Comment faire pour activer des adresses IP Elastic sur mon point de terminaison de serveur AWS Transfer for SFTP ?

Date de la dernière mise à jour : 08/06/2020

Je souhaite rendre mon serveur AWS Transfer for SFTP accessible à partir d'adresses IP Elastic, et le port d'écoute ne peut pas être le port 22. Comment dois-je procéder ?

Solution

Si vous pouvez utiliser le port 22 comme port d'écoute, créez un point de terminaison Internet pour votre serveur.

Toutefois, si vous devez remplacer le port d'écoute par un port autre que le port 22 (pour la migration), procédez comme suit :

Créez un Amazon Virtual Private Cloud (Amazon VPC) et allouez des adresses IP

  1. Créez un VPC Amazon dans la même région AWS que votre serveur.
  2. Créez des sous-réseaux dans votre VPC au sein des zones de disponibilité dans lesquelles vous souhaitez utiliser votre serveur.
    Remarque : un serveur AWS Transfer Family peut prendre en charge jusqu'à trois zones de disponibilité.
  3. Allouez trois adresses IP Elastic dans la même région que votre serveur. Vous pouvez également choisir d'apporter votre propre plage d'adresses IP (BYOIP).
    Remarque : le nombre d'adresses IP Elastic doit correspondre au nombre de zones de disponibilité que vous utilisez avec vos points de terminaison de serveur.

Créez un serveur AWS Transfer for SFTP avec un type de point de terminaison de VPC interne

  1. Suivez les étapes pour créer un point de terminaison de serveur accessible uniquement depuis votre VPC.
  2. Une fois que vous avez créé le serveur, affichez les détails du serveur à partir de la console AWS Transfer Family. Sous Configuration du point de terminaison, notez les Adresses IPv4 privées. Vous avez besoin de ces adresses IP pour les étapes de création d'un Network Load Balancer.

Créez un Network Load Balancer et définissez le point de terminaison d'un VPC comme cible de l'équilibreur de charge

  1. Ouvrez la console Amazon Elastic Compute Cloud (Amazon EC2).
  2. Dans le volet de navigation, choisissez Load Balancers (Équilibreurs de charge).
  3. Sélectionnez Créer un équilibreur de charge.
  4. Sous Network Load Balancer, choisissez Créer.
  5. Pour Étape 1 : Configurer l'équilibreur de charge, saisissez ce qui suit :
    Pour Nom, saisissez un nom pour l'équilibreur de charge.
    Pour Schéma, sélectionnez Accessible sur Internet.
    Pour Écouteurs, gardez Protocole de l'équilibreur de charge sur TCP. Ensuite, modifiez le port de l'équilibreur de charge associé pour votre port d'écoute personnalisé.
    Pour VPC, sélectionnez l'Amazon VPC que vous avez créé.
    Pour Zones de disponibilité, sélectionnez les zones de disponibilité associées aux sous-réseaux publics qui sont disponibles dans le même VPC que celui que vous utilisez avec vos points de terminaison de serveur.
    Pour adresse IPv4 de chaque sous-réseau, sélectionnez l'une des adresses IP Elastic que vous avez allouées.
  6. Choisissez Next: Configure Security Settings (Étape suivante : configurer les paramètres de sécurité).
  7. Choisissez Next: Configure routing (Étape suivante : Configurer le routage).
  8. Pour Step 3 : Configure Routing (Étape 3 : configurer le routage), saisissez ce qui suit :
    Pour Target group (Groupe cible), sélectionnez New target group (Nouveau groupe cible).
    Pour Name (Nom), donnez un nom au groupe cible.
    Pour Target type (Type de cible), sélectionnez IP.
    Pour Protocol (Protocole), sélectionnez TCP.
    Pour Port, saisissez 22.
    Remarque : les serveurs AWS Transfer for SFTP prennent en charge le trafic uniquement sur le port 22. L'équilibreur de charge doit communiquer avec le serveur via le port 22.
    Sous Vérifications de l'état, pour Protocole, sélectionnez TCP.
  9. Choisissez Étape suivante : Enregistrer des cibles.
  10. Pour Étape 4 : Enregistrer des cibles, saisissez ce qui suit :
    Pour Réseau, assurez-vous que l'Amazon VPC que vous souhaitez utiliser est bien sélectionné.
    Pour IP, entrez les adresses IPv4 privées des points de terminaison de votre serveur. Vous avez copié ces adresses IP après avoir créé le serveur.
  11. Choisissez Ajouter à la liste.
  12. Répétez les étapes 10 et 11 jusqu'à ce que vous ayez saisi les adresses IP privées de tous les points de terminaison de votre serveur.
  13. Choisissez Étape suivante : vérification.
  14. Sélectionnez Créer.

Une fois que vous avez configuré le serveur et l'équilibreur de charge, les clients communiquent avec l'équilibreur de charge via l'écouteur de port personnalisé. Ensuite, l'équilibreur de charge communique avec le serveur via le port 22.

Test de l'accès au serveur à partir d'une adresse IP Elastic

Connectez-vous au serveur via le port personnalisé à l'aide d'une adresse IP Elastic ou du nom DNS du Network Load Balancer. Par exemple, la commande OpenSSH suivante se connecte au serveur à l'aide d'une adresse IP Elastic et d'un port personnalisé :

Remarque : remplacez [port] par votre port personnalisé. Remplacez 192.0.2.3 par une adresse IP Elastic que vous avez allouée.

sftp -i sftpuserkey -P [port] sftpuser@192.0.2.3

Important : gérez l'accès à votre serveur à partir des adresses IP client à l'aide des listes de contrôle d'accès (ACL) réseau pour les sous-réseaux configurés sur l'équilibreur de charge. Les autorisations de liste ACL réseau sont définies au niveau du sous-réseau. Les règles d'accès s'appliquent donc à toutes les ressources utilisant le sous-réseau. Vous ne pouvez pas contrôler l'accès depuis les adresses IP client à l'aide des groupes de sécurité, car le type de cible de l'équilibreur de charge est défini sur IP plutôt que sur Instance. Autrement dit, l'équilibreur de charge ne conserve pas les adresses IP sources. Si les vérifications de l'état du Network Load Balancer échouent, cela signifie que l'équilibreur de charge ne peut pas se connecter au point de terminaison du serveur. Pour résoudre ce problème, vérifiez les points suivants :

  • Assurez-vous que le groupe de sécurité associé au point de terminaison du serveur autorise les connexions entrantes à partir des sous-réseaux configurés sur l'équilibreur de charge. L'équilibreur de charge doit être en mesure de se connecter au point de terminaison du serveur via le port 22.
  • Assurez-vous que État du serveur AWS SFTP est bien Connecté.

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?