigen die Referenzarchitektur in vier Ebenen. Während Sie die Folien durchgehen, werden Komponentenelemente auf die Topologiekarte geschichtet:

  1. VPC-Subnetz-Topologie und EC2-Instanzen: ein Bastion-Host, zwei Reverseproxy-Server, vier Tableau Server und mindestens ein PostgreSQL-Server.
  2. Protokollfluss und Internetverbindung: Sämtlicher eingehender Datenverkehr wird über das AWS-Internet-Gateway verwaltet. Datenverkehr in Richtung Internet wird über das NAT geroutet.
  3. Verfügbarkeitszonen: Die Proxy-, Tableau Server- und PostgreSQL-Hosts sind gleichmäßig auf zwei Verfügbarkeitszonen verteilt.
  4. Sicherheitsgruppen: Vier Sicherheitsgruppen (Öffentlich, Privat, Daten und Bastion) schützen jede Schicht auf der Protokollebene.

AWS-Verfügbarkeitszonen und hohe Verfügbarkeit

Die in diesem Handbuch vorgestellte Referenzarchitektur spezifiziert eine Bereitstellung, die Verfügbarkeit durch Redundanz bietet, wenn ein einzelner Host ausfällt. Im AWS-Fall, in dem die Referenzarchitektur in zwei Verfügbarkeitszonen bereitgestellt wird, ist die Verfügbarkeit jedoch in dem sehr seltenen Fall gefährdet, dass eine Verfügbarkeitszone ausfällt.

VPC-Konfiguration

In diesem Abschnitt wird Folgendes beschrieben:

  • Installieren und Konfigurieren der VPC
  • Konfigurieren der Internetkonnektivität
  • Konfigurieren von Subnetzen
  • Erstellen und Konfigurieren von Sicherheitsgruppen

Konfigurieren der VPC

Die Vorgehensweise in diesem Abschnitt entspricht der Benutzeroberfläche in der "klassischen" VPC-Umgebung. Sie können die Benutzeroberfläche zur Anzeige der klassischen Ansicht umschalten, indem Sie die neue VPC-Umgebung in der oberen linken Ecke des AWS VPC-Dashboards deaktivieren.

Führen Sie den VPC-Assistenten aus, um das standardmäßige private und öffentliche Subnetz sowie die Standard-Routing- und Standard-Netzwerk-Zugriffssteuerungsliste (ACL) zu erstellen.

  1. Bevor Sie eine VPC konfigurieren, müssen Sie eine "Elastic IP" erstellen. Erstellen Sie eine Zuordnung unter Verwendung aller Standardeinstellungen.
  2. Führen Sie den VPC-Assistenten aus, und wählen Sie die Option "VPC mit öffentlichen und privaten Subnetzen" aus.
  3. Akzeptieren Sie die meisten Standardeinstellungen, außer den folgenden: 
    • Geben Sie einen VPC-Namen ein.
    • Geben Sie die Zuordnungs-ID der "Elastic IP" an.
    •  Geben Sie die folgenden CIDR-Masken an:
      • IPv4-CIDR des öffentlichen Subnetzes: 10.0.1.0/24 – benennen Sie dieses Subnetz in Public-a um.
      • IPv4-CIDR des privaten Subnetzes: 10.0.30.0/24 – benennen Sie dieses Subnetz in Private-a um.
    • Verfügbarkeitszone: Wählen Sie für beide Subnetze die Option a für die Region aus, in der Sie sich befinden.

      Hinweis: In diesem Beispiel verwenden wir a und b, um zwischen Verfügbarkeitszonen in einem bestimmten AWS-Rechenzentrum zu unterscheiden. In AWS stimmen die Namen der Verfügbarkeitszonen möglicherweise nicht mit den hier gezeigten Beispielen überein. So enthalten zum Beispiel einige Verfügbarkeitszonen c- und d-Zonen innerhalb eines Rechenzentrums.

