亚马逊AWS官方博客
基于AWS 平台跳板机配置
很多用户通过跳板机对部署在AWS平台的应用系统进行日常维护,为管理私有网络的服务器提供便利,最小化了应用系统的安全风险,从而有利于提升整体架构的安全。
为达到更好的安全性,需要进行恰当的规划,通常可以考虑以下几个问题:
- 跳板机应该放置在哪个子网?
- 如何安全访问跳板机?
- 跳板机如何安全访问受管理服务器?
以下是结合这些问题基于AWS部署linux跳板机相关步骤。
一.网络规划
对于vpc的规划通常需要划分为若干个子网,分为公有子网和私有子网。公有子网中的实例可以直接从 Internet 接收入站数据流,私有子网中的实例则不可。公有子网中的实例可以直接向 Internet 发送出站数据流,私有子网中的实例则不可。但是,私有子网中的实例可以使用位于公有子网中的网络地址转换 (NAT) 网关访问 Internet。
根据以上描述不同子网的特点,我们需要把跳板机放置在公有子网中,以便接受管理人员通过internet的访问,受管理的服务器根据其在业务系统中充当的角色选择放置在公有子网或私有子网。在实际生产环境中根据需要可为跳板机设置一个独立的公有子网 。
如下图所示的vpc规划中,为跳板机实例划分了一个专用的公有子网,管理员可以通过登录到跳板机对放置在私有子网的服务器的管理:
二.跳板机部署
请参考以下链接,在公有子网中部署一台linux EC2实例,并为跳板机EC2分配 EIP:
http://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/EC2_GetStarted.html
在实际部署中考虑到跳板机所需的工作负载,可以部署配置较低的实例类型。此外,出于成本和安全考虑,您也可以在不进行运维操作的时候将跳板机状态设置为”停止”,在每次运维需要的时候再“开启”跳板机。
为跳板机实例配置安全组。在创建EC2的过程中,在安全组规则中添加SSH服务的安全规则,根据实际情况限定连接的源 IP地址。如下图所示,只接受特定的 管理终端连接:
配置受管理服务器的安全组。配置安全组规则仅接受来自跳板机所对应安全组的访问请求:
配置管理终端。在管理终端依次导入跳板机和受管理服务器的证书私钥,登录跳板机后私钥信息将转发到受管理服务器完成身份验证。以下是针对linux环境和windows环境的管理终端为例:
在linux管理终端下通过ssh从跳板机登录到受管理服务器:
步骤一:在linux管理终端上运行ssh-agent启动ssh-agent进程
步骤二:将跳板机和受管理服务器对应证书的私钥依次添加到管理终端,执行方式如下(例如,私钥文件名称为xxx.pem):
ssh-add xxx.pem
步骤三:使用ssh -A 参数登录跳板机,-A 表示通过跳板机转发本地管理端保存的私钥信息,实现跳板机与受管理服务器之间的身份验证:
ssh –A ec2-user@跳板机公网 ip地址 ——(以下假定linux ssh用户名为ec2-user)
步骤四:从跳板机直接通过受管理服务器的内网IP SSH登录服务器:
ssh ec2-user@受管理服务器的内网ip地址
在windows环境下通过Putty从跳板机登陆到受管理的服务器:
下载putty客户端,并且通过puttygen将私有证书生成ppk格式。
下载Putty环境下的SSH agent—-pageant
步骤一:将受管理服务器及跳板机所对应证书的私钥添加进pageant
启动pageant并右击图标,您可以先查看key list,如果受访问服务器所需私钥没有添加进key list里,则执行”Add Key”的操作。并将保存在本地的私钥添加进去。
步骤二:通过putty登陆跳板机
在这一步中,如图填写跳板机公有IP地址,并在左侧SSH-Auth目录下勾选“Allow agent forwarding” 来允许跳板机上的ssh客户端与管理终端本地的ssh-agent通信并使用管理终端本地的密钥完成与受管理服务器的ssh认证流程。下面以AWS 上的一台EC2为例登陆跳板机:
这里需要添加的私钥为跳板机所对应证书的私钥。
步骤三:从跳板机直接登录受管理的服务器
通过命令”ssh ec2-user@受管理服务器内网ip地址”来实现对受管理服务器的访问,需要注意的是,在这里输入受管理服务器的私有IP地址实现对其的访问,提高了受管理服务器的安全性。
这样,您便实现了从跳板机上登陆受管理服务器的操作。
三.安全加固
在上面部署跳板机的过程中,跳板机所附件的安全组规则中开放了TCP 22端口,根据实际情况建议严格限制来源ip地址,只允许指定的IP地址访问。在这基础上,还可以对安全进行优化:
