Ein Bastion-Host ist ein spezieller Computer, der mit Angriffen mit hoher Bandbreite im Internet umgeht, und ermöglicht den Zugriff auf das private Netzwerk von einem öffentlichen Netzwerk aus dem privaten Netzwerk. Die Verwendung eines Bastion -Hosts ist einfach und sicher und kann in der AWS -Umgebung mit EC2 -Instanzen eingerichtet werden. Ein Bastion -Host ist in AWS problemlos eingerichtet, aber sobald er eingerichtet ist, erfordert er regelmäßiges Patching, Konfigurationen und Bewertung.
In diesem Artikel werden wir diskutieren, wie Sie einen Bastion -Host in AWS mit AWS -Ressourcen wie VPCs, Subnets, Gateways und Instanzen erstellen können.
Erstellen eines Bastion Host in AWS
Der Benutzer muss einige Netzwerkeinstellungen konfigurieren, bevor sie Instanzen für den Bastion Host erstellen. Beginnen wir mit dem Prozess der Einrichtung des Bastion Host in AWS von Grund auf neu.
Schritt 1: Erstellen Sie ein neues VPC
Klicken Sie einfach auf die Schaltfläche "VPC erstellen" ein neues VPC in der AWS -VPC -Konsole:
Wählen Sie in den VPC -Einstellungen die Option „Nur VPC“ in den zu erstellenden Ressourcen aus. Nennen Sie danach den VPC und geben Sie „10 ein.0.0/16 ”als IPv4 CIDR:
Klicken Sie auf die Schaltfläche "VPC erstellen":
Schritt 2: VPC -Einstellungen bearbeiten
Bearbeiten Sie die VPC -Einstellungen, indem Sie zuerst den neu erstellten VPC auswählen und dann die Einstellungen "VPC bearbeiten" aus der Dropdown -Down -Down -Art der „Aktionen“ -Taste auswählen:
Scrollen Sie nach unten und wählen Sie "DNS -Hostnamen aktivieren" und klicken Sie dann auf die Schaltfläche "Speichern":
Schritt 3: Erstellen Sie ein Subnetz
Erstellen Sie ein Subnetz, das dem VPC zugeordnet ist, indem Sie die Option „Subnetze“ im Menü links auswählen:
Wählen Sie den VPC aus, um das Subnetz mit dem VPC zu verbinden:
Scrollen Sie nach unten und fügen Sie einen Namen und eine Verfügbarkeitszone für das Subnetz hinzu. Typ „10.0.0.1/24 ”im IPv4 -CIDR -Blockraum und klicken Sie dann auf die Schaltfläche„ Subnetz erstellen “:
Schritt 4: Subnetzeinstellungen bearbeiten
Nachdem das Subnetz erstellt wurde, wählen Sie das Subnetz und klicken Sie auf die Schaltfläche „Aktionen“. Für das Dropdown -Menü wählen Sie die Einstellungen "Subnetz bearbeiten":
Aktivieren Sie die automatische öffentliche IPv4-Adresse und speichern Sie:
Schritt 5: Erstellen Sie ein neues Subnetz
Erstellen Sie nun ein neues Subnetz, indem Sie die Schaltfläche "Subnetz erstellen" auswählen:
Verbinden Sie das Subnetz mit dem VPC genauso wie mit dem vorherigen Subnetz:
Geben Sie einen anderen Namen für dieses Subnetz ein und fügen Sie "10 hinzu.0.2.0/24 ”als IPv4 -CIDR -Block:
Klicken Sie auf die Schaltfläche "Subnetz erstellen":
Schritt 6: Erstellen Sie ein Internet -Gateway
Erstellen Sie nun ein Internet-Gateway, indem Sie einfach die Option „Internet Gateway“ aus dem Menü links auswählen und dann auf die Schaltfläche „Internet-Gateway erstellen“ klicken:
Nennen Sie das Tor. Klicken Sie danach auf die Schaltfläche „Internet -Gateway erstellen“:
Schritt 7: Befestigen Sie das Gateway an VPC
Jetzt ist es wichtig, das neu erstellte Internet -Gateway mit dem VPC, den wir dabei verwenden. Wählen Sie also das neu erstellte Internet -Gateway aus und klicken Sie dann auf die Schaltfläche „Aktionen“ und wählen Sie aus dem Dropdown -Menü der Schaltfläche „Aktionen“ die Option „Anhängen zum VPC“ aus:
Greifen Sie den VPC an und klicken Sie auf die Schaltfläche „Internet Gateway anhängen“:
Schritt 8: Konfiguration der Routentabelle bearbeiten
Sehen Sie sich die Liste der standardmäßigen Routentabellen an, indem Sie einfach auf die Option „Routentabellen“ im linken Menü klicken. Wählen Sie die Routentabelle aus, die dem im Prozess verwendeten VPC zugeordnet ist. Wir haben den VPC "MyDemovpc" bezeichnet, und er kann von den anderen Routentabellen unterschieden werden, indem die Spalte von VPC angezeigt wird:
