Monday, November 25, 2024

[AWS] Bastion Hosts

-

Bastion Host là một EC2 instance được sử dụng để kết nối đến các EC2 instance trong private subnet bằng cách sử dụng giao thức SSH. Bastion Host được đặt trong public subnet và được kết nối tới tất cả các private subnet khác trong VPC.

Khi sử dụng Bastion Host, cần phải thiết lập Security Group cho Bastion Host để cho phép inbound traffic trên port 22 từ internet đến. Ngoài ra, cần giới hạn phạm vi địa chỉ IP có thể kết nối tới Bastion Host bằng cách chỉ định CIDR range của các địa chỉ IP được cho phép kết nối.

Để cho phép kết nối từ Bastion Host đến các EC2 instances trong private subnet, cần thiết lập Security Group cho các EC2 instances đó để cho phép inbound traffic từ Security Group của Bastion Host hoặc địa chỉ IP của Bastion Host. Khi đó, ta có thể kết nối đến các EC2 instances trong private subnet thông qua Bastion Host bằng cách sử dụng SSH.

Tóm lại, Bastion Host là một giải pháp an toàn và hiệu quả để kết nối đến các EC2 instances trong private subnet trong VPC. Nó giúp bảo vệ các instance trong private subnet bằng cách đặt Bastion Host trong public subnet và giới hạn phạm vi địa chỉ IP được phép kết nối tới Bastion Host.

Mình có 1 instance đã tạo ở bài trước đã kết nối được internet và giờ mình sẽ đổi tên nó thành BastionHost.

Tạo Key Pairs.

Chọn loại và format Key pair, đặt tên cho nó và bấm Create key pair.

Khi bấm Create key pair một thông báo tạo key pair thành công và nó cho phép bạn download file pem xuống. Bạn hãy download nó xuống để sử dụng về sau.

Và bây giờ bạn hãy khởi tạo instance thứ 2. Mình sẽ không nói quá chi tiết về quá trình tạo instance trong phần này và thay vào đó mình chỉ nói các config chính liên quan đến Bastion Hosts.

Tại phần Key pair name – required bạn hãy chọn DemoKeyPair mà lúc này bạn đã tạo ra.

Đây là cấu hình VPC và subnet của tôi.

Và đó là các thiết lập liên quan đến phần Bastion Hosts, các thiết lập khác liên quan đến việc tạo instance bạn hãy xem lại các bài trước nhé. Sau khi thiết lập xong bạn bấm Launch instance để khởi tạo instance.

Và dưới đây là kết quả khi mình tạo xong instance thứ 2 và bạn thấy instance thứ 2 của mình đã có ip là 10.0.22.82.

Và bây giờ chúng ta connect vào BastionHost tiến hành ssh sang Preivateinstance. Bạn sẽ nhận được 1 thông báo từ chối ssh vì lý do ở BastionHost bạn chưa có key pair.

Bây giờ ở thư mục hiện tại, bạn hãy tạo key pair có tên bất kỳ, ví dụ DemoKeyPair.pem và truyền vào nội dung file pem mà chúng ta đã download về ở bước trên.

Đay là nội dung key pair.

Hãy verify lại nội dung của file DemoKeyPair.pem và phân quyền 0400 cho nó.

Và kết quả bạn đã ssh thành công từ instance BastionHost, và chúng ta thử test ping ra google thì trả kết quả timeout đúng yêu cầu của đề bài.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

4,956FansLike
256FollowersFollow
223SubscribersSubscribe
spot_img

Related Stories