Làm cách nào để thiết lập máy chủ lưu trữ pháo đài hoặc Jumpbox trong AWS?

Question

Tôi đang khám phá cách thiết lập máy chủ lưu trữ pháo đài như bảo mật và cấu hình mạng trên AWS.

cho phép nói rằng tôi có nhiều phiên bản EC2. Nhưng tôi không muốn kích hoạt SSH trên mỗi cá thể EC2 khác. Tôi muốn sử dụng một cá thể EC2 được cấu hình đặc biệt như một máy chủ lưu trữ bastion mà tôi có thể thực hiện SSH từ IP riêng của tôi (chỉ); và một khi tôi đang trên cá thể máy chủ lưu trữ hoặc thể hiện Jumpbox, tôi muốn thực hiện SSH cho bất kỳ cá thể EC2 nào khác trong VPC của mình.

Có bất kỳ cá thể AMI nào mà tôi có thể sử dụng làm Jumpbox hoặc máy chủ lưu trữ pháo đài không? Vì vậy, tôi chỉ có thể sử dụng một máy chủ pháo đài để thực hiện SSH vào bất kỳ phiên bản EC2 nào khác trong VPC của mình.

Tôi đã thấy vài hộp nhảy EC2 AMI, nhưng tôi đoán chúng đang được sử dụng giống như kiểu phân phối Bitnami và không hoạt động như máy chủ lưu trữ pháo đài.

Answer 1

Vì nhóm bảo mật AWS sẽ cho phép bạn cho phép một IP cụ thể hoặc phạm vi IP cụ thể cho SSH vào, nên vô ích khi có Máy chủ lưu trữ cơ sở cho trường hợp sử dụng này. Các Docs dạy bạn làm thế nào để làm điều này.

Lần duy nhất bạn cần có Máy chủ lưu trữ cơ bản trên AWS là nếu bạn cần SSH vào các cá thể nằm trong mạng con riêng. Để có được các cá thể trong một mạng con riêng từ Internet, bạn cần SSH vào một cá thể trong một mạng con công cộng, và từ cá thể đó, bạn sẽ cần SSH tới cá thể của bạn trong mạng con riêng sử dụng IP riêng của nó.

Thiết lập này khá đơn giản. Bạn không cần bất kỳ AMI ưa thích hoặc bất cứ điều gì như thế và nó chỉ thực sự cần phải là một cái gì đó nhỏ như một t2.micro. Chỉ cần khởi chạy bất kỳ ví dụ eg.Amazon Linux trong một mạng con công cộng. Đảm bảo rằng nhóm bảo mật cho phép IP của bạn trên cổng 22 và SSH vào cổng. Sau đó, bạn sẽ cần phải cho phép máy chủ lưu trữ truy cập vào các trường hợp mong muốn của bạn với các nhóm bảo mật.

Một khi bạn đã thiết lập này, bạn có thể SSH vào pháo đài của bạn, và từ đó bạn có thể chỉ cần SSH vào ví dụ mong muốn của bạn.

Các liên kết này có thể giúp bạn:

Securely connect to Linux Instance in Private Subnet in VPC

Controlling Network Access to EC2 instance using Bastion Server

Tuy nhiên, một cách khác xung quanh việc tiếp cận các trường hợp trong một Subnet cá nhân là để thiết lập một VPN.

Nhưng cách tốt nhất để khóa các phiên bản của bạn là sử dụng các nhóm bảo mật và chỉ cho phép các IP mong muốn của bạn đối với các phiên bản của bạn.

Answer 2

Tính đến Sep 21, 2016, AWS đã công bố triển khai Quick Start tài liệu tham khảo (mẫu CloudFormation và tài sản liên quan) thành lập một bastion host để truy cập một cách an toàn những trường hợp trong một VPC tin:

• Linux Bastion Hosts on AWS - chào đón trang
• Linux Bastion Hosts on the AWS Cloud: Quick Start Reference Deployment - Hướng dẫn triển khai
• aws-quickstart/quickstart-linux-bastion - mã nguồn trên GitHub