Amazon-Ec2
可以為 ssh/sftp 流量使用彈性負載均衡器嗎?
我有一個實例,它既充當 SFTP 伺服器,又充當我們內部網路的 NFS 共享驅動器。
該實例有一個公共 IP 來通過 SFTP 接收數據。該數據被保存到在我的內部網路中共享的捲中。
我使用允許白名單埠 22 流量的安全組,並將所有埠列入我的內部網路的白名單。
數據是敏感的,由於這個實例有一個公共 IP,它是一個安全組,沒有向所有人開放。
我想從實例中刪除公共 IP,但它需要從 Internet 進行 SFTP 訪問。
我想出的解決方案是創建一個公共負載均衡器,將埠 22 上的流量轉發到我的實例,添加安全組並從我的實例中刪除公共 ip,因此即使我搞砸了,實例也無法公開訪問.
我知道 ELB 不是為此而設計的,但理論上它應該可以工作。這個解決方案有問題嗎?有沒有更好/更首選的方式來實現這樣的事情?
ELB 是錯誤的做法。你的問題不是很清楚,但我會盡我所能回答。我認為您需要一個帶有 DMZ 的私有子網。
我懷疑您最好使用 t2.nano 實例(或更大)作為您的 SFTP 伺服器,並使用腳本將數據移動到需要進入內部伺服器的位置。您可以將該實例用作堡壘主機,因此您可以通過 ssh 連接到它,然後在私有子網中連接到您的伺服器。這基本上構成了一個 DMZ。如果您需要傳出網際網路訪問,請使用NAT 實例。
如果您可以用 S3 替換 sftp,那麼您可以消除對傳入代理伺服器的需求,這可能更便宜。您可以將所有數據保存在 S3 上,這比 EBS 便宜。
如果您可以澄清和擴展您的案例,您可能會得到更好的響應。