可以為 ssh/sftp 流量使用彈性負載均衡器嗎？

我有一個實例，它既充當 SFTP 伺服器，又充當我們內部網路的 NFS 共享驅動器。

該實例有一個公共 IP 來通過 SFTP 接收數據。該數據被保存到在我的內部網路中共享的捲中。

我使用允許白名單埠 22 流量的安全組，並將所有埠列入我的內部網路的白名單。

數據是敏感的，由於這個實例有一個公共 IP，它是一個安全組，沒有向所有人開放。

我想從實例中刪除公共 IP，但它需要從 Internet 進行 SFTP 訪問。

我想出的解決方案是創建一個公共負載均衡器，將埠 22 上的流量轉發到我的實例，添加安全組並從我的實例中刪除公共 ip，因此即使我搞砸了，實例也無法公開訪問.

我知道 ELB 不是為此而設計的，但理論上它應該可以工作。這個解決方案有問題嗎？有沒有更好/更首選的方式來實現這樣的事情？

ELB 是錯誤的做法。你的問題不是很清楚，但我會盡我所能回答。我認為您需要一個帶有 DMZ 的私有子網。

我懷疑您最好使用 t2.nano 實例（或更大）作為您的 SFTP 伺服器，並使用腳本將數據移動到需要進入內部伺服器的位置。您可以將該實例用作堡壘主機，因此您可以通過 ssh 連接到它，然後在私有子網中連接到您的伺服器。這基本上構成了一個 DMZ。如果您需要傳出網際網路訪問，請使用NAT 實例。

如果您可以用 S3 替換 sftp，那麼您可以消除對傳入代理伺服器的需求，這可能更便宜。您可以將所有數據保存在 S3 上，這比 EBS 便宜。

如果您可以澄清和擴展您的案例，您可能會得到更好的響應。

引用自：https://serverfault.com/questions/813260