我在所有AWS地区都有30多个生产Windows服务器。我想从一个基本堡垒主机连接所有服务器。谁能告诉我哪一个是好的选择吗?如何设置一个堡垒主机来与不同地区、不同VPC的所有服务器通信?请有人对此提出建议吗?
首先,我想问一下,您试图用单个堡垒设计实现什么?例如,如果您只想执行自动化命令或修补程序,则分别使用AWS System Manager Run commands或AWS System Manager Patch Manager会更高效(更便宜(。使用AWS System Manager,您将获得一项托管服务,该服务提供内置最高安全原则的高级管理功能。此外,使用SSM,几乎所有访问权限都可以通过IAM权限策略进行管理。
尽管如此,如果您需要为SSM不支持的其他目的设置堡垒主机,答案包括您需要执行的几个步骤。首先,由于您要处理多个VPC(跨地区(,连接所有VPC并从您堡垒的VPC访问它们的一种方法是建立一个跨地区传输网关。但是,除其他外,您需要确保您的VPC(和子网(CIDR范围不重叠。否则,将无法正确安排路由表。
其次,您需要安排在目标安全组的入站连接中允许从堡垒进行访问。由于您正在处理对等VPN,因此您需要根据CIDR范围正确允许入站访问。
最后,您需要决定如何确保对Windows Bastion主机的访问安全。就像几乎所有依赖AmazonEC2实例的用例一样,我要强调将所有实例都保留在私有子网中。从私有子网,您始终可以通过NAT网关(或NAT实例(访问互联网,并受到保护,免受未经授权的外部访问尝试。因此,如果您的堡垒位于私有子网中,您可以使用SSM的功能建立到本地机器的端口转发会话。通过这种方式,您可以在私有子网中为自己启用连接,甚至您的堡垒也是安全的。
总的来说,这个问题的答案涉及到很多复杂性和组件,这些组件肯定会对您的AWS帐户产生费用。因此,明智的做法是考虑你试图解决什么实际问题(问题中没有分享(?之后,您可以评估AWS是否已经提供了类似SSM的适用托管服务。最后,从安全角度来看,允许从一个堡垒访问所有实例可能不是最佳做法。如果你考虑到你的堡垒因任何原因被破坏的情况,你基本上破坏了所有地区的所有实例。
希望它能让你更好地了解你潜在的解决方案。