目前,我可以从公共子网SSH到私有子网,也可以从NAT到私有子网.
但是,我想要的是从任何机器(家用笔记本电脑,办公机器和移动设备)到私有子网中的实例的SSH.
我做了一些研究,我可以设置NAT盒将SSH转发到私有子网中的实例.但我没有运气.
任何人都可以列出我需要设置的内容以使其成为可能.
命名是:
笔记本电脑(VPC以外的任何设备)
nat(公共子网中的NAT服务器)
目的地(我要连接的私有子网中的服务器)
不确定以下是否有限制:
“目标”没有公共IP,只有子网IP,例如10.0.0.1
“目的地”无法通过nat的公众连接到“nat”.
有几个“目标”服务器,我需要为每个服务器设置一个吗?
谢谢
解决方法
您可以选择启动将用作堡垒主机的新实例,或使用现有NAT实例作为堡垒.
如果您创建新实例,作为概述,您将:
1)为堡垒主机创建一个安全组,允许从笔记本电脑进行SSH访问(请注意第4步的安全组)
2)在VPC的公有子网中启动单独的实例(堡垒)
3)在启动时或通过分配弹性IP为该堡垒主机提供公共IP
4)更新没有公共IP的每个实例的安全组,以允许从堡垒主机进行SSH访问.这可以使用堡垒主机的安全组ID(sg – #####)来完成.
5)使用SSH代理转发(ssh -A user @ publicIPofBastion)首先连接到堡垒,然后一旦在堡垒中,SSH进入任何内部实例(ssh user @ private-IP-of-Internal-Instance).代理转发负责转发您的私钥,因此它不必存储在堡垒实例上(永远不会在任何实例上存储私钥!!)
上面的AWS博客文章应该能够提供有关该过程的一些细节.我还包括以下内容,以防您需要有关堡垒主机的更多详细信息:
堡垒主人的概念:
http://en.m.wikipedia.org/wiki/Bastion_host
如果您需要澄清,请随时发表评论.
