NAT 网关——你如何通过 SSH 连接到私有 EC2？

Question

当您在私有子网中设置 EC2 实例以通过 NAT 网关访问 Internet（通过路由表进行所有必要的路由和关联）时，您如何通过 SSH 连接到私有 EC2？

例如，NAT 网关公共子网中的 EC2 并通过公共 EC2 连接到私有 EC2。

Answer 1

NAT 网关仅用于传出流量。如果您必须访问私有 EC2 实例，那么您需要在同一 VPC 中的公共子网上进行堡垒。 或 VPN 连接或 AWS 系统管理器。

Answer 2

常用的有以下三个选项：

• 在公共子网中使用 bastion host。首先你 ssh 到堡垒，然后从堡垒 ssh 到私有 ec2。这通常需要将私有 ssh 密钥复制到堡垒，以便您可以在那里使用它来 ssh 到私有子网。

• 使用SSM session manager。这可能是最简单的设置选项，因为您已经在使用 NAT，它需要special instance role。

• 使用VPN。可能是最复杂的解决方案，但仍然使用。

Answer 3

由于实例位于私有子网中，您需要使用一种方法私下连接到该子网。有许多选项可供选择，它们的成本和复杂性各不相同，因此请务必先阅读每个选项。

• Site-to-site VPN - 使用此方法将托管 VPN 添加到您的 VPC 并通过硬件配置连接到您的本地。您的安全组需要允许您的本地 CIDR 范围允许连接。
• Client VPN - 使用 AWS 解决方案或来自 marketplace 的第三方（例如 OpenVPN），您可以使用本地程序或浏览器中的 HTTPS 建立连接。
• SSM Sessions Manager - 通过 AWS 控制台或使用 CLI 访问您的 EC2 实例，描述为 bash 接口，无需使用 SSH 进行身份验证。相反，IAM 用于控制权限和访问。
• Bastion host - 一个公共实例，您可以在访问您的 hsot 之前使用 SSH 连接到它作为中介，或者作为您的命令的代理。