  4. Klicken Sie auf VPC erstellen.
  5. Nachdem die VPC erstellt wurde, erstellen Sie die Subnetze Public-b,Private-b, Data und Bastion. Klicken Sie zum Erstellen eines Subnetzes auf Subnetze > Subnetz erstellen.
    • Public-b: Wählen Sie für "Verfügbarkeitszone" die Option b für die Region aus, in der Sie sich befinden. CIDR-Block: 10.0.2.0/24

    • Private-b: Wählen Sie für "Verfügbarkeitszone" die Option b für die Region aus, in der Sie sich befinden. CIDR-Block: 10.0.31.0/24
    • Data: Wählen Sie für "Verfügbarkeitszone" die Option a für die Region aus, in der Sie sich befinden. CIDR-Block: 10.0.50.0/24 Optional: Wenn Sie beabsichtigen, die externe Datenbank über einen PostgreSQL-Cluster zu replizieren, erstellen Sie ein Data-b-Subnetz in der Zone b mit einem CIDR-Block von 10.0.51.0/24.
    • Bastion: Wählen Sie für "Verfügbarkeitszone" eine der beiden Zonen aus. CIDR-Block: 10.0.0.0/24
  6. Nachdem die Subnetze erstellt wurden, bearbeiten Sie die Routing-Tabellen für das öffentliche und das Bastion-Subnetz so, dass die Routing-Tabelle verwendet wird, die für das zugehörige Internet-Gateway (Internet Gateway, IGW) konfiguriert ist. Bearbeiten Sie das private Subnetz und das Daten-Subnetz so, dass die Routing-Tabelle verwendet, die für den Netzwerkadressübersetzer (Network Address Translator, NAT) konfiguriert ist.
    • Um festzustellen, welche Routing-Tabelle mit dem IGW oder dem NAT konfiguriert ist, klicken Sie im AWS-Dashboard auf Routing-Tabellen. Wählen Sie einen der beiden Routing-Tabellen-Links aus, um die Eigenschaftsseite zu öffnen. Achten Sie auf den Zielwert unter Routen > Ziel > 0.0.0.0/0. Der Zielwert unterscheidet den Typ der Route. Er beginnt entweder mit der Zeichenfolge igw- oder mit nat-.
    • Zum Aktualisieren von Routing-Tabellen klicken Sie auf VPC > Subnetze > [Subnetzname] > Routing-Tabelle > Routing-Tabellenzuordnung bearbeiten.

Konfigurieren von Sicherheitsgruppen

Der VPC-Assistent erstellt eine einzelne Sicherheitsgruppe, die Sie nicht verwenden werden. Erstellen Sie die folgenden Sicherheitsgruppen (Sicherheitsgruppen > Sicherheitsgruppe erstellen). Die EC2-Hosts werden in diesen Gruppen über zwei Verfügbarkeitszonen hinweg installiert, wie in dem Foliendiagramm oben gezeigt.

  • Erstellen Sie eine neue Sicherheitsgruppe: Private ("Privat"). Hier werden alle 4 Knoten von Tableau Server installiert. Die Sicherheitsgruppe "Private" wird den Subnetzen 10.0.30.0/24 und 10.0.31.0/24 zugeordnet.
  • Erstellen Sie eine neue Sicherheitsgruppe: Public ("Öffentlich"). Hier werden Proxyserver installiert. Die Sicherheitsgruppe "Public" wird später in diesem Verfahren den Subnetzen 10.0.1.0/24 und 10.0.2.0/24 zugeordnet.
  • Erstellen Sie eine neue Sicherheitsgruppe: Data. ("Daten"). Hier wird das externe PostgreSQL-Tableau-Repository installiert. Die Sicherheitsgruppe "Data" wird später in diesem Verfahren dem Subnetz 10.0.50.0/24 (und optional 10.0.51.0/24) zugeordnet.
  • Erstellen Sie eine neue Sicherheitsgruppe: Bastion. Hier werden Sie den Bastion-Host installieren. Die Sicherheitsgruppe "Bastion" wird später in diesem Verfahren dem Subnetz und 10.0.0.0/24 zugeordnet.

Angeben von Regeln für eingehenden und ausgehenden Datenverkehr

In AWS sind Sicherheitsgruppen das Gegenstück zu Firewalls in einer On-Premise-Umgebung. Sie müssen den Typ von Datenverkehr (z. B. http, https usw.), das Protokoll (TCP oder UDP) und die Ports oder den Portbereich (z. B. 80, 443 usw.) angeben, über die Datenverkehr in die und aus der Sicherheitsgruppe geleitet werden darf. Für jedes Protokoll müssen Sie auch den Ziel- oder Quelldatenverkehr angeben.

