Ir para o conteúdo

Instalando o Jitterbit App Builder na AWS (Windows)

Introdução

Este manual abordará diversos métodos sugeridos para a instalação do App Builder na AWS usando Windows e SQL Server. Existem muitos métodos de configuração da arquitetura subjacente para hospedagem web, rede e aspectos de segurança abaixo, que podem ser personalizados conforme necessário.

Este guia tem como objetivo principal ajudar com uma nova conta em branco da AWS ou com uma conta existente que possa ser adaptada para atender aos requisitos básicos.

Dois métodos gerais de uso da AWS para hospedar o App Builder no Windows são:

  • PaaS: ElasticBeanstalk - .NET como plataforma (com e sem alta disponibilidade)
  • IaaS: instâncias Ec2 de VMs - (semelhante ao on-premise)

Este documento se concentra no uso do ElasticBeanstalk (EB), pois este é o método mais fácil na AWS para gerenciamento de longo prazo e facilidade de atualizações. Para versões somente EC2, consulte nossa documentação sobre VM/local. Além disso, este documento também se concentrará no uso do RDS (Relational Database Service) para o banco de dados.

Nota

Você pode economizar custos e aumentar a simplicidade colocando todos os objetos em Sub-redes públicas (sub-redes que estão em uma tabela de rotas onde o gateway padrão ((0.0.0.0/0)) é um gateway de Internet.); eliminando a necessidade de um gateway NAT e um hospedar Bastion. Observe que os grupos de segurança serão a única barreira contra acesso externo e você não poderá ter um IP de saída confiável do App Builder para lista de permissões em sistemas externos. (Gateways NAT têm um eIP estático que será o IP de saída).

Elementos da AWS

  • VPC com 4 ou mais sub-redes; Duas ou mais associadas a uma tabela de rotear contendo um Gateway de Internet como rotear padrão (público) - Duas ou mais associadas a uma tabela de rotear usando um gateway NAT como rotear padrão (privado) As zonas de disponibilidade devem espelhar entre as Tabelas de Rota (ou seja: usando Público: 1a,1b - Privado: 1a,1b)
  • Certificado - Você precisará criar ou importar um certificado para usar SSL
  • IAM: Usuários, Funções*, Políticas* - Concedendo permissões de serviço
  • Grupos de Segurança* - Concessão de permissões de entrada e entre servidores
  • Ec2, Bastion hospedar - Servidor Jump para acesso de administrador de servidor de aplicativo e banco de dados
  • S3 Bucket* - configurado para permitir acesso de leitura/gravação ao App Builder com a finalidade de criar e compartilhar chaves de segurança
  • Banco de dados* - Pode ser executado usando RDS ou instalado em instâncias EC2
  • Elastic Beanstalk* - Gerencia instâncias EC2 do App Builder

*Um por instância

figura.png

Rede básica

Exemplo de VPC:

VPC padrão: 172.31.0.0/16

Gateway NAT (opcional): Sub-rede como pública, Conectividade como pública, alocar eIP.

Sub-redes:

subnets.jpg

Tabela de Rotas Públicas:

publicroutetable.jpg

Tabela de Rotas Privadas:

privateroutetable.jpg

figura.png

Configuração do S3 para chaves de criptografia de dados

Crie um bucket S3 na região desejada; ele será usado para armazenar metadados de estado de sessão e criptografia de colunas do App Builder:

Nome de exemplo: *companyname*-vinyl-encryption-keys-*dev*

*Negar acesso público

EU SOU

Políticas

Política de Acesso S3:

Criar nova Política com este JSON, editar o Recurso com o nome acima:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource":
        "arn:aws:s3:::companyname-vinyl-encryption-keys-dev/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetBucketLocation",
        "s3:ListBucket"
    ],
    "Resource": "*"
    }
    ]
}

Nome do Exemplo: *companyname*-vinyl-encryption-keys-s3-*dev*

Exemplo de descrição: Concede acesso EC2 ao bucket S3

Funções

Criar nova função: Tipo=EC2 -> Adicionar políticas:

  • <S3 Policy Above>
  • AWSElasticBeanstalkMulticontainerDocker
  • AWSElasticBeanstalkWebTier
  • AWSElasticBeanstalkWorkerTier

Nome: *companyname*-eb-*dev*

EC2

No serviço EC2, acesse cada uma das seções abaixo e crie o seguinte:

Grupos de Segurança:

