web-dev-qa-db-ja.com

ssh / sftpトラフィックにElastic Load Balancerを使用しても大丈夫ですか?

SFTPサーバーと内部ネットワークへのNFS共有ドライブの両方として機能するインスタンスがあります。

インスタンスには、SFTP経由でデータを受信するためのパブリックIPがあります。そのデータは、内部ネットワーク内で共有されているボリュームに保存されます。

ホワイトリストのポート22トラフィックを許可し、内部ネットワークへのすべてのポートをホワイトリストに登録するセキュリティグループを使用しています。

データは機密情報であり、このインスタンスにはパブリックIPがあるため、すべてのユーザーに対して開かれるのを防ぐ1つのセキュリティグループです。

インスタンスからパブリックIPを削除したいのですが、インターネットからのSFTPアクセスが必要です。

私が思いついた解決策は、ポート22のトラフィックをインスタンスに転送するパブリックロードバランサーを作成し、セキュリティグループを追加して、インスタンスからパブリックIPを削除することです。 。

ELBがこれのために意図されていなかったことは知っていますが、理論的にはそれは機能するはずです。このソリューションに問題はありますか?このようなものを実装するためのより良い/より好ましい方法はありますか?

2
lonewarrior556

ELBはこれを行うための間違った方法です。あなたの質問は可能な限り明確ではありませんが、私はできる限り答えます。 DMZのあるプライベートサブネットが必要だと思います。

内部サーバーに移動する必要がある場所にデータを移動するためのスクリプトを備えたSFTPサーバーとして、t2.nanoインスタンス(またはそれ以上)が最適であると思います。そのインスタンスを 要塞ホスト として使用できるので、sshしてプライベートサブネット内のサーバーにアクセスできます。これは基本的にDMZになります。発信インターネットアクセスが必要な場合は、 NATインスタンス を使用します。

SftpをS3に置き換えることができる場合は、着信プロキシサーバーの必要性をなくすことができます。 EBSよりも安価なS3にすべてのデータを保持できます。

ユースケースを明確にして拡張できる場合は、より良い応答が得られる可能性があります。

7
Tim