Regeln für die öffentliche Sicherheitsgruppe

Regeln für eingehenden Datenverkehr
TypProtokollPortbereichQuelle
HTTPTCP800.0.0.0/0
HTTPSTCP4430.0.0.0/0
SSHTCP22Bastion-Sicherheitsgruppe ("Bastion")

 

Regeln für ausgehenden Datenverkehr
TypProtokollPortbereichZiel
Sämtlicher DatenverkehrAlleAlle0.0.0.0/0

Regeln für die Sicherheitsgruppe "Private"

Die Sicherheitsgruppe "Private" enthält eine Regel für eingehenden Datenverkehr, um HTTP-Datenverkehr von der Sicherheitsgruppe "Public" zuzulassen. Lassen Sie HTTP-Datenverkehr nur während des Bereitstellungsprozesses zu, um die Konnektivität zu überprüfen. Wir empfehlen, die Regel für über HTTP eingehenden Datenverkehr zu entfernen, nachdem Sie die Bereitstellung des Reverse-Proxys und die Konfiguration von SSL für Tableau abgeschlossen haben.

Regeln für eingehenden Datenverkehr
TypProtokollPortbereichQuelle
HTTPTCP80Öffentliche Sicherheitsgruppe ("Public")
HTTPSTCP443Öffentliche Sicherheitsgruppe ("Public")
PostgreSQLTCP5432Daten-Sicherheitsgruppe ("Data")
SSHTCP22Bastion-Sicherheitsgruppe ("Bastion")
Sämtlicher DatenverkehrAlleAllePrivate Sicherheitsgruppe ("Private")

 

Regel für ausgehenden Datenverkehr
TypProtokollPortbereichZiel
Sämtlicher DatenverkehrAlleAlle0.0.0.0/0
PostgreSQLTCP5432Daten-Sicherheitsgruppe ("Data")
SSHTCP22Bastion-Sicherheitsgruppe ("Bastion")

Regeln für die Daten-Sicherheitsgruppe ("Data")

Regeln für eingehenden Datenverkehr
TypProtokollPortbereichQuelle
PostgreSQLTCP5432Private Sicherheitsgruppe ("Private")
SSHTCP22Bastion-Sicherheitsgruppe ("Bastion")

 

Regeln für ausgehenden Datenverkehr
TypProtokollPortbereichZiel
Sämtlicher DatenverkehrAlleAlle0.0.0.0/0
PostgreSQLTCP5432Private Sicherheitsgruppe ("Private")
SSHTCP22Bastion-Sicherheitsgruppe ("Bastion")

Regeln für die Sicherheitsgruppe "Bastion-Host"

Regeln für eingehenden Datenverkehr
TypProtokollPortbereichQuelle
SSHTCP22Die IP-Adresse und Netzmaske des Computers, mit dem Sie sich bei AWS anmelden werden (Admin-Computer).
SSHTCP22Private Sicherheitsgruppe ("Private")
SSHTCP22Öffentliche Sicherheitsgruppe ("Public")

 

Regeln für ausgehenden Datenverkehr
TypProtokollPortbereichZiel
SSHTCP22Die IP-Adresse und Netzmaske des Computers, mit dem Sie sich bei AWS anmelden werden (Admin-Computer).
SSHTCP22Private Sicherheitsgruppe ("Private")
SSHTCP22Öffentliche Sicherheitsgruppe ("Public")
SSHTCP22Daten-Sicherheitsgruppe ("Data")
HTTPSTCP4430.0.0.0/0 (Optional: Erstellen Sie diese Regel, wenn Sie Zugriff auf das Internet benötigen, um unterstützende Software auf dem Bastion-Host herunterzuladen.)

Aktivieren der automatischen Zuweisung öffentlicher IP-Adressen

Dadurch erhalten Sie eine IP-Adresse zum Herstellen einer Verbindung zu den Proxyservern und dem Bastion-Host.

Für das öffentliche Subnetz und das Bastion-Subnetz:

  1. Wählen Sie das Subnetz aus.
  2. Wählen Sie im Menü Actions (Aktionen) die Option "Modify auto-assign IP settings" (Einstellungen für automatische Zuweisung von IP-Adresse ändern) aus.
  3. Klicken Sie auf "Enable auto-assign public IPv4 address" (Automatische Zuweisung von öffentlichen IPv4-Adressen aktivieren).
  4. Klicken Sie auf Save (Speichern).

