[aws 3-tier] Bastion host 생성 및 private ec2 연결

[ 이전글 ]

2022.12.22 - [프로젝트/aws로 3-tier 웹 구축하기] - [aws 3-tier] EC2 인스턴스 로드 밸런서 구축

[aws 3-tier] EC2 인스턴스 로드 밸런서 구축

---

구조 변경

구조 변경전 / 구조 변경후

로드 밸런서까지 구축하고 was계층을 구축하려다보니 프로젝트 구조에 문제가 있는것을 확인했습니다. 

 

문제점	private 서브넷을 통해 생성한 ec2인스턴스를 ssh로 접속 할 수 없어서 제어가 불가능
원인	현재 작업하는 구조는 private 서브넷으로 생성한 ec2 인스턴스의 제어가 불가능합니다. 기존 web계층은 네트워크 게이트웨이를 통해 인터넷과 통신이 가능했는데 private서브넷을 통해 ec2를 생성하면 인터넷 게이트웨이에 연결 할 수 없기 때문에 애초에 ec2인스턴스에 로그인 하는게 불가능합니다.
해결방법	이 문제를 해결하기 위해서는 bastion host를 생성후 로그인하고 private ec2로 점프하는 방법을 사용해야 합니다. 기존에 presentation tier 용 인스턴스를 두 개 생성하고 로드밸런서로 관리했는데 한 인스턴스를 bastion host 용으로 바꾸기로 결정했습니다.

 

로드 밸런서 제거

ec2 인스턴스 한 개를 Bastion host로 변경하니 로드밸런서를 사용할 필요가 없어져서 로드밸런서를 제거 했습니다.

 

보안그룹 변경

ap-northeast-2c 영역을 사용 중인 ec2 인스턴스의 보안 그룹을 해제하고 Bastion host 전용 보안 규칙을 생성해서 추가했습니다.

1. bastion host용 보안 그룹을 생성

2. 기존 보안 그룹 연결을 제거 후 생성한 보안 그룹에 연결

bastion host용으로 사용할 인스턴스를 중지하고 보안그룹을 bastion host 전용으로 교체했습니다.

Bastion host로 private ec2 인스턴스 접속하기

1. bastion host에 접속해서 로그인

2. 파일 전송기를 통해 키페어 .pem 파일 옮기기

- host는 bastion host의 퍼블릭 IPv4 DNS 주소.
- 공인 키는 생성했던 키 페어의 ppk 파일을 등록.
- 연결 성공 후. pem 파일을 ec2-user로 이동.

3. bastion host에 접속후 private ec2 인스턴스로 접속

$ ssh -i shop-keypair1.pem ec2-user@192.168.48.219

$ ssh -i <키페어> ec2-user@<private ip주소>

이제 ssh로 private 서브넷으로 생성된 ec2 인스턴스를 제어할 수 있게 되었습니다. 하지만 지금은 local 영역의 일만 처리가 가능하고 인터넷은 사용할 수 없습니다.