参考部署

AWS 中的 Linux 堡垒主机

使用 AWS 云中的 Linux 堡垒主机实现安全远程访问

本快速启动将 Linux 堡垒主机添加到新的或现有的 AWS 基础设施中,以执行基于 Linux 的部署。使用堡垒主机,可以安全访问位于 Virtual Private Cloud (VPC) 的专用子网和公用子网中的 Linux 实例。

本快速启动设置了多可用区环境,并将 Linux 堡垒主机实例部署到公用子网中,以提供对此环境的现成管理访问权限。可以指定堡垒主机实例类型,以及要部署的实例数 (1-4)。

Auto Scaling 组可确保堡垒主机实例数始终与您指定的容量相匹配。为了提供额外的安全防护,本快速启动还设置了 Amazon CloudWatch Logs,用于远程存储 Shell 历史记录日志。部署本快速启动后,可以在云环境中分层添加其他 AWS 服务、基础设施组件和应用程序,从而完成 AWS 云中的 Linux 环境。

linux-bastion-homepage

本快速启动的开发人员是
由 AWS 解决方案架构师开发。

 

  •  构建内容
  •  如何部署
  •  费用和许可证
  •  构建内容
  • 使用本快速启动在 AWS 中创建以下网络环境:

    • 横跨两个可用区的高度可用架构。*
    • 根据 AWS 最佳做法配置有公用子网和专用子网的 VPC,可在 AWS 上为您提供您自己的虚拟网络。*
    • 允许访问互联网的互联网网关。堡垒主机使用此网关发送和接收流量。*
    • 允许对专用子网中的资源进行出站互联网访问的托管 NAT 网关。*
    • 每个公用子网中包含弹性 IP 地址的 Linux 堡垒主机,可允许对公用子网和专用子网中的 EC2 实例进行入站安全外壳 (SSH) 访问。
    • 用于精细入站访问控制的安全组。
    • 包含可配置实例数的 Amazon EC2 Auto Scaling 组。
    • 一组与堡垒主机实例数匹配的弹性 IP 地址。如果 Auto Scaling 组重新启动任何实例,这些地址就会与新实例重新关联。
    • 用于保留 Linux 堡垒主机 Shell 历史记录日志的 Amazon CloudWatch Logs 日志组。

    *将本快速启动部署到现有 VPC 的模板会跳过标有星号的任务,并提示您使用现有 VPC 配置。

    为了实现高可用性和安全性,本快速启动构建的架构支持 AWS 最佳做法。建议在使用本快速启动构建的架构时遵循部署指南中详述的最佳做法。

     

  •  如何部署
  • 要将堡垒主机添加到 AWS 中的 Linux 环境,请按照部署指南中的说明操作。部署过程的步骤如下:

    1. 如果您还没有 AWS 账户,请访问 https://aws.amazon.com 进行注册。
    2. 启动本快速启动。每次部署大约需要五分钟。有以下两种方案可供选择:
    3. 添加其他 AWS 服务或 Linux 应用程序。

    要自定义部署,可以更改 VPC 配置、选择堡垒主机实例数和类型、启用 TCP 或 X11 转发,还能为堡垒主机启用默认横幅或自定义横幅。

    Amazon 可能会跟与 AWS 合作打造 Quick Start 的 AWS 合作伙伴共享用户部署信息。  

  •  费用和许可证
  • 您需要支付在运行此 Quick Start 的参考部署期间使用 AWS 服务所产生的费用。使用本快速入门无需额外付费。

    此 Quick Start 的 AWS CloudFormation 模板包括可自定义的配置参数。其中一些设置(如实例类型)会影响部署成本。有关成本估算,请参阅 Amazon EC2 定价页