我正在探索如何在 AWS 上设置堡垒主机,例如安全和网络配置。
假设我有多个 EC2 实例。但我不想在所有其他 EC2 实例上启用 SSH。我想使用一个特别配置的 EC2 实例作为堡垒主机,我可以在其上从我的私有 IP 进行 SSH(仅);一旦我在堡垒主机实例或 Jumpbox 实例上,我想通过 SSH 连接到我的 VPC 中的任何其他 EC2 实例。
是否有任何可用的 AMI 实例可以用作 Jumpbox 或堡垒主机?这样我就可以只使用一个堡垒主机通过 SSH 连接到我的 VPC 中的任何其他 EC2 实例。
我看到了一些 jumpbox EC2 AMI,但我猜它们更像是 Bitnami 类型的分发,而不是作为堡垒主机。
【问题讨论】:
标签: security amazon-web-services amazon-ec2
由于 AWS 安全组将允许您允许特定 IP 或特定范围的 IP 用于 SSH 入站,因此在此用例中拥有堡垒主机毫无意义。 Docs 教你怎么做。
您需要在 AWS 上使用堡垒主机的唯一情况是您需要通过 SSH 连接到私有子网中的实例。要从 Internet 访问私有子网中的实例,您需要通过 SSH 连接到公共子网中的实例,然后从该堡垒实例中,您需要使用私有 IP 连接到私有子网中的实例。
设置非常简单。你不需要任何花哨的 AMI 或类似的东西,它只需要像 t2.micro 这样的小东西。只需在公共子网中启动任何实例,例如 Amazon Linux。确保它的安全组允许您的 IP 在端口 22 上,并通过 SSH 进入它。然后,您需要允许堡垒主机通过安全组访问所需的实例。
设置完成后,您可以通过 SSH 连接到您的堡垒,然后您可以从那里简单地通过 SSH 连接到您想要的实例。
这些链接可能会对您有所帮助:
Securely connect to Linux Instance in Private Subnet in VPC
Controlling Network Access to EC2 instance using Bastion Server
但是,访问私有子网中的实例的另一种方法是设置 VPN。
但锁定您的实例的最佳方法是使用安全组,并且只允许您的实例使用您想要的 IP。
【讨论】:
截至Sep 21, 2016,AWS 已发布Quick Start 参考部署(CloudFormation 模板和相关资产),该部署设置了一个堡垒主机以安全访问私有 VPC 中的实例:
【讨论】:
如果基于网络的解决方案足够,您应该尝试 Bastillion
https://aws.amazon.com/marketplace/pp/B076D7XMK6
您甚至可以使用标签来限制用户对实例的访问。
【讨论】: