Ab Challenge B: Falls Sie die Details auf den Bildern unten sehen wollen, können sie auf den jeweiligen Screenshot (oder Link) klicken. Dann erscheint das Originalbild.
Für den ersten Challenge der Kompetenz **KN05** wechseln Sie ins fünfte Modul **Module 5 - Networking and Content Delivery**. Hier finden Sie die praktische Übung **Lab 2 - Build your VPC and Launch a Web Server**. Diese ist Schritt für Schritt geleitet.
Das Lab dauert ca. 30'. Die Vergangenheit hat gezeigt, dass in diesem Lab sehr schnell Flüchtigkeitsfehler passieren. Es wird deshalb empfohlen, sich an einen ruhigen Ort zurückzuziehen. Führen Sie alle Schritte konzentriert und der Reihe nach durch. Für den Leistungsnachweis müssen drei Screenshots gemacht werden. Erstellen Sie diese erst **nachdem** Sie **alle** Schritte des Labs erfolgreich durchgeführt haben (Beispiele sehen Sie weiter unten).
| - Zwei Availability Zones (A + B) <br> - In jeder AZ je ein Public- und ein Private Subnet <br> - Je eine Public- und eine Private Route Table <br> - Internet Gateway in der Public Route Table <br> - NAT Gateway in der Private Route Table <br> - Security Group (HTTP Inbound Rule) <br> - Web-Server im Public-2 Netzwerk. <br> - IP-Adresse im Range: **10.0.2.x**<br> | ![Schema](./x_res/01_VPC-Lab_600.png) |
:bookmark: In dieser Übung nutzen Sie das **Learner Lab**. Sie erstellen wiederum eine VPC (Virtual Private Cloud) - oder ihr persönliches **Virtuelles Datacenter** - mit je zwei Public- und Private Subnets in zwei verschiedenen Availability Zones. Die Konfiguration sieht **fast** gleich aus wie die der letzten Übung. Es gibt allerdings ein paar **wesentliche** Unterschiede. Diese VPC bleibt auch nach dem stoppen des Labs bestehen und kann für weitere Übungen genutzt werden.
Ausserdem gibt es bei diesem Lab noch ein paar neue Bedingungen bzgl. Namenskonvention, die Sie für den erfolgreichen Leistungsnachwei erfüllen müssen.
> _- Den Platzhalter **XXX** ersetzen Sie mit den ersten drei Buchstaben Ihres Nachnamens (Beispiel **M346_CAL-VPC**) - CAL steht hier für Calisto. Dasselbe gilt auch unten._
Diese **VPC** (eigentlich vergleichbar mit einem virtuellen Datacenter) wird so konfiguriert, dass Sie in der nächsten Übung Instanzen im Public und im Privaten Subnet erstellen können. Während die eine Instanz von aussen zugänglich ist, kann die interne nur über die interne Adresse erreicht werden. Sie nutzen dafür ihre Subnet-Kenntnisse von früheren Modulen und Labs. Wie bereits im ersten KN05-Lab, erstellen Sie in Ihrer **neuen VPC** also ebenfalls eine **eigene Route-Table** für die privaten Subnetze (interner Datenverkehr) und einen **Internet-Gateway** für die public Subnetze (Zugang von und nach aussen).
Die genauen Angaben finden Sie in [Diesem Markdown-File](./x_res/custom-vpc.md). Es ist sicherlich sinnvoll, wenn Sie dieses zuerst korrekt ergänzen (gem. Namenskonvention oben), um später beim Lab die **VPC** möglichst fehlerfrei aufzusetzen.
In diesem Kapitel wird erklärt, wie man eine **VPC** erstellt und darin **ein** Subnet anlegt. Drei weitere Subnets erstellen Sie selbständig gemäss Anforderungen.
