Разрешение внешнего доступа к бастионным хостам на aws
Я пытаюсь создать несколько бастионных хостов в моем VPC для подключения к моим базам данных, которые находятся в частной подсети. Я использую это AWS Быстрый старт.
Я понимаю основы блоков CIDR и что они значат. Однако я не понимаю, что означает aws под параметром "CIDR Allowed Bastion External Access". Чтобы процитировать документацию, этот параметр означает следующее:
"Блок CIDR, которому разрешен внешний доступ SSH к узлам бастиона. Мы рекомендуем установить это значение в качестве доверенного блока CIDR. Например, вы можете ограничить доступ к вашей корпоративной сети".
Я не понимаю, что я должен ввести в этот параметр. Они хотят диапазон IP моей частной подсети, которая будет подключаться к хостам бастиона? Или они подразумевают под этим диапазон моей частной сети дома? И значит ли это, что я не могу ssh в мои бастионные хосты из других мест? Очевидно, что я хочу ограничить доступ к своим бастионным хостам, но я не думаю, что хочу иметь доступ к ним только из дома, так как я работаю из разных мест и у нас нет частной сети в офисе.
Спасибо
1 ответ
Все компьютеры в интернете имеют IP-адрес. Группа последовательных IP-адресов может быть выражена в виде блока CIDR различных размеров. Например, 10.0.0.0/32 - это один IP-адрес, 10.0.0.0, 10.0.2.0/24 - это группа из 256 IP-адресов от 10.0.2.0 до 10.0.2.255 и т. Д. Вы можете использовать Google CIDR.
Как правило, вы хотите разрешить доступ к вашим бастионам только по рабочим IP-адресам и, возможно, к домашним IP-адресам основного персонала. Это затрудняет доступ других к вашим бастионам и сети.
Приведенный ниже блок просто говорит, что вы должны добавить диапазон CIDR IP-адресов, которые вы хотите использовать для доступа к своему бастиону, в группу безопасности и заблокировать все остальные IP-адреса.
"Блок CIDR, которому разрешен внешний доступ SSH к узлам бастиона. Мы рекомендуем установить это значение в качестве доверенного блока CIDR. Например, вы можете ограничить доступ к вашей корпоративной сети".