linux – 如何通过NAT服务器在VPC私有子网中SSH到ec2实例

前端之家收集整理的这篇文章主要介绍了linux – 如何通过NAT服务器在VPC私有子网中SSH到ec2实例前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我在带有公有子网和私有子网的aws中创建了一个VPC.私有子网无法直接访问外部网络.因此,公共子网中有一个NAT服务器,它将所有出站流量从私有子网转发到外部网络.

目前,我可以从公共子网SSH到私有子网,也可以从NAT到私有子网.
但是,我想要的是从任何机器(家用笔记本电脑,办公机器和移动设备)到私有子网中的实例的SSH.

我做了一些研究,我可以设置NAT盒将SSH转发到私有子网中的实例.但我没有运气.

任何人都可以列出我需要设置的内容以使其成为可能.

命名是:

笔记本电脑(VPC以外的任何设备)

nat(公共子网中的NAT服务器)

目的地(我要连接的私有子网中的服务器)

不确定以下是否有限制:

“目标”没有公共IP,只有子网IP,例如10.0.0.1
“目的地”无法通过nat的公众连接到“nat”.
有几个“目标”服务器,我需要为每个服务器设置一个吗?

谢谢

解决方法

您可以设置堡垒主机以连接到VPC中的任何实例:

http://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC

您可以选择启动将用作堡垒主机的新实例,或使用现有NAT实例作为堡垒.

如果您创建新实例,作为概述,您将:

1)为堡垒主机创建一个安全组,允许从笔记本电脑进行SSH访问(请注意第4步的安全组)

2)在VPC的公有子网中启动单独的实例(堡垒)

3)在启动时或通过分配弹性IP为该堡垒主机提供公共IP

4)更新没有公共IP的每个实例的安全组,以允许从堡垒主机进行SSH访问.这可以使用堡垒主机的安全组ID(sg – #####)来完成.

5)使用SSH代理转发(ssh -A user @ publicIPofBastion)首先连接到堡垒,然后一旦在堡垒中,SSH进入任何内部实例(ssh user @ private-IP-of-Internal-Instance).代理转发负责转发您的私钥,因此它不必存储在堡垒实例上(永远不会在任何实例上存储私钥!!)

上面的AWS博客文章应该能够提供有关该过程的一些细节.我还包括以下内容,以防您需要有关堡垒主机的更多详细信息:

堡垒主人的概念:
http://en.m.wikipedia.org/wiki/Bastion_host

如果您需要澄清,请随时发表评论.

猜你在找的Linux相关文章