AWS 概述
多云防御 已创建您在将 AWS 账户连接到 多云防御控制器时使用的 CloudFormation 模板。
要准备与 多云防御控制器集成的云账户,需要在云账户中执行某些步骤。以下是在将 AWS 云账户连接到 多云防御控制器之前需要执行的必备步骤。这旨在提供操作概述,而不是手动执行。在 CloudFormation 部分,有部署和参数信息的详细信息。
步骤概述
-
创建 多云防御控制器 用于管理云账户的跨账户 IAM 角色。
-
创建分配给您的账户中运行的 多云防御网关 个 EC2 实例的 IAM 角色。
-
创建将管理事件传输到 多云防御控制器的 CloudWatch 事件规则。
-
创建上述 CloudWatch 事件规则使用的 IAM 角色,为其提供传输管理事件的权限。
-
(可选)在您的账户中创建 S3 存储桶,以存储 CloudTrail 事件、Route53 DNS 查询日志和 VPC 流日志。
-
启用 Route53 DNS 查询日志记录,并将目标作为上面创建的 S3 存储桶,并选择必须为其启用查询日志记录的 VPC。
-
启用 CloudTrail 以将所有管理事件记录到上面创建的 S3 存储桶。
-
启用 VPC 流日志,并将目的地作为上面创建的 S3 存储桶。
VPC 设置
多云防御网关 实例需要两(2)个安全组和每个可用性区域的 2 个子网。仅当您计划在与应用相同的 VPC 中部署 多云防御网关 时,才需要执行此操作。
VPC 资源的详细信息
子网
多云防御 部署所需的两 (2) 个子网是 management 和 datapath。在网关部署期间,控制器会要求您提供这些子网的名称。每个可用性区域都需要这 2 个子网。
管理子网是公共子网,必须与具有通往互联网网关的默认路由的路由表关联。 多云防御网关 实例具有连接到此子网的网络接口,用于与控制器通信。这用于控制器和网关之间的策略提取以及其他管理和遥测活动。客户应用流量 不 流经此接口/子网。接口与 管理 安全组相关联(在下面的部分中介绍)。
数据路径子网是公共子网,必须与具有通往互联网网关的默认路由的路由表关联。 多云防御控制器 在此子网中创建网络负载均衡器,并且网关实例具有连接到此子网的网络接口。客户应用流量流经此接口。 多云防御网关 安全策略适用于流经此接口的流量。接口与 数据路径 安全组关联(在下面的部分中介绍)
安全组
如上所述,管理和数据路径安全组与网关实例上的接口相关联。
管理安全组需要允许出站流量,允许网关实例与控制器通信。
数据路径安全组连接到数据路径接口,并允许流量进入网关实例。目前,此安全组 不由 控制器管理。必须存在出站规则才能允许流量传出此接口。必须为您在 多云防御 安全策略中配置的每个端口打开入站端口。例如,如果将 多云防御 服务配置为侦听端口 443,则必须在数据路径安全组上打开端口 443。
CloudFormation 模板
对于全新或“绿色领域”部署,请 运行此 CloudFormation 模板。该模板还提供用于为测试应用创建 EC2 的其他选项。查看下面的详细信息,了解 CFT 中使用的参数的说明:
-
VPC。
-
互联网网关并将其连接到 VPC。
-
管理子网可用性区域 1。
-
管理路由表可用性区域 1 连接到管理子网可用性区域 1,默认路由到互联网网关。
-
管理子网可用性区域 2。
-
管理路由表可用性区域 2 连接到管理子网可用性区域 2,默认路由到互联网网关。
-
数据路径子网可用性区域 1。
-
数据路径路由表可用性区域 1 连接到数据路径子网可用性区域 1,默认路由到互联网网关。
-
数据路径子网可用性区域 2。
-
数据路径路由表可用性区域 2 连接到数据路径子网可用性区域 2,默认路由到互联网网关。
-
应用路径子网可用性区域 1。
-
应用路由表可用性区域 1 连接到应用子网可用性区域 1,默认路由到互联网网关。
-
应用子网可用性区域 2。
-
应用路由表可用性区域 2 连接到应用子网可用性区域 2,默认路由到互联网网关。
-
具有允许流量传出的出站规则的管理安全组。
-
具有出站规则的数据路径安全组,以允许端口 80 和 443 的流量出站和入站规则。
-
具有允许流量出站规则和端口入站规则的应用安全组:22、80、443、8000。
-
使用基于 CentOS 的默认 多云防御 映像在应用子网中创建 EC2 实例。如果需要,您可以选择自己的 AMI。
子网在两个可用性区域中创建,因此您可以在多个可用性区域中运行 多云防御网关和应用。
您可以多次运行此模板,以创建可连接到 AWS 中转网关的多个 VPC,以实现集中式安全(集线器)部署架构。
CloudFormation 参数
-
堆栈名称 - 提供堆栈名称(例如 多云防御-dp-resources)。
-
前缀 - 应用于所有资源的名称标签的前缀(例如 多云防御)。
-
创建 多云防御 资源 - 是/否。选择 是 将创建 mgmt/dp 子网、mgmt/dp 安全组。选择 否 不会创建这些资源。
-
创建堡垒主机 - 可用于通过 SSH 连接到应用虚拟机的堡垒 gost(应用虚拟机已获得公共 IP 并具有到互联网网关的路由)。您可以稍后删除路由,以便虚拟机可以是专用的。堡垒主机可用于通过 SSH 连接到这些虚拟机)。
-
VPC CIDR - VPC 的 CIDR。
-
子网掩码位 - 用于每个子网的位数。这不是子网掩码。如果 VPC CIDR 具有 /16,并且您希望子网具有掩码 /24,则为位选择 8。VPC CIDR 掩码加上此处的值构成子网掩码。
-
可用性区域 1 和区域 2 - 选择可用性区域。
-
应用实例的 AMI -多云防御- 默认 AMI 在 us-east1、us-east2、us-west1 和 us-west2 中可用。这是具有 Docker 的 CentOS 7 和示例
Hello World
应用。您可以提供您自己的 AMI 或该区域中的任何其他 AMI。 -
实例类型 - 选择选项。如果选项有限,您可以下载 CloudFormation 模板并进行编辑以添加新选项。
-
EC2 密钥对 - 选择要与 EC2 实例关联的 SSH 密钥对。