AWS VPC SSH安全组配置

Question

我在AWS上设置测试VPC，看看我喜欢不同的配置。

使用默认的Scenario 2配置：

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

我不确定访问子网成员的最佳实践流程是什么。您可以ssh进入NAT，然后ssh进入子网中的实例，但这当然需要在NAT上使用该实例的pem键，这让我感到不舒服。

我是否错过了解安全组的配置，应该能够直接ssh到子网成员？

Answer 1

通常，私有VPC子网中的实例没有来自Internet的入站访问权限，无法直接访问。您可以将弹性IP分配给私有子网中的实例，并将入站流量路由到该子网。但是，出站返回流量永远不会到达源，因为NAT不会路由非对称流量。

通过SSH访问这些系统至少有两个选项：

1. 使用公有子网中的堡垒主机跳转到私有子网中的实例。 NAT可以作为此堡垒，或者您可以设置另一个实例。您可以在堡垒中拥有私钥，也可以使用SSH配置中的ForwardAgent选项来使用堡垒中的私钥，而无需存在密钥文件。
2. 使用VPN网关建立从网络到VPC的VPN。允许VPC安全组中的网络地址空间访问私有子网中的实例。然后，您可以通过SSH连接到私有实例，就好像它们是您网络的本地实例一样。

如果您使用安全组规则，本地防火墙和其他标准系统安全技术充分强化堡垒，那么将私钥留在堡垒主机上不会让您感到不舒服。