Lastenausgleich

Hinweis: Wenn Sie in AWS installieren und der Beispielbereitstellung in dieser Anleitung folgen, sollten Sie den AWS-Lastenausgleich später im Bereitstellungsprozess installieren und konfigurieren, wie in Teil 5 – Konfigurieren der Webschicht beschrieben.

Bei der lokalen Bereitstellung arbeiten Sie mit Ihren Netzwerkadministratoren zusammen, um einen Lastausgleich zur Unterstützung der Webschicht der Referenzarchitektur einzurichten:

  • Ein webseitiger Anwendungs-Lastenausgleich, der HTTPS-Anforderungen von Tableau-Clients entgegen nimmt und mit den Reverse-Proxyservern kommuniziert.
  • Reverse-Proxy: 
    • Wir empfehlen mindestens zwei Proxyserver, um Redundanz zu erhalten und um die Client-Last zu bewältigen.
    • Er empfängt HTTPS-Datenverkehr vom Lastenausgleich.
    • Er unterstützt Sticky-Sitzung zum Tableau-Host.
    • Konfigurieren Sie den Proxy für Roundrobin-Lastenausgleich für jeden Tableau Server, auf dem der Gateway-Prozess ausgeführt wird.
    • Er verarbeitet Authentifizierungsanfragen von externem IdP.
  • Forward-Proxy: Tableau Server benötigt für die Lizenzierung und die Kartenfunktionalität Zugriff auf das Internet. Je nach Ihrer Forward-Proxy-Umgebung müssen Sie möglicherweise Forward-Proxy-Safelists für Tableau-Service-URLs konfigurieren. Siehe Kommunikation mit dem Internet (Linux(Link wird in neuem Fenster geöffnet)).

Konfigurieren der Hostcomputer

Empfohlene Mindesthardware

Die folgenden Empfehlungen stützen sich auf unsere Tests realer Daten in der Referenzarchitektur.

Anwendungsserver:

  • CPU: 8 physische Kerne (16vCPUs),
  • RAM: 128 GB (16 GB/physischer Kern)
  • Festplattenplatz: 100 GB

Datenserver

  • CPU: 8 physische Kerne (16vCPUs),
  • RAM: 128 GB (16 GB/physischer Kern)
  • Festplattenplatz: 1 TB Wenn Ihre Bereitstellung externen Speicher für den Tableau-Dateispeicher verwenden soll, müssen Sie den entsprechenden Speicherplatz berechnen. Informationen dazu finden Sie unter Installieren von Tableau Server mit dem externen Dateispeicher (Linux(Link wird in neuem Fenster geöffnet)).

Proxyserver

  • CPU: 2 physische Kerne (4vCPUs),
  • RAM: 8 GB (4 GB/physischer Kern)
  • Festplattenplatz: 100 GB

Externes Repository-Datenbank

  • CPU: 8 physische Kerne (16vCPUs),
  • RAM: 128 GB (16 GB/physischer Kern)
  • Der Bedarf an Festplattenplatz hängt von Ihrer Datenlast und deren Auswirkungen auf Sicherungen ab. Weitere Informationen finden Sie im Abschnitt Sicherungs- und Wiederherstellungsprozesse im Thema Festplattenspeicheranforderungen (Linux(Link wird in neuem Fenster geöffnet)).

Verzeichnisaufbau

DIn der Referenzarchitektur wird empfohlen, das Tableau Server-Paket und die Daten an nicht standardmäßigen Speicherorten zu installieren:

  • Installieren Sie das Paket in: /app/tableau_server: Erstellen Sie diesen Verzeichnispfad, bevor Sie das Tableau Server-Paket installieren, und geben Sie diesen Pfad dann während der Installation an.
  • Installieren Sie Tableau-Daten in: /data/tableau_data. Erstellen Sie dieses Verzeichnis erst, nachdem Sie Tableau Server installiert haben. Stattdessen müssen Sie den Pfad während der Installation angeben, und dann erstellt das Installationsprogramm von Tableau den Pfad und gibt ihn entsprechend frei.

Einzelheiten zur Implementierung finden Sie unter Ausführen des Installationspakets und Initialisieren von TSM.

Beispiel: Installieren und Vorbereiten von Hostcomputern in AWS

In diesem Abschnitt wird erläutert, wie Sie EC2-Hosts für jeden Servertyp in der Tableau Server-Referenzarchitektur installieren.