Bitte konsultieren Sie in diesem Lab-Challenge die unten verlinkte Konfigurationsdatei. Hier sind sämtliche Informationen vorbereitet, die Sie für ein erfolgreiches Setup benötigen. Gewisse Inhalte müssen vorher aber noch von Ihnen angepassst werden. Deshalb bitte vor dem Start:
Das Erstellen des ersten Subnets wird unten beschrieben. Die restlichen Subnets erstellen Sie wiederum gemäss [dieser Konfigurationsdatei](./x_res/custom-vpc.md)
Nun geht es darum, die Route Tables für die Public- und die Private-Subnets zu definieren. Beim Erstellen einer VPC wird **immer** auch gleichzeitig eine **Public Route Table** erstellt. Diese ist grundsätzlich vergleichbar mit einem **Router**. Allerdings nur virtuell - also kein Device - und auch noch nicht fertig konfiguriert. Dieser **Virtuelle Router** ist physikalisch nicht sichtbar und wir können auch nicht z.B. via SSH darauf zugreifen. Wir können allerdings sogenannte **Routing Rules** (Routing Regeln) definieren. Das entspricht dann grundsätzlich genau demselben Prinzip wie **statische-** und **dynamische Routen** zu erstellen (später mehr dazu).
Weil wir als nächstes noch eine **Private Route Table** erstellen werden, geben wir der bestehenden **Public Route Table** mal zuerst einen Namen. Dies ist übrigens der einzige Wert, der **nicht** in der [Konfigurationsdatei](./x_res/custom-vpc.md) definiert wurde. Weil da aber der Name der später folgenden **Private Route Table** abgebildet ist, können wir den Namen relativ einfach davon ableiten. Im Falle des Autors dieses Challenges, heisst die **Public Route Table****`M346-CAL-Public-RT`** und wird wie folgt eingetragen.
2.**Routes:** Beim Tab **Routes** ist erkennbar, dass die Destination **10.0.0.0/16** Status "Active" hat. Es ist allerdings noch **Kein** Gateway nach aussen definiert: :mag_right: [Originalbild][22b] _(oder unten auf das **erste** Bild klicken)_
3.**Subnet association:** Beim Tab **Subnet associations** ist erkennbar, dass es **noch keine** Subnet associations gibt. Später werden wir jeweils die **Private-** und **Public Subnets** zusammenlegen (Explicit subnet association). Erst wenn das geschehen ist, können wir die weiteren Routen legen und sicherstellen, dass diese für **alle** Subnets korrekt sind: :mag_right: [Originalbild][23b] _(oder unten auf das **zweite** Bild klicken)_.
4.**Resource map:** Unter **Your VPCs** zeigt ein kurzer Blick auf die **Resource map** sehr schön, dass sämtliche vier Subnets momentan auf die Route table **`M346-CAL-Public-RT`** zugreifen. In den nächsten Schritten werden wir das ändern müssen. Nämlich so, dass die beiden **Private Subnets** eine **eigene Route table** erhalten und nach aussen abgeschottet werden. Im Gegensatz dazu erhalten die beiden **Public Subnets** einen Zugang nach aussen via **Internet Gateway**, der ebenfalls noch erstellt und konfiguriert werden muss. Erst dann ist unsere **VPC** fertig aufgesetzt.
Wie bereits angekündigt, werden wir nun als erstes für die privaten Subnets eine neue **Private Route Table** erzeugen. In der [Konfigurationsdatei](./x_res/custom-vpc.md) finden wir unter **Create private route table** die folgenden Infos.
Nun müssen wir in der neu erstellten **Private Route table** die beiden **Private Subnets** in einen Verbund nehmen - oder auf Englisch: in eine **Explicit subnet association**. Die folgenden drei Bilder beschreiben diesen Vorgang.
Im letzten Schritt erstellen wir noch den **Internet Gateway**, um über die **Public Route** ins Internet zu gelangen. In der [Konfigurationsdatei](./x_res/custom-vpc.md) finden wir unter **Create Internet Gateway** die folgenden Infos.
6. Kontrollieren wir kurz die aktualisierte **Resource map**. Hier sieht man jetzt, dass der **Internet gateway** (IGW) neu vorhanden, aber **noch nicht** verbunden ist.
