我的公共 IP 地址每 24 小时更改一次,这是正常的,但我的问题是:如何使其变为静态或我需要更改哪些设置,以便我不必重新允许并为 AWS EC2 中的新公共 IP 地址重新创建新的安全组?
答案1
动态 IP 地址在许多国家/地区相当常见。运营商级 NAT 也是如此,这意味着许多人共享同一个 IP 地址。
您无需创建新的安全组;只需将新 IP 地址添加到现有安全组,最好从安全组中删除所有其他 IP 地址。您可以在网上找到可以自动执行此操作的脚本,例如这个。您可以使用 AWS CLI/SDK 将其扩展为删除旧 IP 地址。一个 EC2 实例可以有五个安全组,我倾向于将一个专用于各个端口上的主 IP、一个用于我的 CDN 的 IP,然后为其他内容设置一个“杂项”SG。这很有用,因为每个组的 SG 规则限制为大约 50 条,将事物放在一起使它们更容易组织。
或者,如果您的 IP 地址都在给定的 CIDR 范围或范围集合内,则可以将其添加到您的安全组。
另一个选择是删除 IP 地址限制,这会在一定程度上降低安全性,但如果您保持私钥私密,也许就足够了。这会导致您面临暴力登录尝试,并且如果在 SSH 中发现任何漏洞或 SSH 配置不当,可能会让其他人进入您的服务器,因此我不推荐这样做,但这是一个选择。
答案2
你可以使用 AWS 来避免开放 IP 地址问题系统管理器会话管理器。
它通过 AWS CLI 将您登录到 EC2 实例。AWS 如何在内部路由您的连接有点像黑匣子,但它确实允许您将这些端口保持在公共互联网关闭状态。
要使用 scp 或 rsync 之类的功能,您可以通过 AWS CLI 启用 ssh 连接,如下所示本文档。
答案3
我会避免使用其他商业 VPN 服务,而是
在您的 VPC 中的 EC2 实例上运行类似 OpenVPN 的 VPN 服务器,或者
由于您已经为 AWS 服务付费,因此请使用 AWS 客户端 VPN https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html
两者都允许您使用证书而不是密码安全地连接到远程主机,并且您可以让您的安全组允许在端口 1194/udp 上不受限制地访问。
您可以选择查找您的 ISP 拥有的所有 IP,并将所有块添加到您的入站安全组。
另一种选择是将您的住宅级 ISP 连接升级为具有静态 IPv4 寻址的连接(如果他们提供的话,需支付一定的费用),或者更换为提供该功能的 ISP。
最后,考虑 IPv6 连接。这在 AWS 方面相对简单,但同样取决于您的 ISP 是否支持它……并非所有 ISP 都支持。
答案4
AWS 每月更改我的 IP 地址两次——现在客户希望 AWS 为每月 20 人 40 分钟的中断付费!
AWS 上发生了什么事???