Scrollen Sie nach unten zu den Details der ausgewählten Routentabelle und gehen Sie zum Abschnitt "Routen". Klicken Sie von dort auf die Option "Routen bearbeiten":
Klicken Sie auf "Routen hinzufügen":
Hinzufügen “0.0.0.0/0 ”als Ziel -IP und wählen Sie" Internet -Gateway "aus der Liste" Ziel "aus" Internet Gateway "aus:
Wählen Sie das neu erstellte Gateway als Ziel aus:
Klicken Sie auf "Änderungen speichern":
Schritt 9: Subnetzverbände bearbeiten
Gehen Sie anschließend in den Abschnitt "Subnetzezuordnungen" und klicken Sie auf die Subnetzverbände bearbeiten:
Wählen Sie das öffentliche Subnetz. Wir haben das öffentliche Subnetz "mydemosubnet" bezeichnet. Klicken Sie auf die Schaltfläche "Assoziationen speichern":
Schritt 10: Erstellen Sie ein NAT -Gateway
Erstellen Sie nun ein NAT -Gateway. Wählen Sie dazu die Optionen "Nat Gateways" im Menü aus und klicken Sie dann auf die Option "NAT Gateway erstellen":
Nennen Sie zuerst das Nat -Gateway und verknüpfen Sie dann den VPC mit dem NAT -Gateway. Stellen Sie den Konnektivitätstyp als öffentlich fest und klicken Sie dann auf "Elastic IP zuweisen":
Klicken Sie auf "Nat Gateway erstellen":
Schritt 11: Erstellen Sie eine neue Routentabelle
Der Benutzer kann nun auch eine Routentabelle manuell hinzufügen. Damit muss der Benutzer auf die Schaltfläche „Routentabelle erstellen“ klicken:
Nennen Sie die Routentabelle. Verbinden Sie den VPC anschließend mit der Routentabelle und klicken Sie dann auf die Option „Route Tabelle erstellen“:
Schritt 12: Routen bearbeiten
Nachdem die Routentabelle erstellt wurde, scrollen Sie nach unten zum Abschnitt "Routen" und klicken Sie dann auf "Routen bearbeiten":
Fügen Sie eine neue Route in der Routentabelle hinzu, wobei das "Ziel" als NAT -Gateway definiert ist, das in den vorherigen Schritten erstellt wurde:
Klicken Sie auf die Optionen "Subnetzezuordnungen bearbeiten":
Wählen Sie dieses Mal das "Private Subnetz" aus und klicken Sie dann auf "Assoziationen speichern":
Schritt 13: Erstellen Sie eine Sicherheitsgruppe
Eine Sicherheitsgruppe ist verpflichtet, eingehende und ausgebundene Regeln festzulegen und zu definieren:
Erstellen Sie eine Sicherheitsgruppe, indem Sie zuerst einen Namen für die Sicherheitsgruppe hinzufügen, eine Beschreibung hinzufügen und dann den VPC auswählen:
Fügen Sie "SSH" in den Typ für die neuen Regeln für neue Inn-gebundene hinzu:
Schritt 14: Starten Sie eine neue EC2 -Instanz
Klicken Sie in der EC2 -Verwaltungskonsole auf die Schaltfläche „Startinstanz“:
Nennen Sie die Instanz und wählen Sie einen AMI aus. Wir wählen "Amazon Linux" als AMI für die EC2 -Instanz aus:
Konfigurieren Sie die „Netzwerkeinstellungen“, indem Sie das VPC und das private Subnetz mit dem IPv4 CIDR „10) hinzufügen.0.2.0/24 ”:
Wählen Sie die für den Bastion Host erstellte Sicherheitsgruppe aus:
Schritt 15: Starten Sie eine neue Instanz
Konfigurieren Sie die Netzwerkeinstellungen, indem Sie den VPC assoziieren und dann das öffentliche Subnetz hinzufügen, damit der Benutzer diese Instanz verwenden kann, um eine Verbindung zum lokalen Computer herzustellen:
Auf diese Weise werden beide EC2 -Instanzen erstellt. Einer hat das öffentliche Subnetz und der andere hat das private Subnetz:
Schritt 16: Stellen Sie eine Verbindung zur lokalen Maschine her
Auf diese Weise wird ein Bastion Host in AWS erstellt. Jetzt kann der Benutzer die lokale Maschine über SSH oder RDP mit den Instanzen verbinden:
Fügen Sie den kopierten SSH -Befehl mit der Position des "PEM" -Format -privaten Schlüsselpaardatei in das Terminal ein:
Auf diese Weise wird der Bastion Host in AWS erstellt und verwendet.
Abschluss
Ein Bastion Host wird verwendet, um eine sichere Verbindung zwischen den lokalen und öffentlichen Netzwerken herzustellen und Angriffe zu verhindern. Es wird in AWS unter Verwendung von EC2. Die EC2 -Instanz mit der öffentlichen Subnetzkonfiguration wird dann verwendet, um die Verbindung zwischen lokalem und öffentlichem Netzwerk zu erstellen. Dieser Artikel erklärte gut, wie man einen Bastion Host in AWS erstellt.