Правила безопасности AWS для входящих подключений моей компании установлены таким образом, что IP-адреса из сетей компании могут подключаться по SSH к ресурсам AWS. Однако я хочу работать из дома и иметь возможность подключаться по SSH к экземплярам AWS EC2 (а также входить в экземпляры RDS).
Один из способов — это, конечно, добавить IP моего домашнего Wi-Fi в правила входящих соединений группы безопасности AWS того экземпляра, к которому я хочу подключиться по SSH. Однако моему менеджеру это почему-то не нравится. (Интересно, почему так).
Итак, другой способ — подключиться к сети моей компании с помощью VPN. Я не понимаю после этого, как подключиться к AWS EC2 или AWS RDS. Помогите, пожалуйста.
решение1
Здесь есть несколько движущихся частей, так что оставайтесь со мной.
Главная -> Рабочий VPN -> Работа -> vpn для AWS -> AWS
Допустим, каждый из них имеет следующие значения:
Home PC on VPN: 192.168.10.2
Work VPN Network: 192.168.10.0
Work Network : 172.16.0.0
VPN to AWS Network: 10.0.2.0
AWS VPC (All EC2 Instances are assigned): 10.0.3.0
Администратору необходимо установить правило, разрешающее трафик SSH из WORK VPN NETWORKв VPN to AWS NETWORKна брандмауэре рабочих сетей, а затем разрешить WORK VPNподсеть как входящее правило на VPC в aws. Настройки у всех могут отличаться, но это самый простой способ сделать то, что вам нужно, и он настраивается аналогично этому. Этот набор действий позволит любому, кто подключается к VPN, получить доступ к любым хостам ec2 на VPC.
решение2
Если я правильно понял, у вас настроен VPN для вашей рабочей сети. VPN должен предоставить вам внешний IP-адрес вашей рабочей сети, который должен автоматически позволить вам подключаться по SSH к экземплярам AWS и RDS, как если бы вы находились в офисе. Вы можете проверить свой внешний IP-адрес, перейдя по адресуhttps://www.whatismyip.com/what-is-my-public-ip-address/или подобные сайты.
Что касается того, почему ваш менеджер не хочет добавлять ваш домашний IP-адрес в группу безопасности AWS, лучше всего спросить его/ее. Держу пари, что это связано с тем, что домашний/потребительский IP-адрес является динамическим (он может меняться без уведомления) и с накладными расходами, которые это создает. Если он/она добавит ваш IP-адрес, больше людей, работающих из дома, захотят того же. Все это нужно контролировать и изменять/удалять, когда ситуация меняется (например, вы уходите из компании). Кроме того, ваша домашняя сеть не находится под контролем компании. Это может представлять угрозу безопасности, поскольку они не знают, кто имеет к ней доступ.
решение3
В зависимости от настроек VPN вашей компании:
- Если раздельное туннелирование отключено в вашем VPN, вам не нужно ничего делать. После подключения к VPN вашей компании вы сможете подключиться к своему экземпляру по ssh.
- Если включено раздельное туннелирование, вашему администратору необходимо направить трафик на конкретный экземпляр (его публичный или частный IP-адрес) через VPN вашей компании, чтобы при каждом подключении к VPN в вашей таблице маршрутизации (на вашем ноутбуке) был маршрут к вашему экземпляру, который отправляет трафик через туннель VPN.
В обоих случаях группа безопасности, назначенная экземпляру, будет получать ваш трафик как исходящий из сети/IP-адресов вашей компании.