Блог

Главная - Вопросы по программированию - Шлюзы NAT — как вы подключаетесь по SSH к частному EC2?

Шлюзы NAT — как вы подключаетесь по SSH к частному EC2?

#amazon-web-services #amazon-ec2

#amazon-web-services #amazon-ec2

Вопрос:

Когда вы настраиваете экземпляр EC2 в частной подсети для доступа к Интернету через шлюз NAT (со всей необходимой маршрутизацией и связью через таблицу маршрутов), как вы подключаетесь по SSH к частному EC2?

Например, EC2 в общедоступной подсети NAT Gateway и устанавливаете соединение через общедоступный EC2 с частным EC2.

Комментарии:

1. Обычно я делаю это с помощью хоста-бастиона. Вот статья из cloudacademy, которая объясняет это. cloudacademy.com/blog /…

Ответ №1:

Шлюз NAT предназначен только для исходящего трафика.если вам нужно получить доступ к частному экземпляру EC2, вам нужен бастион в общедоступной подсети в том же VPC. ИЛИ VPN для подключения или AWS system manager.

Ответ №2:

Обычно используются три варианта:

  • Используйте хост-бастион в общедоступной подсети. Сначала вы подключаетесь по ssh к бастиону, а затем по ssh от бастиона к частному ec2. Обычно для этого требуется скопировать закрытый ssh-ключ в бастион, чтобы вы могли использовать его там для подключения по ssh к частной подсети.

  • Используйте диспетчер сеансов SSM. Вероятно, это будет самый простой вариант для настройки, поскольку вы уже используете NAT, и для этого требуется специальная роль экземпляра.

  • Используйте VPN. Вероятно, самое сложное решение, но, тем не менее, оно также используется.

Ответ №3:

Поскольку экземпляр находится в частной подсети, вам нужно будет использовать метод для частного подключения к нему. Есть много вариантов на выбор, они будут отличаться по стоимости и сложности, поэтому убедитесь, что вы сначала прочитали каждый из них.

  • Межсайтовая VPN — с помощью этого метода управляемая VPN добавляется к вашему VPC и подключается к локальной сети через конфигурацию оборудования. Ваши группы безопасности должны будут разрешить ваш локальный диапазон (ы) CIDR для разрешения подключения.
  • Клиентский VPN — используя решение AWS или стороннюю торговую площадку (например, OpenVPN), вы можете установить соединение, используя локальную программу или HTTPS в вашем браузере.
  • Диспетчер сеансов SSM — доступ к вашему экземпляру EC2 через консоль AWS или с помощью CLI, отображаемый как интерфейс bash, без использования SSH для аутентификации. Вместо этого IAM используется для управления разрешениями и доступом.
  • Bastion host — общедоступный экземпляр, к которому вы можете подключиться в качестве посредника либо с помощью SSH для подключения перед доступом к вашему hsot, либо в качестве прокси-сервера для ваших команд.