ssh / sftpトラフィックにElastic Load Balancerを使用しても大丈夫ですか?
SFTPサーバーと内部ネットワークへのNFS共有ドライブの両方として機能するインスタンスがあります。
インスタンスには、SFTP経由でデータを受信するためのパブリックIPがあります。そのデータは、内部ネットワーク内で共有されているボリュームに保存されます。
ホワイトリストのポート22トラフィックを許可し、内部ネットワークへのすべてのポートをホワイトリストに登録するセキュリティグループを使用しています。
データは機密情報であり、このインスタンスにはパブリックIPがあるため、すべてのユーザーに対して開かれるのを防ぐ1つのセキュリティグループです。
インスタンスからパブリックIPを削除したいのですが、インターネットからのSFTPアクセスが必要です。
私が思いついた解決策は、ポート22のトラフィックをインスタンスに転送するパブリックロードバランサーを作成し、セキュリティグループを追加して、インスタンスからパブリックIPを削除することです。 。
ELBがこれのために意図されていなかったことは知っていますが、理論的にはそれは機能するはずです。このソリューションに問題はありますか?このようなものを実装するためのより良い/より好ましい方法はありますか?
ELBはこれを行うための間違った方法です。あなたの質問は可能な限り明確ではありませんが、私はできる限り答えます。 DMZのあるプライベートサブネットが必要だと思います。
内部サーバーに移動する必要がある場所にデータを移動するためのスクリプトを備えたSFTPサーバーとして、t2.nanoインスタンス(またはそれ以上)が最適であると思います。そのインスタンスを 要塞ホスト として使用できるので、sshしてプライベートサブネット内のサーバーにアクセスできます。これは基本的にDMZになります。発信インターネットアクセスが必要な場合は、 NATインスタンス を使用します。
SftpをS3に置き換えることができる場合は、着信プロキシサーバーの必要性をなくすことができます。 EBSよりも安価なS3にすべてのデータを保持できます。
ユースケースを明確にして拡張できる場合は、より良い応答が得られる可能性があります。