Amazon-Ec2

可以為 ssh/sftp 流量使用彈性負載均衡器嗎?

  • November 4, 2016

我有一個實例,它既充當 SFTP 伺服器,又充當我們內部網路的 NFS 共享驅動器。

該實例有一個公共 IP 來通過 SFTP 接收數據。該數據被保存到在我的內部網路中共享的捲中。

我使用允許白名單埠 22 流量的安全組,並將所有埠列入我的內部網路的白名單。

數據是敏感的,由於這個實例有一個公共 IP,它是一個安全組,沒有向所有人開放。

我想從實例中刪除公共 IP,但它需要從 Internet 進行 SFTP 訪問。

我想出的解決方案是創建一個公共負載均衡器,將埠 22 上的流量轉發到我的實例,添加安全組並從我的實例中刪除公共 ip,因此即使我搞砸了,實例也無法公開訪問.

我知道 ELB 不是為此而設計的,但理論上它應該可以工作。這個解決方案有問題嗎?有沒有更好/更首選的方式來實現這樣的事情?

ELB 是錯誤的做法。你的問題不是很清楚,但我會盡我所能回答。我認為您需要一個帶有 DMZ 的私有子網。

我懷疑您最好使用 t2.nano 實例(或更大)作為您的 SFTP 伺服器,並使用腳本將數據移動到需要進入內部伺服器的位置。您可以將該實例用作堡壘主機,因此您可以通過 ssh 連接到它,然後在私有子網中連接到您的伺服器。這基本上構成了一個 DMZ。如果您需要傳出網際網路訪問,請使用NAT 實例

如果您可以用 S3 替換 sftp,那麼您可以消除對傳入代理伺服器的需求,這可能更便宜。您可以將所有數據保存在 S3 上,這比 EBS 便宜。

如果您可以澄清和擴展您的案例,您可能會得到更好的響應。

引用自:https://serverfault.com/questions/813260