我的问题是很容易通过 SSH 连接到没有公共 IP 的 EC2 实例(即数据库实例、Web 实例等)。
我发现可以使用 iptablesPREROUTING链根据具有公共 IP 的服务器上的传入端口转发 SSH 流量。因此,我认为我可以使用负载均衡器在我的私有实例之间转发 SSH。然而,这似乎是一个相当大的安全漏洞,因为我的私有实例现在可能暴露于基于 SSH 的攻击。
还有其他方法可以方便地通过私有 IP SSH 进入 EC2 实例吗?
答案1
我认为您描述的是 Amazon VPC(虚拟私有云)。通过建立 IPsec VPN 隧道,这项 Amazon 服务将允许您实现无需公共 IP 即可安全访问虚拟机的目标。当您拥有静态 IP 时,此解决方案效果最佳,否则当您的 IP 发生变化时,您可能需要重建隧道。Amazon 的销售宣传如下:https://aws.amazon.com/vpc/
我已成功使用 pfSense 防火墙建立使用静态路由和 BGP 的隧道。
答案2
A堡垒主机可以满足您的需要。它基本上是一个向内代理,您可以根据该主机进行身份验证,然后从那里连接到其他机器。
堡垒的安全性很高,通常通过 IP 锁定,如果您愿意,可以要求使用 VPN 来连接到它。