- 当管理员需要登录跳板机通过AWS CLI在安全组添加规则打开tcp 22 端口;
完成管理任务后,退出ssh会话,AWS CLI将从安全组中关闭tcp 22端口;实现以上效果,可以执行以下脚本 ,请根据实际环境替换安全组id。
#!/bin/bash
aws ec2 authorize-security-group-ingress –group-id 安全组id –protocol tcp –port 22 –cidr 0.0.0.0/0 &
sleep 5
ssh -A ec2-user@跳板机公网IP
aws ec2 revoke-security-group-ingress –group-id 安全组id –protocol tcp –port 22 –cidr 0.0.0.0/0
要成功运行以上脚本,需要配置 AWS CLI运行环境,具体请参考:
http://docs.aws.amazon.com/cli/latest/userguide/installing.html
执行脚本登录前,将跳板机安全组中的ssh服务规则删除,即无法访问tcp 22端口:
执行脚本登录时,将执行脚本中的第一条语句,通过AWS CLI添加了ssh服务相关规则,然后ssh成功登录到跳板机:
在跳板机上完成管理任务后exit结束ssh会话,AWS CLI删除安全组ssh服务规则,即无法访问tcp22端口:
下图显示,安全组规则相应被删除:
四.跨vpc管理服务器
跳板机是否可以管理不同vpc中的服务器呢?答案当然是可以的。如下图所示,需要在vpc之间建立peering连通两个vpc,跳板机即可实现跨vpc安全管理应用服务器。
建立vpc peering的过程如下,也可以参考以下链接获取更详细的信息:http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-peering.html
步骤一:新建Peering Connection
进入console里面VPC下的”Peering Connections”页面,新建”VPC Peering Connection”。 在这里您需要提供跳板机以及受管理服务器所在VPC的ID,点击”Create VPC Peering Connection”。
步骤二: 配置路由表
创建成功之后,您可以看到peering 的相关信息,比如”status” ,”Local Vpc”以及”Peered Vpc”信息。同时您可以看到peering的状态为”pending-accept”,您需要点击上方的”Action”,并选择接受请求。
当您接受请求之后,您会收到创建新的路由表的通知,您需要点进页面进行路由表的配置。当为本地VPC 配置路由表信息时,您需要提供受访服务器所在VPC的CIDR作为跳板机路由表的Destination,新创建的peering 作为Target。
同理,在配置受访服务器所在VPC 的路由表信息时,您只需将本地 VPC 的CIDR作为Destination。
在配置完路由表信息后,您可以看到peering的状态变成了”active”,并且可以看到路由表的相关信息。
步骤三: 通过本地跳板机登陆受访服务器
这一步类似于前面提到的在同一VPC下从公有子网的跳板机访问私有子网的受管理服务器。您需要配置好您的安全组信息,在访问的时候,您需要在管理终端保存受管理服务器公钥所对应的私钥。然后在跳板机上执行ssh ec2-user@受管理服务器内网ip地址
如下图:位于192.168.0.0/24网段的跳板机 直接ssh访问位于172.16.0.0/24网段的应用服务器
五.关于windows 环境下的跳板机配置
Windows Server的管理基于windows RDP协议实现,可以通过配置RDP 网关服务器管理位于私有子网的windows服务器,具体的规划及配置请参考以下白皮书:
https://aws.amazon.com/windows/resources/whitepapers/rdgateway
作者介绍:
李艺明
亚马逊AWS解决方案架构师,负责基于AWS的云计算方案架构咨询和设计,在国内推广AWS云平台技术和各种解决方案。拥有超过10年的IT从业经验,为各种规模的企业客户提供IT项目实施和顾问服务。在加入AWS之前,服务于微软担任解决方案工程师,负责Windows Azure方案和架构设计,在此之前负责企业私有云和企业协同应用系统的架构规划和设计。
杨婉洁
亚马逊AWS解决方案架构师实习生,喜欢编程,熟悉Java、C++、JSP、HTML以及关系型数据库。曾在学校和企业参与数据分析项目,熟悉各类数据分析的算法。热爱大数据、云计算。