Crie pelo menos dois grupos, um para EC2/EB (Aplicado no EB) e um para RDS. O grupo EB será adicionado como uma origem no grupo RDS, conforme mostrado abaixo. Eles concedem permissões de RDP para a instância EC2 e para a instância EC2 acessar a instância RDS:

Configuração do Grupo de Segurança
Nome: EB-DEV (Permite portas para EC2)
RDP TCP 3389 <VPN Endpoint> VPN da empresa
RDP TCP 3389 <Yourself> RDP
RDP TCP 3389 sgr-091a912ec59ae4184 Bastião
Nome: RDS-DEV (Permite portas para RDS)
MSSQL TCP 1433 <VPN Endpoint> VPN da empresa
MSSQL TCP 1433 sgr-082d6e34327ee6b9c8 (EB-DEV)
MSSQL TCP 1433 <Yourself> RDS
MSSQL TCP 1433 sgr-091a912ec59ae4184 Bastião
Nome: Bastion (Opcional) (Adicionado acima para permitir acesso a instâncias em sub-redes privadas)
MSSQL TCP 1433 <VPN Endpoint> VPN da empresa

Pares de Chaves:
Criar par de chaves -> <companyname-%dev%> -> PEM -> Criar

Instâncias: Crie um hospedar Bastion (Opcional)
Inicie uma instância básica do Windows 2019 para uso como um host de salto RDP se estiver usando sub-redes privadas para instâncias do App Builder.

Crie um banco de dados usando RDS

  1. Abra o serviço RDS no console da AWS
  2. Selecione Grupos de sub-redes > Criar grupo de sub-redes de banco de dados > Rotule como privado ou público, dependendo se você deseja a capacidade de acesso externo (se os grupos de segurança permitirem) > Escolha sua VPC e adicione o par de zonas de disponibilidade que você usou ao configurar as sub-redes para a VPC acima > Agora selecione as duas sub-redes corretas que são privadas ou públicas. > Criar

  3. Escolha Criar banco de dados > Microsoft SQL Server > Escolher licença:

    • SQL Server Express Edition *(Aceitável para pequenos bancos de dados com menos de 10 GB e instâncias de tamanho 'grande' ou menor.)
    • SQL Web Edition (para bancos de dados > 10 GB; para tamanhos de instância > 'grandes')
    • SQL Standard Edition (para Multi-AZ; Muito caro)

  4. Identificador de instância do BD: IE: companyname-db-dev

  5. Nome de usuário mestre: App Builder
  6. Senha mestra: Gere uma senha aleatória forte que exclua símbolos (IE: zpZvLtLmRmrrE68T)
  7. Tamanho da instância: T3. Médio ou maior, dependendo da carga de trabalho (M5. Grande ou > para CPU alta sustentada.)
  8. Armazenamento alocado: 20 GB para começar para desenvolvimento; recomenda-se 200 GB ou mais para produção devido à maior alocação de IOPS

  9. Grupo de sub-rede: Escolha o que você criou acima.

    • Acesso público: Sim se o grupo acima usou sub-redes públicas; caso contrário, não.
    • Grupos de segurança de VPC existentes: Escolha o grupo RDS criado anteriormente.

Defina os valores restantes conforme desejado (mantenha 1433 como a porta do banco de dados).

Nota

Se você estiver hospedando o App Builder com o Jitterbit, o SQL Server Express não é uma opção de banco de dados suportada.

Configuração do Elastic Beanstalk (EB)

  • Nome do aplicativo: App Builder
  • Nome do ambiente: *companyname*-app-*dev*
  • Plataforma: .NET no Windows; IIS 10 Windows 2019, plataforma mais recente
  • Carregue o pacote .zip do App Builder com o nome de arquivo terminado em "-eb". Por exemplo: vinyl-3.3.12345-win-eb.zip

  • Selecione Configurar Mais Opções - Role para o topo da página Selecione: Configuração personalizada Para as opções abaixo, clique em Editar em cada seção e salve na seguinte ordem:

    Configuração do Elastic Beanstalk
    Capacidade: Carga balanceada; mín. 1/máx. 1 (Consulte o manual de Alta Disponibilidade para mais informações);
    Tipo de instância: T3.medium ou superior (Dependendo da carga);
    ID da AMI: Usar ID da AMI padrão
    Rede: Selecione a VPC criada
    Sub-redes do balanceador de carga: Selecione 2 sub-redes públicas
    Sub-redes da instância: Selecione 2 sub-redes privadas
    Sub-redes do banco de dados: Não utilizadas
    Instâncias: Tamanho: 150 GB; Grupos: Grupo EB criado na seção EC2.
    Balanceador de Carga: Tipo: Aplicativo -> Processos; Editar padrão;
    Código HTTP: 200; Caminho /ping
    Para SSL: (Consulte Configurando HTTPS) Adicionar ouvinte - 443/HTTPS - Seu certificado - TLS-1-2-Ext-2018-06
    Segurança: <EC2 Key pair from above>; Perfil da instância do IAM conforme criado acima. Deixe a função de serviço como está (gerada automaticamente)

  • Criar!

