我有一个公共子网的EC2实例。 在同一个子网上,我有一个EC2 Bastion实例。 在安全组中,我需要80端口可以访问外界,因为它正在运行一个应用程序。服务。要连接到ssh端口(22),我还在安全组中放置了一条规则,只允许来自堡垒服务器的IP。
这是一个好习惯吗? 如果没有,我的实例如何在公共子网上安全?
谢谢!
答案 0 :(得分:0)
通常,Bastion实例的主要目的是允许您轻松连接私有子网中的实例。
因此,直接连接到公共子网中的实例通常会被认为是完全正常的。如果要最大限度地提高安全性,请确保您的安全组仅允许单个IP地址或网络范围从Internet连接到它而不是0.0.0.0/0。如果你有很多服务器,这可能是一个痛苦的问题,如果你想从不同的地方连接它,它可能很难管理。
通过密钥对身份验证文件(.pem)和锁定安全组的组合,安全性将非常紧张。