使用堡垒主机连接私有子网的 AWS EC2 实例
在本文中,我们将了解如何借助私有子网中的实例连接私有子网中的实例。
关键术语:
以下是您在继续阅读本文之前应该熟悉的关键术语:
- EC2 实例: EC2 实例就像一台笔记本电脑,您可以在其中运行 Linux、Windows 等操作系统。
- Ami(Amazon Machine Image) :它包含我们用来启动 ec2 实例的操作系统。
- 子网:子网就像大型网络的一部分。例如,我们可以将互联网服务提供商类比为我们城镇或城市中的大型网络,而我们的家庭网络则为小型网络。因此,在这种情况下,我们的家庭网络可以被视为我们互联网服务提供商网络的子网。
- 可用区:这些不同的位置被设计为与其他可用区的故障隔离。
- 公共子网:它有一个连接到 Internet 网关的路由表,该网关允许信息和数据进出子网以及进出 Internet。
- 私有子网:它也与路由表相关联,但未连接到 Internet 网关,这意味着信息从一个子网流向另一个子网,但在 VPC 内,这意味着来自该子网的流量无法通过 Internet 网关传出到 Internet .
- 路由表:路由表是一组称为路由的规则,用于确定网络流量的方向。
- VPC:我们控制的 AWS 的私有子部分,我们可以在其中放置 AWS 资源,例如 ec2 实例和数据库。我们可以完全控制谁可以访问我们放置在 VPC 中的 AWS 资源。
- 互联网网关:硬件和软件的组合,为我们的专用网络提供通往 VPC 外部世界(即互联网)的路由。
- 安全组:这些就像允许或拒绝流量的防火墙。当我们启动一个实例时,我们会将一个或多个安全组与该实例相关联。我们向每个安全组添加规则,以允许进出其关联实例的流量。我们可以随时修改安全组的规则;新规则会自动应用于与安全组关联的所有实例。
- 密钥对:密钥对具有公钥和私钥。所以基本上这是一组安全凭证,我们在连接到 ec2 实例时用来证明我们的身份。
- 堡垒主机:存在于公共子网中的 ec2 实例,我们尝试从该实例连接到私有子网中的实例,称为堡垒主机。
所以,现在让我们从问题陈述开始。因此,首先要开始使用问题陈述,我们需要遵循以下一些步骤:
第 1 步:在任何 AWS 区域的公有子网中创建 Aws ec2 实例。
- 选择这样的 AWS Ami(Amazon 机器映像):
- 然后为您的 ec2 实例选择一个实例类型。实例类型是您启动 AWS ec2 实例所需的硬件,例如您的实例需要多少内存和 CPU 数量。
- 现在配置您的实例详细信息并将所有其他选项保留为默认值。现在只需在距离您较近的任何可用区域中选择一个子网,以避免任何延迟的机会。
- 现在我们必须像这样向我们的 ec2 实例添加存储:
注意:您可以根据您的用例添加更多卷,以通过单击添加新卷来增加您的 ec2 实例的存储空间。
- 现在您可以在标签的帮助下为您的 ec2 实例添加一个友好名称
- 现在我们必须为我们的 ec2 实例配置一个安全组,它是一组控制进入我们实例的流量的规则。
所以在这里我选择了我的安全组,它只允许使用 ssh 和 HTTP 协议的流量。您可以创建新的安全组或使用现有的安全组。
- 在此之后,您可以对您的实例进行最终审核。您可以查看实例的安全组、实例详情、存储和标签。对您的实例进行最终审核后,单击启动。单击启动按钮时,它将提示您选择密钥对。
选择密钥对后,您可以单击启动实例,您的实例将启动。
第 2 步:在我们在公有子网中启动实例的同一可用区中创建一个私有子网。
- 要创建子网,请单击服务,然后单击 VPC,单击 VPC 将为您打开一个 VPC 仪表板,您将在其中找到一个子网选项,只需单击它,您就可以在此处创建子网。
- 要在此处创建私有子网,我将使用我已经创建的私有子网,或者您可以通过单击创建子网来创建一个新的私有子网,因此工作流程将如下所示:
- 为了配置一个新的私有子网,程序在上面的图片中,我将使用我现有的私有子网,名为私有子网
- 现在启动一个 ec2 实例,该过程与我在步骤 1 中编写的启动 ec2 实例的过程相同,区别仅在于您必须选择私有子网的子网,而不是默认的公共子网。
步骤 3:之后,我们需要将路由表附加到不允许来自外部的任何 IP 地址的私有子网,因为我们需要创建一个路由表,然后通过单击编辑子网将该路由表与私有子网关联协会。在这里,我已经创建了路由表并将其与私有子网相关联。但让我向您展示将路由表关联到子网的步骤。
- 创建路由表:
- 将路由表与子网关联:
之后,您需要选择您的私有子网,然后将该子网与路由表相关联,这样现在外部没有人可以与我们在私有子网中的实例进行通信,只有在公共子网和私有子网中的 VPC 内的实例才有可能互相交流。
第 4 步:现在我们将使用一个名为 pageant 的工具
- 打开选美并单击查看键,然后选美将被打开,然后单击添加键以添加我们用于启动实例的键。
Step5:现在我们将使用 putty 连接实例
- 打开 putty 并在公共子网中输入您的实例的主机名,然后在 putty 上启用代理转发。
- 写入主机名的格式: username@public_ip_address_of_your_instance也可以在主机名中写入公共 IP 然后连接,但它会在登录时询问您的用户名,以避免您可以使用上述格式。
- 要编写主机名,请单击腻子窗口中的会话选项,您将看到一个用于编写主机名的选项,因此只需在此处输入您的主机名。
为什么我们在这里启用代理转发?
因此,在此处启用代理转发的好处是它不会要求您将您的密钥进行身份验证以上传到私钥文件中进行身份验证,如图所示。当您单击打开按钮时,它将自动检测您的密钥对并连接到您的实例。所以,现在在选美中添加密钥的目的只是当我们启用代理转发时,它会自动检测我的密钥对并连接到我的实例。
步骤 5:启用代理转发
- 单击 SSH,然后单击 Auth 并勾选允许代理转发选项:
第 6 步:使用堡垒主机连接私有子网中的 EC2 实例
- 现在单击打开按钮,因为我们已经编写了主机名并启用了代理转发。
- 在此之后,您将连接到您的堡垒主机。
- 使用此命令 ssh user-name@ip_address_of_your_private_instance,您将连接到您的私有 ec2 实例。