কীভাবে এসএইচএইচ থেকে এনপি সার্ভারের মাধ্যমে ভিপিসি প্রাইভেট সাবনেটে এক্স 2 উদাহরণ দেওয়া যায়


16

আমি একটি সর্বজনীন সাবনেট এবং একটি বেসরকারী সাবনেট নিয়ে ভিজিপি তৈরি করেছি। বেসরকারী সাবনেটের বাইরের নেটওয়ার্কে সরাসরি অ্যাক্সেস নেই। সুতরাং, সর্বজনীন সাবনেটে একটি নেট সার্ভার রয়েছে যা প্রাইভেট সাবনেট থেকে বহির্মুখী নেটওয়ার্কগুলিতে সমস্ত আউটবাউন্ড ট্র্যাফিক ফরোয়ার্ড করে।

বর্তমানে, আমি পাবলিক সাবনেট থেকে বেসরকারী সাবনেট, এসএইচএইচ থেকে বেসরকারী সাবনেট থেকে এসএসএইচ করতে পারি। তবে, আমি যা চাই তা হ'ল যে কোনও মেশিন (হোম ল্যাপটপ, অফিস মেশিন এবং মোবাইল) থেকে বেসরকারী সাবনেটের উদাহরণ।

আমি কিছু গবেষণা করেছি যে আমি এসএসএইচকে বেসরকারী সাবনেটে ফরোয়ার্ড করতে NAT বাক্সটি সেটআপ করতে পারি। তবে আমি এর জন্য ভাগ্য পাইনি।

এটিকে সম্ভব করার জন্য যে কি আমার সেটআপ করা দরকার তা তালিকাবদ্ধ করতে পারে।

নামকরণগুলি হ'ল:

ল্যাপটপ (ভিপিসির বাইরে যে কোনও ডিভাইস)

নাট (পাবলিক সাবনেটে নেট সার্ভার)

গন্তব্য (প্রাইভেট সাবনেটের সার্ভার যা আমি সংযোগ করতে চাই)

নিশ্চিত নয় যে নিম্নলিখিতগুলি সীমাবদ্ধতাগুলি কিনা:

"গন্তব্য" এর একটি সার্বজনীন আইপি নেই, কেবল একটি সাবনেট আইপি, উদাহরণস্বরূপ 10.0.0.1 উদাহরণস্বরূপ "গন্তব্য" নাটের পাবলিকের মাধ্যমে "নাট" এর সাথে সংযোগ স্থাপন করতে পারে না। বেশ কয়েকটি "গন্তব্য" সার্ভার রয়েছে, আমি কি প্রত্যেকটির জন্য একটি করে সেটআপ করা দরকার?

ধন্যবাদ


এই লিঙ্কটি এসএসএইচ এজেন্ট ফরওয়ার্ডিংয়ের মাধ্যমে প্রাইভেট সাবনেটে ইসি 2 সংস্থাগুলির সাথে সংযোগ স্থাপনের প্রয়োজনীয় পদক্ষেপগুলির রূপরেখা দেয়।
শৈলেন্দ্র রাওয়াত

উত্তর:


25

আপনি আপনার ভিপিসির মধ্যে যে কোনও সংখ্যার সাথে সংযোগ স্থাপনের জন্য একটি ঘাঁটি হোস্ট সেট আপ করতে পারেন:

http://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC

আপনি একটি নতুন উদাহরণ চালু করতে বাছাই করতে পারেন যা একটি ঘাঁটি হোস্ট হিসাবে কাজ করবে, বা আপনার বিদ্যমান NAT উদাহরণটি একটি ঘাঁটি হিসাবে ব্যবহার করবে।

ওভারভিউ হিসাবে আপনি যদি একটি নতুন উদাহরণ তৈরি করেন তবে আপনি:

1) আপনার ঘাঁটিঘরের হোস্টের জন্য একটি সুরক্ষা গোষ্ঠী তৈরি করুন যা আপনার ল্যাপটপ থেকে এসএসএইচ অ্যাক্সেসের অনুমতি দেবে (এই সুরক্ষা গোষ্ঠীটি 4 ধাপে নোট করুন)

2) আপনার ভিপিসিতে একটি সর্বজনীন সাবনেটে একটি পৃথক দৃষ্টান্ত (ঘাঁটি) চালু করুন

)) সেই ঘাঁটি হোস্টটিকে লঞ্চের সময় বা একটি ইলাস্টিক আইপির দ্বারা একটি সর্বজনীন আইপি দিন IP

৪) ঘাঁটিঘরের হোস্ট থেকে এসএসএইচ অ্যাক্সেসের অনুমতি দেওয়ার জন্য আপনার প্রতিটি দৃষ্টান্তের সুরক্ষা গোষ্ঠীগুলি আপডেট করুন that এটি বেসনের হোস্টের সুরক্ষা গোষ্ঠীর আইডি (এসএজি - #####) ব্যবহার করে করা যেতে পারে।

