Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Beispiel: Starten einer Elastic Beanstalk-Anwendung in einer VPC mit Bastion-Hosts
In diesem Abschnitt wird erklärt, wie Sie mithilfe eines Bastion-Hosts eine Elastic Beanstalk Beanstalk-Anwendung in einer VPC bereitstellen und warum Sie diese Topologie implementieren sollten.
Wenn sich Ihre EC2 Amazon-Instances in einem privaten Subnetz befinden, können Sie keine Remoteverbindung zu ihnen herstellen. Zum Herstellen einer Verbindung können Sie Bastion-Server im öffentlichen Subnetz herstellen, die als Proxys fungieren. Beispiel: Sie können SSH-Port-Weiterleitungen oder RDP-Gateways im öffentlichen Subnetz einrichten, um für den Datenverkehr an Ihre Datenbankserver aus Ihrem eigenen Netzwerk einen Proxy bereitzustellen. In diesem Abschnitt finden Sie ein Beispiel dafür, wie Sie eine VPC mit einem privaten und öffentlichen Subnetz erstellen. Die Instances befinden sich im privaten Subnetz und Bastion-Host, NAT-Gateway und Load Balancer befinden sich im öffentlichen Subnetz. Ihre Infrastruktur sollte dann wie das folgende Diagramm aussehen.
![\[Diagramm der Elastic Beanstalk- und VPC-Topologie mit Bastion-Host.\]](http://docs.aws.amazon.com/de_de/elasticbeanstalk/latest/dg/images/aeb-vpc-bastion-topo-ngw.png)
Um eine Elastic Beanstalk-Anwendung in einer VPC mithilfe eines Bastion-Host bereitzustellen, führen Sie die in den folgenden Unterabschnitten beschriebenen Schritte aus.
**Topics**
+ [Erstellen einer VPC mit einem öffentlichen und privaten Subnetz](#vpc-bastion-host-create)
+ [Erstellen und Konfigurieren der Bastion-Host-Sicherheitsgruppe](#vpc-bastion-create-host-sg)
+ [Aktualisieren der Instance-Sicherheitsgruppe](#vpc-bastion-update-instance-sg)
+ [Erstellen eines Bastion-Host](#vpc-bastion-host-launch)
## Erstellen einer VPC mit einem öffentlichen und privaten Subnetz
Führen Sie alle Verfahren in [Öffentliche/private VPC](vpc.md#services-vpc-privatepublic) durch. Bei der Bereitstellung der Anwendung müssen Sie ein EC2 Amazon-Schlüsselpaar für die Instances angeben, damit Sie sich remote mit ihnen verbinden können. Weitere Informationen darüber, wie Sie das Instance-Schlüsselpaar angeben können, finden Sie unter [Die EC2 Amazon-Instances für Ihre Elastic Beanstalk Beanstalk-Umgebung](using-features.managing.ec2.md).
## Erstellen und Konfigurieren der Bastion-Host-Sicherheitsgruppe
Erstellen Sie eine Sicherheitsgruppe für den Bastion-Host und fügen Sie Regeln hinzu, die eingehenden SSH-Verkehr aus dem Internet und ausgehenden SSH-Verkehr in das private Subnetz, das die Amazon-Instances enthält, zulassen. EC2
**So erstellen Sie die Bastion-Host-Sicherheitsgruppe**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Sicherheitsgruppen** aus.
1. Wählen Sie **Sicherheitsgruppen erstellen** aus.
1. Geben Sie im Dialogfeld **Create Security Group (Sicherheitsgruppe erstellen)** Folgendes ein und wählen Sie **Yes, Create (Ja, erstellen)** aus.
**Name tag (Namens-Tag)** (optional)
Geben Sie einen Namens-Tag für die Sicherheitsgruppe ein.
**Group name** (Gruppenname)
Geben Sie den Namens der Sicherheitsgruppe ein.
**Beschreibung**
Geben Sie eine Beschreibung für die Sicherheitsgruppe ein.
**VPC**
Wählen Sie Ihre VPC aus.
Die Sicherheitsgruppe wird erstellt und auf der Seite **Security Groups (Sicherheitsgruppen)** angezeigt. Die Gruppe ist mit einer ID versehen (z. B. `sg-xxxxxxxx`). Möglicherweise müssen Sie die Spalte **Group ID (Gruppen-ID)** aktivieren, indem Sie oben rechts auf der Seite auf **Show/Hide (Einblenden/Ausblenden)** klicken.
