Bastion이란 중세시대에 성 외곽을 보호하기 위해 돌출된 부분을 의미한다고 한다.
즉, Bastion Host란 적(악성유저)에 대한 보호를 하기위한 접근 제어 기능을 가진 방화벽 호스트라고 할 수 있다.
Bastion Host는 접근 제어 기능과 더불어 내부 네트워크에 접속할 수 있는 게이트 웨이로서 가상서버(proxy server)의 설치, 인증, 로그등을 담당한다.
목적이 리소스에 접속하기 위한 입구 역할을 하는 서버이다.
단순히 다른 리소스에 접근시 거쳐가는 역할 뿐이므로, 성능이 낮아도 되고, 특정 OS를 사용하지 않아도 된다.
private subnet에 위치한 리소스에 대한 접근을 위해, bastion host를 사용하기도 한다.
VPC안의 모든 리소스는 서로 접근이 가능하기 때문에, ssh로 private subnet 리소스에 대한 직접 접근은 불가능하다. 그러나, public subnet에 위치한 bastion host로 접속한 뒤, private subnet에 위치한 리소스로의 접근은 가능하다.
점프서버의 보안그룹 설정은 외부로부터 ssh 접근만을 허용한다.
아래의 장단점은 리소스에 대한 접근을 반드시 점프서버를 거쳐서
하기 때문에 생겼다고 생각된다.
즉, 보안에 대해서 신경써야할 곳이 한 곳으로 몰리는 것이 관리를 하나만 하면 된다는 점에서는 장점으로 작용하지만, bastion host에 대한 보안이 털리면 다른 리소스에 대한 접근제한 또한 풀린다는 단점이 있다는 생각이 든다.
private subnet에 RDS를 생성해, datagrip으로 해당 RDS에 대한 접근을 하기 위해서 점프서버를 사용하고 있다.