৫) প্রথমে ঘাঁটির সাথে সংযোগ স্থাপনের জন্য এসএসএইচ এজেন্ট ফরওয়ার্ডিং (এসএসএইএ-ব্যবহারকারী @ পাবলিকআইপিওপশন) ব্যবহার করুন এবং তারপরে একবার ঘাঁটিতে, এসএসএইচটিকে কোনও অভ্যন্তরীণ উদাহরণে (এসএসএস ব্যবহারকারী @ ব্যক্তিগত-আইপি-অফ-ইন্টারনাল-ইনস্ট্যান্স) ব্যবহার করতে পারেন। এজেন্ট ফরওয়ার্ডিং আপনার প্রাইভেট কীটি ফরোয়ার্ড করার যত্ন নেয় যাতে এটি বেসমেন্টের ইভেন্টে সংরক্ষণ করতে হয় না ( কোনও কোনও ক্ষেত্রে ব্যক্তিগত কী কখনও সংরক্ষণ করবেন না! )

উপরের এডাব্লুএস ব্লগ পোস্টটি প্রক্রিয়া সম্পর্কিত কিছু কৌতুকপূর্ণ কৌতূহল সরবরাহ করতে সক্ষম হওয়া উচিত। আপনি যদি বাঘ হোস্ট সম্পর্কে অতিরিক্ত বিশদ চান তবে আমি নীচেও অন্তর্ভুক্ত করেছি:

বাশান হোস্টের ধারণা: http://en.m.wikedia.org/wiki/Bastion_host

আপনার যদি স্পষ্টির প্রয়োজন হয় তবে নির্দ্বিধায় মন্তব্য করুন।


3
বেসমেন্টের অভ্যন্তরীণ এবং আউটবাউন্ড উভয় ক্ষেত্রে এসএসএইচ / 22 এর অনুমতি দেওয়ার বিষয়ে নিশ্চিত হন।
user464180

এটি এমন একটি সমালোচনামূলক বিষয় যে এটি অবশ্যই উত্তরের একটি অংশ হতে হবে!
তারিক

সম্পূর্ণরূপে নয় পুরোপুরি নয় এমন স্বীকৃত উত্তর ছাড়াও, আমাকে নিশ্চিত করতে হয়েছিল যে সুরক্ষা গোষ্ঠীগুলি অভ্যন্তরীণ এবং বহির্গামী ট্র্যাফিকের অনুমতি দেয়। প্রথম নজরে দেখে মনে হচ্ছিল তারা ইতিমধ্যে করছে তবে আমি ক্লাউডফর্মেশন টেম্পলেটটি ব্যবহার করার পরে, আমি লক্ষ্য করিনি যে ব্যক্তিগত সাবনেটে আগত ট্রাফিকের উত্সটি আমার ইএলবি। সুতরাং, এটি সমস্ত ট্র্যাফিকের অনুমতি দিয়েছে তবে কেবল ELB থেকে আসছে। আমার সর্বজনীন সাবনেটে এটি পরিবর্তন করা সমস্যার সমাধান করে।
মিলান মার্কোভিচ

1

একমাত্র উপায় আমি এটি কাজ করতে পারে।

1) নিশ্চিত হয়ে নিন যে এই ব্যক্তিগত উদাহরণের জন্য সুরক্ষা গোষ্ঠীটি জনসাধারণের সাবনেট থেকে সুরক্ষা গোষ্ঠীর অভ্যন্তরীণ নিয়মে রয়েছে

পোর্টস প্রোটোকল উত্স
সমস্ত এসএজি -0 বি 6616e070 বি 9 ই 2 ডি (জন সুরক্ষা গোষ্ঠী)

2) প্রক্সি কমান্ড ব্যবহার করে, আপনার এসএসএস কনফিগারেশন ফাইলটি কনফিগার করুন, এর মতো কিছু রয়েছে

vim ~/.ssh/config

Host publichost
   HostName 24.123.34.45
   User ubuntu
   IdentityFile ~/mypem.pem
   ProxyCommand none
Host privatehost
   HostName 10.0.2.133
   User ubuntu
   IdentityFile ~/mypem.pem
   ProxyCommand ssh publichost -W %h:%p

ssh privatehost এটি কাজ করা উচিত চালানো


0

কেবল স্পষ্ট করে বলার জন্য: একবার আপনি যদি আপনার বাজিন হোস্টে প্রবেশ করেন, ব্যবহারকারী হিসাবে আপনাকে NAT হোস্টে প্রবেশ করতে হবে ec2-user। এটি আমাকে কিছুটা হতাশ করেছিল, যেহেতু সাধারণত উবুন্টু ব্যবহারকারী ওডাব্লুএস-তে উবুন্টু থাকে। তাই আমি:

laptop> ssh -A ubuntu@ssh_bastion
ssh_bastion> ssh ec2-user@nat_private_dns_or_private_ip

এছাড়াও, মনে রাখবেন যে আপনার ssh_bastion এর একটি বহির্মুখী নিয়ম থাকা উচিত যা অন্য হোস্ট এবং এসএজিগুলিতে ট্র্যাফিকের অনুমতি দেয়।


ইতিমধ্যে নেট সার্ভিসের জন্য কনফিগার করা হয়েছে এমন একটি অ্যামাজন এএমআই স্পিনিংয়ের ফলস্বরূপ কি সেই 'ec2_user' নাম? সুতরাং, কীভাবে 'ইক 2-ব্যবহারকারী' বেসরকারী মেশিনে একটি অ্যাকাউন্ট পেয়েছে?
ডেনিস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.