🧐 Today I Learned (TIL)

AWS VPC Bastion Host

---

AWS VPC Bastion Host

'Bastion Host'는 'Public Subnet'에서 'Private Subnet' 리소스에 접근하기 위한 대리인의 역할을 수행한다.

각 'subnet'에 ec2를 생성해주고 'Private Security Group'에 ssh와 icmp를 'Public Security Group'만 허용해준다.

'Private Subnet'의 리소스에 접속하기 위한 가장 많이 알려진 방법으로는 Putty 프로그램을 이용한 방법이다. 하지만 그 외에도 접속할 수 있는 방법은 다양하다.

가장 먼저 'Private Subnet'에 생성한 ec2의 pem 키를 'scp' 혹은 'ftp'를 이용하여 'Bastion Host'로 넘겨주어 접속하는 방법이 있다. 직접 시도는 해보지 않았지만 가장 단순한 방법이라고 생각한다.

하지만 이 방법은 개인 키를 노출시킬 수 있는 위험 요소가 있기 때문에 추천하는 방법은 아니다.

scp -i maketheworldwise.pem private.pem ec2-user@[Private Subnet Instance IP]:~/

다음으로는 'ssh-agent'를 이용한 방법이 있다. 사용자의 아이디 키와 해당 암호를 추적해주는 프로그램인 'ssh-agent'를 사용하면 사용자가 'Bastion Host'에 개인 키를 저장하지 않아도 'Bastion Host'에서 다른 인스턴스로 연결할 수 있다.

# ssh 키 추가
ssh-add [pem 파일]

# ssh 키 모두 삭제
ssh-add -D

# ssh 키 전달
ssh-A ec2-user@[Bastion Host Public IP]

# Bastion Host에서 Private Subnet 인스턴스 접속
ssh ec2-user@[Private Subnet Instance IP]

마지막으로 'Bastion Host'에 접속할 때 설정하는 방법이다.

ssh -i maketheworldwise.pem -L 22:[Private Subnet Instance IP]:22 ec2-user@[Bastion Host Public IP]

위의 내용대로 'Bastion Host'에 접속이 되었다면 접속한 상태에서 새로운 터미널을 열어 'Private Subnet' 리소스에 접속하면 된다.

ssh -i maketheworldwise.pem ec2-user@localhost

만약 접속이 안된다면 가장 의심되는 2가지를 확인해보면 된다.

• NACL
• Security Group

여러번 삽질을 해본 결과 하나하나 변경해가면서 찾아가는 것 보다 'NACL'과 'Security Group'의 인바운드, 아웃바운드 모두 '모든 트래픽'을 허용시키고 잘되는지 확인 후에 필요한 내용들을 천천히 적용해가는 것이 삽질을 줄일 수 있는 과정이라고 생각한다.

'Bastion Host'는 대부분 'Private Subnet'에 접속하기 위한 점프 서버 용도로만 사용한다. 'Bastion Host'를 거쳐야지만 내부 서버로 접근할 수 있기 때문에 해당 통로만 모니터링을 해도 내부 서버로 가는 트래픽 대부분을 모니터링이 가능하여 관리와 로깅의 중앙화를 할 수 있는 이점을 가지고 있다. (AWS Session Manager)

---

📚 참고

• https://www.youtube.com/watch?v=yCl8wkdSHA8
• https://aws.amazon.com/ko/premiumsupport/knowledge-center/systems-manager-ssh-vpc-resources/
• https://bluese05.tistory.com/48