Configuração de postagem EB

O ambiente levará aproximadamente de 15 a 20 minutos para surgir.

Depois que o EB terminar de montar os componentes, é normal que o status fique vermelho nesta fase, pois é necessário atualizar as propriedades padrão do ambiente do EB.

No ambiente ElasticBeanstalk: Vá para: Configuração -> Software -> Editar:

postconfig1.jpg

postconfig2.jpg

Role para baixo até Propriedades do ambiente:

Nome da propriedade Padrão Exemplo
Informações de Conexão DatabaseType=SQLServer;HostName=;DatabaseName=App Builder;UserName=vinyl;Password=password DatabaseType=SQLServer;HostName=example-db-dev.cmpgei1x4tzz.us-east-1.rds.amazonaws.com;DatabaseName=App Builder;UserName=vinyl;Password=P@SSW**RD~!!
Criptografia de Dados: S3BucketEndpoint https://{bucket}s3{-aws-region}.amazonaws.com https://companyname-vinyl-encryption-keys-dev
Criptografia de Dados: S3KeyPrefix {elastic-beanstalk-environment-name} Companyname-app-Dev
  1. ConnectionInfo: Edite partes da string para corresponder ao nome do host, nome de usuário e senha do seu banco de dados.
  2. DataEncryptionKeyS3BucketEndpoint: Defina como o nome do bucket criado anteriormente.
  3. DataEncryptionKeyS3KeyPrefix: Defina como o nome do ambiente do Elastic Beanstalk.

Após aplicar essas etapas e concluir as atualizações, acesse a URL do site do App Builder no EB. Isso acionará uma instalação ou atualização do banco de dados, se necessário.

Configurando HTTPS

Por padrão, os novos ambientes do Elastic Beanstalk não são configurados para HTTPS. Conforme observado na documentação do App Builder, o HTTPS é altamente recomendado para todos os novos ambientes do Elastic Beanstalk.

Os ambientes do Elastic Beanstalk encerram a conexão HTTPS no Elastic Load Balancer.

Nota

Para o processo abaixo, você já deve ter criado ou importado um certificado para o serviço Gerenciador de Certificados.

Configurando o Elastic Beanstalk para aceitar solicitações HTTPS

  1. Faça login no console do Amazon Web Services
  2. Em Serviços, escolha Elastic Beanstalk
  3. Selecione o ambiente que você está atualizando
  4. Selecione Configuração no menu à esquerda
  5. Em Balanceador de Carga escolha Editar

  6. Se não estiver presente, adicione Porta do Listener 443, HTTPS:

    HTTPS1.jpg

  7. Selecione o ID do certificado SSL aplicável *Para a 'política SSL'; No Windows 2019, o TLS 1.2 deve ser usado

  8. Clique no botão Salvar e depois em Aplicar na página do Balanceador de Carga:

    HTTPS2.jpg

Aplicar redirecionamento HTTPS e FQDN

Certifique-se de ter criado e testado uma entrada DNS CNAME para o seu domínio com o seu registrador ou com os Servidores de Nome atuais antes de configurar o seguinte. O URI do ElasticBeanstalk será o valor de destino que sua entrada DNS deverá usar. Ele também deve corresponder ao Certificado SSL que você está usando.

Exemplo

  • Host/Nome: demo1.companydomain.com
  • Tipo: CNAME
  • Meta/Valor: demo1.us-east-1.elasticbeanstalk.com
  1. No App Builder, vá para IDE > Provedores de segurança

  2. No painel Configuração, clique no botão Mais e selecione Sites:

    moresites.png

  3. Clique duas vezes na entrada padrão

  4. Clique no botão Editar
  5. Insira sua url FQDN com https no campo URL
  6. Marque para habilitar Redirecionamento

  7. No campo Redirecionar se o cabeçalho existir, insira X-Forwarded-For:

    siteredirect.png

  8. Clique em Salvar