現(xiàn)實(shí)場景中，我們希望一些服務(wù)器不可以被外網(wǎng)SSH登錄上去，但是可以通過某一臺(tái)跳板機(jī)登錄。這樣只用加固這臺(tái)跳板機(jī)的安全性，就可以在一定程度上保障整個(gè)集群的安全。
在AWS場景下，我們一般使用子網(wǎng)去做IP地址段的分割，然后限制子網(wǎng)的訪問性來達(dá)到這樣的目的。
回顧下《AWS攻略——使用ACL限制訪問》，其架構(gòu)通過主ACL或者子網(wǎng)ACL來實(shí)現(xiàn)安全訪問。

如果我們不用子網(wǎng)，也可以直接使用復(fù)雜的ACL規(guī)則來達(dá)成。但是這就要求EC2實(shí)例不能新增，因?yàn)樾略龅腅C2會(huì)在子網(wǎng)IP/CIDR下自動(dòng)分配一個(gè)IP，而該IP不能指定。已編輯好的ACL不能預(yù)先知道IP的存在，于是就需要再次編輯ACL來滿足新機(jī)器的情況。
舉個(gè)例子：假如目前只有兩臺(tái)機(jī)器，一臺(tái)是100.0.0.10，一臺(tái)是100.0.0.11。我們規(guī)定100.0.0.10這臺(tái)機(jī)器可以被外網(wǎng)訪問，而100.0.0.11不能，則可以配置兩條規(guī)則。如果后續(xù)新增一臺(tái)100.0.0.121的機(jī)器，則需要在ACL中再新增一條針對(duì)其的記錄。這樣的設(shè)計(jì)是非常不友好的，而通過子網(wǎng)劃分就可以很好解決這個(gè)問題。因?yàn)镋C2創(chuàng)建過程中要選擇子網(wǎng)，這樣就可以通過子網(wǎng)的IP/CIDR將規(guī)則一次性寫好。
我們刪除掉《AWS攻略——?jiǎng)?chuàng)建VPC》創(chuàng)建的子網(wǎng)和機(jī)器，以及《AWS攻略——使用ACL限制訪問》中創(chuàng)建的ACL。設(shè)計(jì)兩個(gè)子網(wǎng)來滿足上述需求。

分配子網(wǎng)

在子網(wǎng)創(chuàng)建頁面，選擇VPC后，按下圖分配兩個(gè)子網(wǎng)。

名字為test-vpc-private的子網(wǎng)IP/CIDR是100.0.0.0/25，地址長度是2^(32-25)=128，即100.0.0.0~100.0.0.127。于是名字為test-vpc-public的子網(wǎng)只能從100.0.0.128開始分配，為了填滿VPC，其長度是2^(32-24)-2^(32-25)=2^(32-25)=128，于是它的IP/CIDR是100.0.0.0128/25。

給Public子網(wǎng)分配互聯(lián)網(wǎng)網(wǎng)關(guān)

創(chuàng)建互聯(lián)網(wǎng)網(wǎng)關(guān)

附加到VPC

給Public子網(wǎng)創(chuàng)建路由表

在路由表創(chuàng)建頁面，

關(guān)聯(lián)子網(wǎng)

打通Public子網(wǎng)和互聯(lián)網(wǎng)網(wǎng)關(guān)

在上述路由表中配置

創(chuàng)建Public子網(wǎng)下的EC2進(jìn)行測(cè)試

如下圖，我們將機(jī)器分配在test-vpc-public子網(wǎng)下，并選用之前博文中創(chuàng)建的密鑰對(duì)，以便后續(xù)測(cè)試。

配置Private子網(wǎng)路由

給Private子網(wǎng)創(chuàng)建路由表

附加在Private子網(wǎng)

創(chuàng)建Private子網(wǎng)下的EC2進(jìn)行測(cè)試

創(chuàng)建實(shí)例

我們將該實(shí)例放在test-vpc-private子網(wǎng)中。


注意需要選擇“密鑰對(duì)”。
我們沒有給其分配共有IP，于是它的共有IPv4地址是沒有的。這樣這臺(tái)實(shí)例就不能通過外網(wǎng)ssh上去了。但是其終極原因是它處在Private子網(wǎng)里。

我們也可以給其開啟“自動(dòng)分配共有IP”，讓其有一個(gè)出口IP。

但是由于其所在Private子網(wǎng)沒有將互聯(lián)網(wǎng)網(wǎng)關(guān)配置到路由上，導(dǎo)致其不能在外部通過ssh登錄。

在跳板機(jī)上配置“密鑰對(duì)”文件

在test-vpc-public-instance實(shí)例上新建一個(gè)pem文件，然后將“密鑰對(duì)”文件內(nèi)容粘貼進(jìn)去。
通過chmod 400 your.pem文件來修改文件權(quán)限。

連接測(cè)試

執(zhí)行 ssh -i “your.pem” ec2-user@your-private-instance-ip來測(cè)試登錄

知識(shí)點(diǎn)

Public subnet（共有子網(wǎng)） 和 Private subnet（私有子網(wǎng)）區(qū)別在于Public Subnet的路由配置了連接互聯(lián)網(wǎng)的網(wǎng)關(guān)。