SSHアクセスを必要とするサーバーを備えたプライベートネットワークを用意します。インスタンスはプライベートサブネット内にあるため、SSH経由で直接アクセスすることはできず、アクセスするにはパブリック要塞ホストが必要です。
Workstation -> via SSH -> Bastion -> via SSH Forwarding -> private subnet instnce
NATホストをプライベートネットワークへのパブリックゲートウェイとして使用します。
User -> via HTTP -> NAT -> via private networking -> private subnet instance
Bastion&NATホストを分離しておくことの利点は何ですか?それらを組み合わせる利点は何ですか?
技術的な観点からは、NATを要塞ホストとして使用できますが、アーキテクチャの観点からは絶対に使用しないでください。理由は次のとおりです。
要塞ホストは内部インフラストラクチャへのエントリポイントであり、NATは通常、データベースなどの重要なサービスをインターネットに接続します。したがって、両方を可能な限り保護する必要があります。
要塞ホストとNATには反対の役割があります:
また、要塞ホストは単なる管理サーバーであるため、通常は安価なインスタンスで十分ですが、NATは、大量のトラフィックをルーティングできる可能性があります。
セキュリティを気にしないことを除いて、要塞ホストとしてNAT)を使用する必要がある合理的な理由はありません;-)
あなたが説明した要塞ホストは、一言で言えばジャンプホストであり、「ネットワーキング」から始まり、それ以上のOSIレベルでアクセスを集中制御できます。そのような単一のホストへのアクセスを、そこでのユーザー名とキーによって制限することができ、それで十分です。そこにあらゆる種類の監査/コマンドロギングをデプロイすることもできます。
NATはネットワークレベルを意味しますのみ —プロトコル、送信元および宛先IP(およびポート)を制御できますが、ほとんどはそれだけです。
それらを組み合わせることについて話すとき、唯一の可能な影響は、それら2つの間の望ましくない干渉による可能性があります。最悪のシナリオ: