Перенос портов в экземпляры с использованием Amazon VPC

Question

У меня есть простой VPC на Amazon EC2 с двумя экземплярами: SFTP-сервер и веб-сервер. Я хочу направить входящий трафик из Интернета на порт 22 на SFTP-сервер и порты 80 и 443 на веб-сервер.

У меня возникли проблемы с поиском, как это сделать. Это чрезвычайно просто со всеми аппаратными маршрутизаторами, которые я когда-либо использовал.

Может ли кто-нибудь указать мне на документацию/примеры/или просто рассказать мне, как это сделать?

Редактировать: Мне было не ясно, что я хочу, чтобы удаленные хосты могли сделать запрос на один IP-адрес, но на разных портах, и иметь разные порты, перенаправленные в разные экземпляры; У меня уже установлены группы безопасности, поэтому я могу принимать трафик на общедоступные IP-адреса каждого экземпляра.

Answer 1

Ниже приведены шаги, которые необходимо выполнить для достижения вашего варианта использования.

1. Как вы сказали оба сервера в VPC вам необходимо убедиться, что они находятся в подсеть с Интернет-шлюзом прикрепленным к нему . (Это может быть достигнуто в частной подсети тоже, но станет более сложным процесс для вас) для получения дополнительной информации посетите этот https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario1.html

2. EC2 сервер 1 для SFTP вам необходимо открыть SSH порта 22 в группе безопасности, добавив IP-адрес или открыт для мирового господства. Затем вы можете использовать SFTP, используя ваш предпочтительный SFTP-клиент.

3. EC2 Server 2 для портов 80 и 443. вам необходимо добавить два правила в группу безопасности для вашего экземпляра. Проверьте снимок экрана. Как только это будет сделано, вы сможете маршрутизировать http-трафик через порты 80 и 443.

Дополнительная информация о группах безопасности приведена здесь.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html

Об Edit. Вы должны запустить экземпляр перед экземпляром.

Добавьте HTTP-прокси в этот новый созданный экземпляр. И тогда перенаправление портов должно быть достигнуто с использованием IP-таблиц. Проверьте приведенную ниже таблицу IP-таблиц, которую необходимо добавить на этот сервер. Скажем, ваш HTTP-прокси-сервер - это сервер 1. Сервер порта 22 - это сервер 2, а порты 80 и 443 - сервер 3. Таким образом, IP-таблицы сервера 1 будут иметь ниже правил.

#!/bin/sh 

    echo 1 > /proc/sys/net/ipv4/ip_forward 

    iptables -F 
    iptables -t nat -F 
    iptables -X 

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination <Server3-IP>:80 

    iptables -t nat -A POSTROUTING -p tcp -d <Server3-IP> --dport 80 -j SNAT --to-source <Server1-IP> 

    iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to-destination <Server2-IP>:80 

    iptables -t nat -A POSTROUTING -p tcp -d <Server2-IP> --dport 22 -j SNAT --to-source <Server1-IP> 

    iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination <Server3-IP>:80 

    iptables -t nat -A POSTROUTING -p tcp -d <Server3-IP> --dport 443 -j SNAT --to-source <Server1-IP> 

Answer 2

На сегодняшний день, Amazon Elastic Load балансиры имеют новый режим «Application Load» Балансировщика, который поддерживает запросы маршрутизации в различных случаях EC2 на основе таких вещей, как путь HTTP, и порт.

Чтобы установить это, выполните следующие действия:

1. Создать новую ELB, используя новый режим "Application Load" Балансировщика.
2. Создайте одну целевую группу для порта 22.
3. Добавьте экземпляры EC2, которые будут целевыми группами SSH для этой целевой группы.
4. Создайте еще одну целевую группу для портов 80 и 443.
5. Добавьте в эту целевую группу экземпляры EC2, которые будут объектами HTTP/HTTP.

Используя эту систему, SSH запросы к ELB будут направлены на экземпляр SSH и HTTP/HTTPS запросы к ELB будут направлены на веб-серверах