NAT网关-如何通过SSH进入私有EC2？

Question

当您在私有子网中设置EC2实例通过NAT网关访问internet (通过路由表进行所有必要的路由和关联)时，如何通过SSH进入私有EC2？

例如，NAT网关公有子网中的EC2，通过公网EC2连接到内网EC2。

Answer 1

NAT网关是用于外发流量的堡垒，您需要访问内网EC2实例，然后需要在同一私有网络内的公网子网上进行堡垒。或VPN连接或AWS系统管理器。

Answer 2

有三个常用的选项：

• 在公有子网中使用bastion host。首先使用ssh连接到堡垒，然后使用ssh从堡垒连接到私有ec2。这通常需要将私有ssh密钥复制到堡垒，以便您可以在那里使用它ssh到私有子网。

• 使用SSM session manager。这可能是最简单的设置选项，因为您已经在使用NAT，而且它需要special instance role.

• 使用VPN。可能是最复杂的解决方案，但也使用了nevertheless.

Answer 3

由于该实例位于私有子网中，因此您需要使用一种方法来私有地连接到该实例。有许多选项可供选择，它们的成本和复杂性各不相同，因此请确保您先阅读每一个选项。

VPN -使用此方法可将托管

• Site-to-site VPN添加到您的私有网络，并通过硬件配置连接到您的内部部署。您的安全组将需要允许您的本地CIDR范围允许connection.
• Client VPN -使用亚马逊网络服务解决方案，或使用browser.
• SSM Sessions Manager中的第三方(如OpenVPN)通过本地程序或marketplace中的HTTPS建立连接-通过亚马逊网络服务控制台或使用命令行界面(描绘为bash接口)访问EC2实例，而无需使用OpenVPN进行身份验证。相反，IAM用于控制权限和access.
• Bastion host -一个公共实例，您可以在访问您的hsot之前使用SSH进行连接，或者作为命令的代理连接到该实例。