**Konfigurieren der Bastion-Host-Sicherheitsgruppe**
1. Aktivieren Sie in der Liste der Sicherheitsgruppen das Kontrollkästchen für die Sicherheitsgruppe, die Sie gerade für Ihren Bastion-Host erstellt haben.
1. Wählen Sie auf der Registerkarte **Inbound Rules** die Option **Edit** aus.
1. Wählen Sie bei Bedarf **Add another rule (Weitere Regel hinzufügen)** aus.
1. Wenn der Bastion-Host eine Linux-Instance ist, wählen Sie unter **Type (Typ)** die Option **SSH** aus.
Wenn der Bastion-Host eine Windows-Instance ist, wählen Sie unter **Type (Typ)** die Option **RDP** aus.
1. Geben Sie den gewünschten Quell-CIDR-Bereich im Feld **Source (Quelle)** ein und wählen Sie **Save (Speichern)** aus.
![\[Bastion-Host-Sicherheitsgruppe\]](http://docs.aws.amazon.com/de_de/elasticbeanstalk/latest/dg/images/vpc-bh-sg-inbound.png)
1. Wählen Sie auf der Registerkarte **Outbound Rules (Ausgehende Regeln)** die Option **Edit (Bearbeiten)** aus.
1. Wählen Sie bei Bedarf **Add another rule (Weitere Regel hinzufügen)** aus.
1. Wählen Sie unter **Type (Typ)** den für die eingehende Regel angegebenen Typ aus.
1. Geben Sie in das Feld **Source (Quelle)** den CIDR-Bereich des Subnetzes der Hosts im privaten Subnetz der VPC ein.
So suchen Sie:
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Subnetze** aus.
1. Notieren Sie sich den Wert unter **IPv4 CIDR** für jede **Availability Zone**, in der Sie Hosts haben, zu denen der Bastion-Host eine Verbindung herstellen soll.
**Anmerkung**
Wenn Sie Hosts in mehreren Availability Zones haben, erstellen Sie eine Regel für ausgehenden Datenverkehr für jede dieser Availability Zones.
![\[VPC-Subnetze\]](http://docs.aws.amazon.com/de_de/elasticbeanstalk/latest/dg/images/vpc-subnets.png)
1. Wählen Sie **Speichern**.
## Aktualisieren der Instance-Sicherheitsgruppe
Standardmäßig erlaubt die Sicherheitsgruppe, die Sie für Ihre Instances erstellt haben, eingehenden Datenverkehr nicht. Während Elastic Beanstalk die Standardgruppe so ändert, dass die Instances SSH-Datenverkehr zulassen, müssen Sie Ihre benutzerdefinierte Instance-Sicherheitsgruppe für das Zulassen von RDP-Datenverkehr ändern, wenn Ihre Instances Windows-Instances sind.
**So aktualisieren Sie die Instance-Sicherheitsgruppe für RDP**
1. Aktivieren Sie in der Liste der Sicherheitsgruppen das Kontrollkästchen für die Instance-Sicherheitsgruppe.
1. Klicken Sie auf die Registerkarte **Inbound** und wählen Sie **Edit** aus.
1. Wählen Sie bei Bedarf **Add another rule (Weitere Regel hinzufügen)** aus.
1. Geben Sie die folgenden Werte ein und wählen Sie **Save (Speichern)** aus.
**Typ**
`RDP`
**Protocol** (Protokoll)
`TCP`
**Port Range (Port-Bereich)**
`3389`
**Quelle**
Geben Sie die ID der Bastion-Host-Sicherheitsgruppe ein (z. B. `sg-8a6f71e8`) und wählen Sie **Save (Speichern)** aus.
## Erstellen eines Bastion-Host
Um einen Bastion-Host zu erstellen, starten Sie eine EC2 Amazon-Instance in Ihrem öffentlichen Subnetz, die als Bastion-Host fungiert.
Weitere Informationen zur Einrichtung eines Bastion-Hosts für Windows-Instances im privaten Subnetz finden Sie unter [Steuern des Netzwerkzugriffs auf EC2 Instances mithilfe eines Bastion-Servers](https://aws.amazon.com/blogs/security/controlling-network-access-to-ec2-instances-using-a-bastion-server/).
Weitere Informationen zum Einrichten eines Bastion-Host für Linux-Instances im privaten Subnetz finden Sie unter [Securely Connect to Linux Instances Running in a Private Amazon VPC](https://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/).