允许外部访问 aws 上的堡垒主机
Allowing external access to bastion hosts on aws
我正在尝试在 aws 上的 VPC 中创建一些堡垒主机,以连接到位于私有子网中的数据库。我正在使用这个 aws Quick start。
我了解 CIDR 块的基础知识及其含义。但是,我不明白 "Allowed Bastion External Access CIDR" 参数是什么意思。引用文档,这个参数的含义如下:
"CIDR block that’s allowed SSH external access to the bastion hosts. We recommend that you set this value to a trusted CIDR block. For example, you might want to restrict access to your corporate network."
我不明白我应该在这个参数中输入什么。他们想要连接到堡垒主机的我的私有子网的 IP 范围吗?或者他们的意思是我在家里的私人网络范围?这是否意味着我无法从其他任何地方通过 ssh 连接到我的堡垒主机?显然我想限制对我的堡垒主机的访问,但我不认为我只想从家里访问它们,因为我在不同的地方工作,而且我们办公室没有专用网络。
谢谢
"CIDR block that’s allowed SSH external access to the bastion hosts. We recommend that you set this value to a trusted CIDR block. For example, you might want to restrict access to your corporate network."
在高层次上,CIDR 块的更简单视图是它是一个 IP 地址范围,以 CIDR 格式表示,该指南实质上是告诉您设置您想要允许的 IP 地址范围连接到您的 Bastion 主机。它还提醒您只将其设置为受信任的 CIDR 块,这可能是您的公司网络、您自己的 IP 地址,或者也可能是您私有子网的 CIDR 块范围。
如果您的私有子网 CIDR 是 10.0.0.0/8,并且您将允许连接到 Bastion 的 CIDR 块设置为该值,那么您将允许从子网 10.0.0.0 中的任何 IP 地址连接到 Bastion - 10.255.255.255;这是子网中允许连接的大约 16.7m IP;假设没有其他入站规则,只有私有子网中具有该范围内 IP 地址的服务才能连接到堡垒。你可以在你的安全组中指定多个入站规则,这将允许你从不同的位置连接,比如家里或你的办公室,但是如果你在这些位置有动态 IP 地址,你需要在 IP 地址更改时更新你的安全组.
也就是说,即使它是一个私有子网,并且没有外部访问权限,最佳做法是明确允许连接到您的堡垒的 IP 地址。这提高了安全性,减少了潜在的攻击面,并减少了出错的可能性。
"Allowed Bastion External Access CIDR" 参数 - 您将通过 SSH 连接到堡垒主机的主机的 CIDR。我使用 /32 形式的笔记本电脑 IP 作为 CIDR 来限制访问。如果 IP 是动态的,那么 hephalump 的答案是正确的,只要您想通过 ssh 连接到堡垒主机,就可以从 AWS 控制台编辑安全组。如果您不想更改安全组,那么您需要其他选项以在家庭网络中拥有静态 IP,例如 docker 容器或桥接到主机网络的 VirtualBox VM。
我正在尝试在 aws 上的 VPC 中创建一些堡垒主机,以连接到位于私有子网中的数据库。我正在使用这个 aws Quick start。
我了解 CIDR 块的基础知识及其含义。但是,我不明白 "Allowed Bastion External Access CIDR" 参数是什么意思。引用文档,这个参数的含义如下:
"CIDR block that’s allowed SSH external access to the bastion hosts. We recommend that you set this value to a trusted CIDR block. For example, you might want to restrict access to your corporate network."
我不明白我应该在这个参数中输入什么。他们想要连接到堡垒主机的我的私有子网的 IP 范围吗?或者他们的意思是我在家里的私人网络范围?这是否意味着我无法从其他任何地方通过 ssh 连接到我的堡垒主机?显然我想限制对我的堡垒主机的访问,但我不认为我只想从家里访问它们,因为我在不同的地方工作,而且我们办公室没有专用网络。
谢谢
"CIDR block that’s allowed SSH external access to the bastion hosts. We recommend that you set this value to a trusted CIDR block. For example, you might want to restrict access to your corporate network."
在高层次上,CIDR 块的更简单视图是它是一个 IP 地址范围,以 CIDR 格式表示,该指南实质上是告诉您设置您想要允许的 IP 地址范围连接到您的 Bastion 主机。它还提醒您只将其设置为受信任的 CIDR 块,这可能是您的公司网络、您自己的 IP 地址,或者也可能是您私有子网的 CIDR 块范围。
如果您的私有子网 CIDR 是 10.0.0.0/8,并且您将允许连接到 Bastion 的 CIDR 块设置为该值,那么您将允许从子网 10.0.0.0 中的任何 IP 地址连接到 Bastion - 10.255.255.255;这是子网中允许连接的大约 16.7m IP;假设没有其他入站规则,只有私有子网中具有该范围内 IP 地址的服务才能连接到堡垒。你可以在你的安全组中指定多个入站规则,这将允许你从不同的位置连接,比如家里或你的办公室,但是如果你在这些位置有动态 IP 地址,你需要在 IP 地址更改时更新你的安全组.
也就是说,即使它是一个私有子网,并且没有外部访问权限,最佳做法是明确允许连接到您的堡垒的 IP 地址。这提高了安全性,减少了潜在的攻击面,并减少了出错的可能性。
"Allowed Bastion External Access CIDR" 参数 - 您将通过 SSH 连接到堡垒主机的主机的 CIDR。我使用 /32 形式的笔记本电脑 IP 作为 CIDR 来限制访问。如果 IP 是动态的,那么 hephalump 的答案是正确的,只要您想通过 ssh 连接到堡垒主机,就可以从 AWS 控制台编辑安全组。如果您不想更改安全组,那么您需要其他选项以在家庭网络中拥有静态 IP,例如 docker 容器或桥接到主机网络的 VirtualBox VM。