9. Den vorher erstellten **Internet Gateway** der neuen Route hinzufügen und bestätigen: :mag_right: [Originalbild][39b] _(oder unten auf drittes Bild klicken)_<br>
**7.** Schritt: "Public-RT" auswählen | **8.** Schritt: Route zu IGW erstellen | **9.** Schritt: Den neuen "Internet Gateway" auswählen & bestätigen
11. Kontrollieren wir kurz die aktualisierte **Resource map**. Hier sieht man jetzt, dass der **Internet gateway** (IGW) neu auch mit der Public route **`M346-XXX-Public-RT`** verbunden ist. Der Zugang zum Internet ist somit hergestellt. **Alle** internen Pakete, die nicht an die **eigene VPC** (10.0.0.0/16) gerichtet sind, werden an den **IGW** weitergeroutet. Umgekehrt kann der **IGW** auch Pakete an unsere **Public Subnets** in unserer **VPC** routen, sofern die entsprechenden Regeln in der Security Group dies zulassen. I
:bookmark: Last but not least: Es müssen beide **Public Subnets** noch so konfiguriert werden, dass die später darin erstellten Instanzen **automatisch** eine **IPv4-Adresse** erhalten. Damit stellen wir sicher, dass von überall her auf sie zugegriffen werden kann. <br><br>
Im Beispiel unten wird lediglich **ein** Public Subnet (M346-CAL-Public-1B) konfiguriert. Stellen Sie sicher, dass Sie **auch das andere** Public Subnet noch anpassen.
:bookmark: In diesem Challenge werden Sie nun erstmals Instanzen in Ihrer neu erstellten **VPC** aufsetzen. Dabei werden Sie von aussen auf eine Instanz im Public-Subnet zugreifen (per HTTP und SSH). Dann müssen Sie beweisen, dass Sie von da aus die Instanz im Private-Subnet **pingen** können. Der **Ping** wird nur akzeptiert, wenn sich diese Instanz in der **Security Group 1**`M346-XXX-Web-Access` befindet. Hier müssen Sie sich also einerseits überlegen, welchen Port (Protokoll) Sie bei welcher Security-Group öffnen/hinzufügen und andererseits, wie sie diesen Zugriff auf eine spezifische Security Group beschränken. Erst wenn **alle** Bedingungen erfüllt sind, haben Sie diesen Challenge gemeistert.
Es empfiehlt sich, für die folgenden Übungen ein Keypair `M346-XXX-KN05` zu erstellen. _(XXX = Die ersten drei Buchstaben Ihres Nachnamens)_. Am besten erstellen Sie diesen bei der Installation der ersten EC2-Instanz. Bewahren Sie diesen mindestens solange auf, bis Sie **alle** KN05-Challenges abgegeben haben.
Die beiden Instanzen werden sich in unterschiedlichen Subnets befinden. Aus Sicherheitsgründen empfiehlt es sich, die Instanzen in den privaten Subnets restriktiver zu behandeln als diejenigen, die sich in einem Public Subnet befinden.
Aus diesem Grund erstellen Sie für zuerst **zwei unterschiedliche Security Groups**. Anschliessend erstellen Sie in jedem der beiden Subnets eine EC2-Instanz (Details weiter unten) und legen diese den Anforderungen entsprechend in die korrekte Security Group.
- Für die erste Instanz im Public Subnet wird die Security Group `M346-XXX-Web-Access` erstellt: Gemäss [custom-vpc.md](./x_res/custom-vpc.md) (siehe unter **Challenge C)**
- Für die zweite Instanz im Private Subnet wird die Security Group `M346-XXX-Priv-Only` erstellt: Gemäss [custom-vpc.md](./x_res/custom-vpc.md) (siehe unter **Challenge C)**
:bell: **Verständnisaufbau** für die Funktionalität einer Security Group und die Bedeutung und Anwendung von Public- und Privat Subnets. Sie können anhand von anderen Use-Cases beurteilen, welche Umgebung für eine bestimmte Anwendung sinnvoll ist. Sie sind in der Lage, einen solchen Service korrekt und sicher aufzusetzen. Natürlich können Sie in einem Fachgespräch mit dem Coach auch Fragen mit umfassenden Argumenten begründen und beantworten :muscle: :smiley: .
- [ ] Erklären Sie in eigenen Worten, wie Sie die zweite Security Group (M346-XXX-Priv-Only) ergänzt haben und wer welchen Zugriff auf die darin liegenden Instanzen hat.
- [ ] Wie sieht es aus bzgl. Redundanz / Hochverfügbarkeit? Geben Sie dazu eine technisch sinnvolle Analyse ab (inkl. Massnahmen); ohne dass der Coach Sie darauf aufmerksam macht. _Hier wird geschaut, wie ausgeprägt Sie sich auf das Fachgespräch vorbereiten und ob Sie die Inhalte des Auftrages ganzheitlich durchlesen und erfüllen._
Das war der letzte KN05-Challenge. Bitte terminieren Sie sämtliche **KN05**-Instanzen. **VPC**, **Subnets**, **Security Groups** etc... bitte sein lassen (diese kosten nichts)