我正在探索如何在AWS上设置堡垒主机,如安全和网络配置。
假设我有多个EC2实例。但我不想在每个其他EC2实例上启用SSH。我想使用一个特殊配置的EC2实例作为堡垒主机,我可以通过我的私有IP(仅限)进行SSH;一旦我在堡垒主机实例或Jumpbox实例上,我想对我的VPC中的任何其他EC2实例进行SSH。
是否有可用的AMI实例作为Jumpbox或堡垒主机?这样我只能使用一个堡垒主机来SSH到我的VPC中的任何其他EC2实例。
我看到很少跳箱EC2 AMI,但我猜他们的使用更像Bitnami类型的分配,而不是作为堡垒主机。
答案 0 :(得分:21)
由于AWS安全组允许您为SSH入站允许特定IP或特定范围的IP,因此具有此用例的堡垒主机是毫无意义的。 Docs教你如何做到这一点。
您需要在AWS上使用堡垒主机的唯一情况是您需要SSH到私有子网中的实例。要从Internet访问私有子网中的实例,您需要SSH到公有子网中的实例,并且从该堡垒实例,您需要使用它的私有IP通过SSH连接到私有子网中的实例。
设置起来非常简单。你不需要任何花哨的AMI或类似的东西,它只需要像t2.micro一样小。只需在公共子网中启动任何实例eg.Amazon Linux。确保它的安全组允许您在端口22上使用IP,并将SSH连接到它。然后,您需要允许堡垒主机访问具有安全组的所需实例。
完成此设置后,您可以通过SSH连接到堡垒,然后从那里只需SSH即可进入所需的实例。
这些链接可能会对您有所帮助:
Securely connect to Linux Instance in Private Subnet in VPC
Controlling Network Access to EC2 instance using Bastion Server
但是,另一种访问私有子网中实例的方法是设置VPN。
但锁定实例的最佳方法是使用安全组,只允许您的实例使用所需的IP。
答案 1 :(得分:10)
自Sep 21, 2016起,AWS发布了Quick Start参考部署(CloudFormation模板和相关资产),用于设置堡垒主机,以便安全地访问私有VPC中的实例:
答案 2 :(得分:-2)
如果基于Web的解决方案足够,则应尝试Bastillion
https://aws.amazon.com/marketplace/pp/B076D7XMK6
您甚至可以使用标签来限制用户对实例的访问。