• 카테고리

    질문 & 답변

  • 세부 분야

    데브옵스 · 인프라

  • 해결 여부

    미해결

bastion host 사용을 위해 private instance에 보안 그룹 설정할 때

24.02.18 19:12 작성 조회수 95

0

안녕하세요, 아래 강의를 듣다가 궁금한 점이 있어 글을 남깁니다.

[실습] Bastion host와 NAT Gateway를 통한 Private EC2 인스턴스의 외부 통신 구성

 

위 내용에서 private subnet 에 private instance들을 생성할 때 방화벽(보안 그룹)을 새로 생성하여 ssh, https, http 를 모두 0.0.0.0/0으로 열어주셨는데요. (그리고 위 보안그룹 명을 private-ec2-sg로 정의)

 

CIDR 블록 값인 0.0.0.0/0 으로 설정하지 않고 public instance 생성 당시에 같이 신규로 생성하였던 보안그룹 명인 public-ec2-sg로 지정해도 현재 실습의 내용과 동일한 내용이 맞을까요?

private subnet 안에서 생성한 인스턴스는 public subnet에서 온 트래픽만을 허용하고(bastion host) 그 외의 접속은 불가능하게 하도록 보안그룹 설정을 할 때, 소스 부분을 public instance에 연결한 보안 그룹으로 연결한다는 내용을 보았는데,

실습에서는 private용으로 신규로 생성하기에.. 둘이 결과적으로는 같은 내용인지 아닌지 궁금하여 질문드립니다 !

course-thumbnail

스스로 구축하는 AWS 클라우드 인프라 - 기본편

[실습] Bastion host와 NAT Gateway를 통한 Private EC2 인스턴스의 외부 통신 구성

강의실 바로가기

답변 1

답변을 작성해보세요.

0

노마드 콘텐츠 랩님의 프로필

노마드 콘텐츠 랩

지식공유자

2024.02.19

안녕하세요 학생12784798님,

· 질문주신 내용처럼 private-ec2-sg의 source를 public-ec2-sg로 지정을 해주셔도 public-ec2(bastion host)에서 private-ec2로 접속하시는 것에는 동일한 결과를 얻으실 수 있습니다.

· 한편으로는 private-ec2-sg의 source를 public-ec2-sg로 설정할 경우, private-ec2를 application load balancer에 연결하여 웹 서버로 사용할 때 외부(0.0.0.0/0)에서의 접속을 허용하지 않기 때문에 에러가 발생할 수 있는 점 참고하여 주시면 좋겠습니다. 🙂

이 글과 비슷한 Q&A