Die Referenzarchitektur erfordert acht Hosts:

  • Vier Instanzen für Tableau Server
  • Zwei Instanzen für Proxyserver (Apache)
  • Eine Instanz für Bastion-Host
  • Eine oder zwei EC2-PostgreSQL-Datenbankinstanzen

Details zur Hostinstanz

Installieren Sie die Hostcomputer gemäß den folgenden Angaben.

Tableau Server

  • Amazon Linux 2
  • Instanztyp: m5a.8xlarge
  • Sicherheitsgruppen-ID: Privat
  • Speicher: EBS, 150 GiB, gp2-Volume-Typ Wenn Ihre Bereitstellung externen Speicher für den Tableau-Dateispeicher verwenden soll, müssen Sie den entsprechenden Speicherplatz berechnen. Informationen dazu finden Sie unter Installieren von Tableau Server mit dem externen Dateispeicher (Linux(Link wird in neuem Fenster geöffnet)).
  • Netzwerk: Installieren Sie zwei EC2-Hosts in jedem privaten Subnetz (10.0.30.0/24 und 10.0.31.0/24).
  • Kopieren Sie die neueste Wartungsversion von Tableau Server 2021.2 (oder höher) als rpm-Paket von der Tableau-Downloadseite(Link wird in neuem Fenster geöffnet) auf jeden Tableau-Host.

Bastion-Host

  • Amazon Linux 2
  • Instanztyp: t3.micro
  • Sicherheitsgruppen-ID: Bastion
  • Speicher: EBS, 50 GiB, gp2-Volume-Typ
  • Netzwerk: Bastion-Subnetz 10.0.0.0/24

Tableau Server Independent Gateway

  • Amazon Linux 2
  • Instanztyp: t3.xlarge
  • Sicherheitsgruppen-ID: Öffentlich
  • Speicher: EBS, 100 GiB, gp2-Volume-Typ
  • Netzwerk: Installieren Sie eine EC2-Instanz in jedem öffentlichen Subnetz (10.0.1.0/24 und 10.0.2.0/24)

PostgreSQL-EC2-Host

  • Amazon Linux 2
  • Instanztyp: r5.4xlarge
  • Sicherheitsgruppen-ID: Daten
  • Speicher: Der Bedarf an Festplattenplatz hängt von Ihrer Datenlast und deren Auswirkungen auf Sicherungen ab. Weitere Informationen finden Sie im Abschnitt Sicherungs- und Wiederherstellungsprozesse im Thema Festplattenspeicheranforderungen (Linux(Link wird in neuem Fenster geöffnet)).
  • Netzwerk: Daten-Subnetz 10.0.50.0/24 (Wenn Sie PostgreSQL in einem Hochverfügbarkeits-Cluster replizieren, installieren Sie den zweiten Host im 10.0.51.0/24-Subnetz)

Überprüfung: VPC-Konnektivität

Überprüfen Sie nach der Installation der Hostcomputer die Netzwerkkonfiguration. Überprüfen Sie die Konnektivität zwischen den Hosts, indem Sie von dem Host in der Bastion-Sicherheitsgruppe eine SSH-Verbindung zu den Hosts in jedem Subnetz herstellen.

Beispiel: Herstellen einer Verbindung mit dem Bastion-Host in AWS

  1. Richten Sie Ihren Administrationscomputer für ssh-agent ein. Auf diese Weise können Sie eine Verbindung zu Hosts in AWS herstellen, ohne Ihre private Schlüsseldatei auf EC2-Instanzen abzulegen.

    Führen Sie den folgenden Befehl aus, um ssh-agent auf einem Mac zu konfigurieren:

    ssh-add -K myPrivateKey.pem oder für das neueste macOS: ssh-add --apple-use-keychain myPrivateKey.pem

    Informationen zu Windows finden Sie im Thema Securely Connect to Linux Instances Running in a Private Amazon VPC(Link wird in neuem Fenster geöffnet) (Sicheres Herstellen einer Verbindung zu Linux-Instanzen, die in einer Amazon-VPC ausgeführt werden).


  2. Stellen Sie eine Verbindung mit dem Bastion-Host her, indem Sie den folgenden Befehl ausführen:

    ssh -A ec2-user@<public-IP>

  3. Anschließend können Sie von dem Bastion-Host aus eine Verbindung mit anderen Hosts in der VPC herstellen, indem Sie die private IP-Adresse verwenden. Zum Beispiel:

    ssh -A ec2-user@10.0.1.93

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.