Dev Faq
0
votes

Passerelles NAT - comment allez-vous SSH dans l'EC2 privé?

Lorsque vous configurez une instance EC2 dans un sous-réseau privé pour accéder à Internet via une passerelle NAT (avec tout le routage et l'association nécessaires via la table de routage), comment gérez-vous SSH dans l'EC2 privé?

Par exemple, EC2 dans le sous-réseau public de la passerelle NAT et établissement d'une connexion via l'EC2 public à l'EC2 privé.

1 commentaires

Un hôte bastion est généralement la façon dont je le fais. Voici un article de cloudacademy qui l'explique. cloudacademy.com/blog/...

3 Réponses :

2
votes

La passerelle NAT est réservée au trafic sortant.Si vous devez accéder à l'instance EC2 privée, vous avez besoin d'un bastion sur un sous-réseau public dans le même VPC. OU VPN pour se connecter ou gestionnaire de système AWS.

0 commentaires
1
votes

Il existe trois options couramment utilisées:

  • Utilisez un hôte bastion dans un sous-réseau public. Vous commencez par ssh vers le bastion, puis ssh du bastion vers l'ec2 privé. Cela nécessite généralement de copier la clé ssh privée dans le bastion afin que vous puissiez l'utiliser là pour ssh sur le sous-réseau privé.

  • Utilisez un gestionnaire de session SSM . Ce serait probablement l'option la plus simple à configurer car vous utilisez déjà NAT et cela nécessite un rôle d'instance spécial .

  • Utilisez un VPN . Probablement la solution la plus complexe mais aussi utilisée néanmoins.

0 commentaires
1
votes

Comme l'instance se trouve dans un sous-réseau privé, vous devrez utiliser une méthode pour vous y connecter en privé. Il existe de nombreuses options parmi lesquelles choisir, leur coût et leur complexité varient, alors assurez-vous de les lire d'abord.

  • VPN de site à site : à l'aide de cette méthode, un VPN géré est ajouté à votre VPC et connecté à votre site via la configuration matérielle. Vos groupes de sécurité devront autoriser votre ou vos plages CIDR sur site à autoriser la connexion.
  • Client VPN - En utilisant la solution AWS ou un tiers du marché (tel qu'OpenVPN), vous pouvez établir une connexion à l'aide d'un programme local ou HTTPS dans votre navigateur.
  • Gestionnaire de sessions SSM : accédez à votre instance EC2 via la console AWS ou à l'aide de l'interface de ligne de commande, présentée comme une interface bash sans utiliser SSH pour vous authentifier. Au lieu de cela, IAM est utilisé pour contrôler les autorisations et l'accès.
  • Hôte bastion - Une instance publique à laquelle vous pouvez vous connecter en tant qu'intermédiaire soit en utilisant SSH pour vous connecter avant d'accéder à votre hsot, soit en tant que proxy pour vos commandes.
0 commentaires

Articles qui pourrait vous intéresser :

AWS Fargate est-il meilleur que les groupes de nœuds gérés Amazon EKS?
Comment envoyer des e-mails à plusieurs destinataires via AWS SES
Hôte DynamoDB inaccessible lors de l'exécution de la simulation d'amplification
Erreur de méthode 405 non autorisée dans AWS Cognito oauth2 / token endpoint