Sie können einen Bastion-Host einrichten, um eine Verbindung zu jeder Instanz in Ihrer VPC herzustellen:
http://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC
Sie können eine neue Instanz starten, die als Bastion-Host fungiert, oder Ihre vorhandene NAT-Instanz als Bastion verwenden.
Wenn Sie eine neue Instanz erstellen, werden Sie im Überblick:
1) Erstellen Sie eine Sicherheitsgruppe für Ihren Bastion-Host, die den SSH-Zugriff von Ihrem Laptop erlaubt (notieren Sie sich diese Sicherheitsgruppe für Schritt 4)
2) Starten Sie eine separate Instanz (Bastion) in einem öffentlichen Subnetz in Ihrer VPC
3) Geben Sie diesem Bastion-Host entweder beim Start oder durch Zuweisen einer Elastic IP
eine öffentliche IP4) Aktualisieren Sie die Sicherheitsgruppen jeder Ihrer Instanzen, die keine öffentliche IP-Adresse haben, um den SSH-Zugriff vom Bastion-Host zu ermöglichen. Dies kann mit der Sicherheitsgruppen-ID des Bastion-Hosts (sg-#####) erfolgen.
5) Verwenden Sie die SSH-Agentenweiterleitung (ssh -A [email protected]), um sich zuerst mit der Bastion zu verbinden, und dann einmal in der Bastion, SSH in eine beliebige interne Instanz (ssh [email protected]). Die Agentenweiterleitung kümmert sich um die Weiterleitung Ihres privaten Schlüssels, sodass er nicht auf der Bastion-Instanz gespeichert werden muss (speichern Sie niemals private Schlüssel auf irgendeiner Instanz!! )
Der obige AWS-Blogbeitrag sollte in der Lage sein, einige Einzelheiten zum Prozess zu liefern. Ich habe auch das Folgende eingefügt, falls Sie zusätzliche Details zu Bastion-Hosts wünschen:
Konzept von Bastion-Hosts:http://en.m.wikipedia.org/wiki/Bastion_host
Wenn Sie Klärungsbedarf haben, können Sie gerne einen Kommentar hinterlassen.