Não há problema em usar um Elastic Load Balancer para o tráfego ssh / sftp?

Question

Não há problema em usar um Elastic Load Balancer para o tráfego ssh / sftp?

#1 resposta do (7 votos)

2

Eu tenho uma instância que atua como servidor SFTP e uma unidade compartilhada NFS para nossa rede interna.

A instância tem um IP público para receber dados por SFTP. Esses dados são salvos em um volume compartilhado na minha rede interna.

Eu uso um grupo de segurança que permite o tráfego da porta 22 listada em branco e a lista branca de todas as portas da minha rede interna.

Os dados são confidenciais e, como essa instância tem um IP público, é um escorregão do grupo de segurança que é aberto para todos.

Eu gostaria de remover o IP público da instância, mas ele exige acesso via SFTP da Internet.

A solução que criei foi criar um balanceador de carga público que encaminha o tráfego na porta 22 para minha instância, adicionar o grupo de segurança e remover o ip público da minha instância, portanto, mesmo se eu estragar, a instância será não acessível publicamente.

Eu sei que os ELBs não foram feitos para isso, mas, em teoria, deveria funcionar. Existem problemas com esta solução? Existe uma maneira melhor / mais preferida para implementar algo assim?

amazon-ec2 amazon-web-services amazon-elb amazon-vpc

por lonewarrior556 04.11.2016 / 18:02

1 resposta

Tags amazon-ec2 amazon-web-services amazon-elb amazon-vpc

Adicionando HSTS à configuração nginx sshd configuração incorreta no servidor

score 7 · Accepted Answer

Um ELB é o caminho errado para fazer isso. Sua pergunta não é tão clara quanto poderia ser, mas vou responder da melhor maneira possível. Eu acho que você precisa de uma sub-rede privada com uma DMZ.

Eu suspeito que você pode ser melhor com uma instância t2.nano (ou maior) como seu servidor SFTP, com scripts para mover os dados para onde eles precisam ir para o seu servidor interno. Você pode usar essa instância como um host de bastiões , assim você pode ssh para ele e, em seguida, para o seu servidor em uma sub-rede privada. Isso basicamente faz um DMZ. Se você precisar de acesso à Internet de saída, use uma Instância de NAT .

Se você pode substituir o sftp pelo S3, você pode eliminar a necessidade de um servidor proxy de entrada, que pode ser mais barato. Você pode manter todos os seus dados no S3, que é mais barato que o EBS.

Se você puder esclarecer e expandir seu caso de uso, poderá obter respostas melhores.