我有一个既充当SFTP服务器又充当我们内部networking的NFS共享驱动器的实例。
该实例具有一个公共IP来通过SFTP接收数据。 该数据被保存到我的内部networking中共享的卷中。
我使用一个安全组,允许列出白色端口22的stream量,白色列出所有端口到我的内部networking。
数据是敏感的,而且由于这个实例有一个公有IP,所以一个安全组从开放到每个人都失败了。
我想从实例中删除公共IP,但它需要从Internet访问SFTP。
我提出的解决scheme是创build一个公共负载均衡器,将端口22上的stream量转发给我的实例,添加安全组并将其从我的实例中删除公共IP,因此,即使我搞砸了,实例也不可公开访问。
我知道ELB不是为了这个,但理论上它应该起作用。 这个解决scheme有问题吗? 有没有更好/更喜欢的方式来实现这样的事情?
ELB是这样做的错误方法。 你的问题不是很清楚,但我会尽我所能回答。 我认为你需要一个DMZ的私人子网。
我怀疑你最好用一个t2.nano实例(或更大)作为你的SFTP服务器,用脚本将数据移动到需要进入内部服务器的地方。 你可以使用这个实例作为一个堡垒主机 ,这样你可以ssh到它,然后到你的服务器在一个私人子网。 这基本上是一个DMZ。 如果您需要传出Internet访问,则使用NAT实例 。
如果你可以用S3代替sftp,那么你可以省去一个传入的代理服务器,这个代理服务器可能会更便宜。 你可以保存所有的数据在S3上,这比EBS便宜。
如果你能澄清和扩大你的用例,你可能会得到更好的回应。