lon*_*556 3 amazon-ec2 amazon-web-services amazon-elb amazon-vpc
我有一个实例,它既充当 SFTP 服务器,又充当我们内部网络的 NFS 共享驱动器。
实例有一个公共 IP 可以通过 SFTP 接收数据。该数据保存在我的内部网络中共享的卷中。
我使用的安全组允许将端口 22 流量列入白名单,并将所有端口列入我的内部网络。
数据是敏感的,因为这个实例有一个公共 IP,它是一个安全组,不向所有人开放。
我想从实例中删除公共 IP,但它需要从 Internet 进行 SFTP 访问。
我想出的解决方案是创建一个公共负载均衡器,将端口 22 上的流量转发到我的实例,添加安全组并从我的实例中删除公共 ip,因此即使我搞砸了,该实例也无法公开访问.
我知道 ELB 不是为此而设计的,但理论上它应该可以工作。这个解决方案有问题吗?有没有更好/更优选的方式来实现这样的事情?
ELB 是执行此操作的错误方法。你的问题不是很清楚,但我会尽量回答。我认为您需要一个带有 DMZ 的私有子网。
我怀疑您最好使用 t2.nano 实例(或更大)作为您的 SFTP 服务器,并使用脚本将数据移动到需要进入内部服务器的位置。您可以将该实例用作堡垒主机,这样您就可以通过 ssh 连接到它,然后连接到私有子网中的服务器。这基本上构成了一个 DMZ。如果您需要传出 Internet 访问,请使用NAT 实例。
如果您可以用 S3 替换 sftp,那么您就可以消除对传入代理服务器的需求,这可能会更便宜。您可以将所有数据保存在 S3 上,这比 EBS 便宜。
如果您可以澄清和扩展您的用例,您可能会得到更好的回应。