Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ejemplo: Lanzamiento de una aplicación Elastic Beanstalk en una VPC con hosts bastión
En esta sección aprenderá a implementar una aplicación de Elastic Beanstalk en una VPC mediante un host bastión y por qué implementar esta topología.
Si tus EC2 instancias de Amazon se encuentran dentro de una subred privada, no podrás conectarte a ellas de forma remota. Para conectarse a las instancias, puede configurar servidores bastión en la subred pública para que actúen como servidores proxy. Por ejemplo, puede configurar forwarders del puerto SSH o gateways de RDP en la subred pública para que actúen como servidores proxy con el tráfico dirigido a los servidores de la base de datos que procede de la propia red. Esta sección contiene un ejemplo acerca de cómo crear una VPC con subredes públicas y privadas. Las instancias se encuentran en la subred privada, mientras que el host bastión, el gateway NAT y el equilibrador de carga se encuentran en la subred pública. Su infraestructura será similar al diagrama siguiente.
![\[Diagrama de la topología de Elastic Beanstalk y VPC con un host bastión.\]](http://docs.aws.amazon.com/es_es/elasticbeanstalk/latest/dg/images/aeb-vpc-bastion-topo-ngw.png)
Para implementar una aplicación de Elastic Beanstalk dentro de una VPC mediante un host bastión, complete los pasos que se describen en los apartados siguientes.
**Topics**
+ [Creación de una VPC con subredes públicas y privadas](#vpc-bastion-host-create)
+ [Creación y configuración del grupo de seguridad del host bastión](#vpc-bastion-create-host-sg)
+ [Actualización del grupo de seguridad de instancias](#vpc-bastion-update-instance-sg)
+ [Creación de un host bastión](#vpc-bastion-host-launch)
## Creación de una VPC con subredes públicas y privadas
Complete todos los procedimientos de [VPC pública/privada](vpc.md#services-vpc-privatepublic). Al implementar la aplicación, debes especificar un EC2 key pair de Amazon para las instancias para poder conectarte a ellas de forma remota. Para obtener más información sobre cómo especificar el par de claves en las instancias, consulte [Las EC2 instancias de Amazon para su entorno de Elastic Beanstalk](using-features.managing.ec2.md).
## Creación y configuración del grupo de seguridad del host bastión
Cree un grupo de seguridad para el host bastión y añada reglas que permitan el tráfico SSH entrante desde Internet y el tráfico SSH saliente a la subred privada que contiene las instancias de Amazon. EC2
**Para crear el grupo de seguridad del host bastión**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Elija **Creación de grupo de seguridad**.
1. En el cuadro de diálogo **Create Security Group (Creación de grupo de seguridad)**, escriba lo siguiente y elija **Yes, Create (Sí, crear)**.
**Name tag (Etiqueta de nombre)** (opcional)
Introduzca una etiqueta de nombre para el grupo de seguridad.
**Nombre del grupo**
Introduzca el nombre del grupo de seguridad.
**Descripción**
Introduzca una descripción para el grupo de seguridad.
**VPC**
Seleccione la VPC.
Se crea el grupo de seguridad y aparece en la página **Security Groups (Grupos de seguridad)**. Observe que tiene un ID (p. ej., `sg-xxxxxxxx`). Puede que deba activar la columna **Group ID (ID de grupo)**; para ello, haga clic en **Show/Hide (Mostrar/Ocultar)** en la esquina superior derecha de la página.
**Para configurar el grupo de seguridad del host bastión**
1. En la lista de grupo de seguridad, active la casilla del grupo de seguridad que acaba de crear para el host bastión.
1. En la pestaña **Inbound Rules**, elija **Edit**.
1. Si es necesario, elija **Add another rule (Añadir otra regla)**.
1. Si el host bastión es una instancia de Linux, en **Type (Tipo)**, seleccione **SSH**.
Si el host bastión es una instancia de Windows, en **Type (Tipo)**, seleccione **RDP**.
1. Escriba el rango de CIDR de origen que desee en el campo **Source (Origen)** y haga clic en **Save (Guardar)**.
![\[Grupo de seguridad del host bastión\]](http://docs.aws.amazon.com/es_es/elasticbeanstalk/latest/dg/images/vpc-bh-sg-inbound.png)
1. En la pestaña **Outbound Rules (Reglas de salida)**, elija **Edit (Edición de)**.
1. Si es necesario, elija **Add another rule (Añadir otra regla)**.
1. En **Type (Tipo)**, seleccione el tipo que ha especificado para la regla de entrada.
1. En el campo **Source (Origen)**, escriba el rango de CIDR de la subred de los hosts en la subred privada de la VPC.
Para encontrarla:
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Subnets (Subredes)**.
1. Anote el valor en **IPv4 CIDR** para cada **zona de disponibilidad** en la que tenga hosts a los que desee que se conecte el host bastión.
**nota**
Si tiene hosts en varias zonas de disponibilidad, cree una regla de salida para cada una de ellas.
![\[Subredes de la VPC\]](http://docs.aws.amazon.com/es_es/elasticbeanstalk/latest/dg/images/vpc-subnets.png)
1. Seleccione **Save**.
## Actualización del grupo de seguridad de instancias
De forma predeterminada, el grupo de seguridad que creó para las instancias no permite el tráfico entrante. Aunque Elastic Beanstalk va a modificar el grupo predeterminado para que las instancias permitan el tráfico SSH, debe modificar el grupo de seguridad de instancias predeterminado para que permita el tráfico RDP si las instancias son de Windows.
**Si desea actualizar el grupo de seguridad de instancias para RDP**
1. En la lista de grupos de seguridad, active la casilla del grupo de seguridad de instancias.
1. En la pestaña **Inbound (Entrada)**, seleccione **Edit (Edición de)**.
1. Si es necesario, elija **Add another rule (Añadir otra regla)**.
1. Especifique los valores siguientes y haga clic en **Save (Guardar)**.
**Tipo**
`RDP`
**Protocolo**
`TCP`
**Intervalo de puertos**
`3389`
**Origen**
Especifique el ID del grupo de seguridad del host bastión (por ejemplo, `sg-8a6f71e8`) y seleccione **Save (Guardar)**.
## Creación de un host bastión
Para crear un host bastión, debes lanzar una EC2 instancia de Amazon en tu subred pública que actuará como host bastión.
Para obtener más información sobre cómo configurar un host bastión para las instancias de Windows en la subred privada, consulte [Control del acceso de red a las EC2 instancias](https://aws.amazon.com/blogs/security/controlling-network-access-to-ec2-instances-using-a-bastion-server/) mediante un servidor Bastion.
Para obtener más información sobre la configuración de un host bastión para instancias Linux en la subred privada, consulte [Securely Connect to Linux Instances Running in a Private Amazon VPC](https://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/).