SSH'ing в AWS EC2 Экземпляр, расположенный в частной подсети в VPC

Question

Я решил эту проблему в течение нескольких часов, и, возможно, это невозможно, может быть, это так.

У меня есть VPC в AWS, с несколькими экземплярами EC2 и лямбда-инстансами.

На данный момент, лямбда может без проблем вызывать, ssh и т. Д. На сервер EC2.

Мои лямбды используют группу безопасности с только HTTP, HTTPS и SSH в «Исходящих».

Моя группа безопасности по умолчанию в ec2 принимает только 22 входящих (из моей группы безопасности Lambda и IP-адреса моего офиса).

Если я создаю экземпляр ec2 в моей общедоступной подсети, я и моя лямбдафункции могут получить к нему доступ через ssh.

Если я создаю его в своей ЧАСТНОЙ подсети, мои лямбды могут ssh, но я НЕ могу ...

Действительно ли мне нужен NAT-сервер, чтобыдостичь этого?

TL: DR;Только мой офис и мои лямбды должны иметь доступ к моим экземплярам ec2.

Answer 1

Первый вариант, который следует учитывать для доступа по SSH к экземплярам EC2, должен быть Менеджер сеансов AWS Systems Manager для доступа к оболочке для экземпляров EC2 .Это потенциально большое дело.Больше нет бастионов, больше нет правил брандмауэра, разрешающих входящий порт 22. Вы в основном запускаете сеанс SSH в своем браузере, и он может быть нацелен на все экземпляры EC2, независимо от публичного / частного IP или подсети.Экземпляры EC2 должны запускать обновленную версию Агента SSM и должны быть запущены с соответствующей ролью IAM (включая ключевые политики из AmazonEC2RoleForSSM).

Второй вариант, который следует рассмотреть, - AWSSystem Manager Run Command , которая позволяет удаленно запускать команды на экземплярах EC2.Он не интерактивный, как SSH, но если вы просто хотите запустить последовательность скриптов, это очень хорошо.Опять же, экземпляр должен работать под управлением агента SSM и иметь соответствующую политику IAM, и этот параметр позволяет избежать туннелирования через бастионные хосты.

Наконец, если вам действительно нужен SSH с офисного ноутбука на EC2Экземпляр в частной подсети требует нескольких вещей:

1. IGW и NAT в хосте-бастионе VPC
2. с публичным IP-адресом в общедоступной подсети VPC
3. группа безопасностина бастионе, разрешающем входящий SSH с вашего ноутбука
4. маршрут по умолчанию из частной подсети в группу безопасности NAT
5. на частном экземпляре EC2, который разрешает входящий SSH с бастиона

Затем вам нужно проложить туннель через бастион.См. Безопасное подключение к экземплярам Linux, работающим в частном Amazon VPC , для получения дополнительной информации.

Answer 2

Вы можете сослаться на это: https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html Вам потребуется использовать NAT Gateway для доступа к чему-либо в Частной Подсети.