Bastion Host란?
- 서버보다 앞에 위치해 직접적인 접근을 막는 역할을 하는 인스턴스
- 서버를 프라이빗 서브넷에 배치해서 직접적인 접근을 차단
- 배스천 호스트를 퍼블릭 서브넷에 배치
- 배스천 호스트를 통해 프라이빗 서브넷에 서버로 접근
GouPang이라는 서비스를 운영중인 경우, 퍼블릭 서브넷에 존재한다면 모든 트래픽이 접근이 가능해지며 Ddos나 트래픽 변조 공격에서 위험하다.
그렇기에 그림 위처럼 퍼블릭에는 배스천, 프라이빗에는 운영중인 서비스를 실행하게 됩니다.
GouPnag <----> BastionHost <----> Internet 모든 통신은 SSH접속을 하게됩니다.
**여기서 중요한건, 프라이빗 서브넷과 퍼블릿 서브넷은 각각 보안그룹을 가지고있어야합니다.**BastionHost는 SSH포트(22)만 열어두고, GouPnag은 SSH포트를 BastionHost의 보안그룹으로만 열어두게 됩니다. BastionHost에서는 SSH포트를 특정 IP만 열어주게된다면 더욱 안전한 구성이 가능합니다.
참고요망
-
운영중인 서비스 인스턴스 생성시 아래와같이 설정이 필요합니다.
서브넷은 프라이빗, 퍼블릿 IP는 비활성화, ssh는 배스천에 보안그룹 타겟 지정
-
추가적으로
null null null null