我们有一个环境,我们有两个EC2实例,一个在VPC的公共子网中,它是我们的Web服务器,另一个在VPC的私有子网中,它是pur应用服务器。私有子网中的EC2实例正在运行tomcat。我们如何从浏览器访问tomcat管理器控制台?
我们的安全组如下:
对于具有公共IP的Web服务器,我们允许端口22,80和8080从0.0.0.0/0(从任何地方)。这些是入站规则。 出站规则允许端口22被允许到私有子网的安全组。这将允许从Web服务器到应用程序服务器的ssh。
私有子网的入站允许来自公有子网的22个,以及80和8080.
NAT网关允许到Internet的出站流量。可以从应用程序服务器访问Internet。
我现在如何:
使用浏览器访问tomcat管理器控制台? (Tomcat已在应用程序服务器上配置。我们创建了一个旧实例的图像并将其旋转起来)
如果我们需要对应用服务器进行任何war文件部署,我们该怎么办?
谢谢..
答案 0 :(得分:0)
该计划并不安全,因为您需要将网络服务器上的端口22暴露给互联网,但会解决您的问题。您可以限制入站角色中的源IP。
在当前设计中,没有堡垒(jumphost),因此您必须使用webserver(具有弹性IP)作为跳转到应用程序(tomcat)服务器的堡垒。
您需要在浏览器中使用ssh套接字代理集来访问tomcat管理控制台,在google中搜索密钥世界ssh socket proxy,您将获得大量文档来教您如何操作。
使用EIP在公有子网中创建一个新的ec2实例并在其上安装VPN。例如,openvpn。设置仅允许从该jumphost登录到其他ec2实例的安全组
登录openvpn后,您的浏览器应该直接访问tomcat管理器控制台。
使用EIP在公有子网中创建一个ec2实例,微型在当前设计中应该足够好。
使用新的Bastion实例,您可以在浏览器中设置ssh socket proxy以访问tomcat管理器控制台。
在您的VPC中添加ELB,然后您可以将webserver移动到私有子网。