亚马逊AWS官方博客

Tag: 平台跳板机

基于AWS 平台跳板机配置

很多用户通过跳板机对部署在AWS平台的应用系统进行日常维护,为管理私有网络的服务器提供便利,最小化了应用系统的安全风险,从而有利于提升整体架构的安全。 为达到更好的安全性,需要进行恰当的规划,通常可以考虑以下几个问题: 跳板机应该放置在哪个子网? 如何安全访问跳板机? 跳板机如何安全访问受管理服务器? 以下是结合这些问题基于AWS部署linux跳板机相关步骤。 一.网络规划 对于vpc的规划通常需要划分为若干个子网,分为公有子网和私有子网。公有子网中的实例可以直接从 Internet 接收入站数据流,私有子网中的实例则不可。公有子网中的实例可以直接向 Internet 发送出站数据流,私有子网中的实例则不可。但是,私有子网中的实例可以使用位于公有子网中的网络地址转换 (NAT) 网关访问 Internet。 根据以上描述不同子网的特点,我们需要把跳板机放置在公有子网中,以便接受管理人员通过internet的访问,受管理的服务器根据其在业务系统中充当的角色选择放置在公有子网或私有子网。在实际生产环境中根据需要可为跳板机设置一个独立的公有子网 。 如下图所示的vpc规划中,为跳板机实例划分了一个专用的公有子网,管理员可以通过登录到跳板机对放置在私有子网的服务器的管理: 二.跳板机部署 请参考以下链接,在公有子网中部署一台linux EC2实例,并为跳板机EC2分配  EIP: http://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/EC2_GetStarted.html 在实际部署中考虑到跳板机所需的工作负载,可以部署配置较低的实例类型。此外,出于成本和安全考虑,您也可以在不进行运维操作的时候将跳板机状态设置为”停止”,在每次运维需要的时候再“开启”跳板机。 为跳板机实例配置安全组。在创建EC2的过程中,在安全组规则中添加SSH服务的安全规则,根据实际情况限定连接的源 IP地址。如下图所示,只接受特定的 管理终端连接: 配置受管理服务器的安全组。配置安全组规则仅接受来自跳板机所对应安全组的访问请求: 配置管理终端。在管理终端依次导入跳板机和受管理服务器的证书私钥,登录跳板机后私钥信息将转发到受管理服务器完成身份验证。以下是针对linux环境和windows环境的管理终端为例: 在linux管理终端下通过ssh从跳板机登录到受管理服务器: 步骤一:在linux管理终端上运行ssh-agent启动ssh-agent进程 步骤二:将跳板机和受管理服务器对应证书的私钥依次添加到管理终端,执行方式如下(例如,私钥文件名称为xxx.pem): ssh-add  xxx.pem 步骤三:使用ssh -A 参数登录跳板机,-A 表示通过跳板机转发本地管理端保存的私钥信息,实现跳板机与受管理服务器之间的身份验证: ssh  –A  ec2-user@跳板机公网 ip地址  ——(以下假定linux ssh用户名为ec2-user) 步骤四:从跳板机直接通过受管理服务器的内网IP SSH登录服务器: ssh  ec2-user@受管理服务器的内网ip地址  在windows环境下通过Putty从跳板机登陆到受管理的服务器: 下载putty客户端,并且通过puttygen将私有证书生成ppk格式。 下载Putty环境下的SSH agent—-pageant 步骤一:将受管理服务器及跳板机所对应证书的私钥添加进pageant 启动pageant并右击图标,您可以先查看key list,如果受访问服务器所需私钥没有添加进key […]

Read More