问题标签 [bastion-host]

我有一个场景如下，我在私有子网中有一个 EC2 实例，在公共子网中有一个 EC2 实例。如何通过公有子网 EC2 实例连接到私有子网 EC2 实例，该实例也称为我的 Windows 操作系统客户端计算机的堡垒主机（跳转框）。？

目前...

我在 GCP 中有一个 GKE/kubernetes/k8s 集群。我在 GCP 中有一个堡垒主机（Compute Engine VM 实例）。我已在 GKE 集群的主授权网络部分中将我的堡垒主机的 IP 列入白名单。因此，为了对kubectl我的 GKE 运行命令，我首先需要通过运行命令 SSH 到我的堡垒主机gcloud beta compute ssh；然后我运行gcloud container clusters get-credentials命令以通过 GKE 进行身份验证，然后从那里我可以kubectl像往常一样运行命令。

之后...

我希望能够直接从本地开发 CLI 对我的 GKE 集群运行 kubectl 命令。为了做到这一点，我可以将我的本地开发机器 IP 添加为我的 GKE 的主授权网络的许可条目，应该就是这样。然后我可以运行第gcloud container clusters get-credentials一个，然后kubectl像往常一样运行命令。

然而...

我正在寻找一种方法来避免将我的本地开发机器 IP 列入白名单。每次我将笔记本电脑带到新的地方时，我都必须从那里更新我的新 IP 的许可名单，然后才能gcloud container clusters get-credentials在运行命令之前运行kubectl命令。

我想知道...

有没有办法在 bastion-host 中分配一个端口号，该端口号可用于安全地向远程 GKE 集群调用 kubectl 命令？然后，我可以使用gcloud compute start-iap-tunnel本地开发 CLI 中的命令（顺便说一句，使用 Cloud IAM 处理所有权限问题）在堡垒主机中建立到该特定端口号的 ssh 隧道。这样，对于 GKE 集群，它正在接收kubectl来自堡垒主机（已在其主授权网络中列入白名单）的命令。但在幕后，我正在从我的本地开发 CLI（使用我的 glcoud auth credentails）对堡垒主机进行身份验证，并kubectl从那里安全地调用命令。

这可能吗？任何人的任何想法？

我在通过 Azure Bastion 连接到虚拟机时遇到了一些问题。我收到以下错误

堡垒处于失败状态。请删除并重新创建它。

您能否让我知道为什么我会收到上述错误消息，任何人都可以建议我解决此问题。

我们有一个 DeployIfNotExists 策略，可以对环境中的资源创建诊断设置。该策略包含诊断设置的 ARM 模板，该模板在评估资源上不存在该设置时触发。请参见下文：（这是 Azure Bastion 主机的一个示例设置）

Event Hub Authorization Rule ID 有一行，我们传入一个参数。早些时候，我们只是传递了我们的主要事件中心的信息。但是，某些位于不同区域的资源会失败，因为它们无法跨区域写入事件中心。因此，现在我们正在使用 Geo-Recovery Alias。

我们有一个地理恢复 DR 别名，用于连接两个不同区域的主要/次要事件中心。我想为此 DR Alias 传递 EventHubAuthorizationRuleID，但是这样做会出现以下问题：

我们使用以下 Powershell 命令获取 DR 别名的授权规则：

上面的 ID 是我们作为参数传入的，是导致失败的原因。Powershell 响应中的类型是“Microsoft.EventHub/Namespaces/AuthorizationRules”，即使它明确包含“disasterRecoveryConfigs”部分。

问题：我们如何引用 DR Alias 以便将其作为常规命名空间读取？

概述

我正在尝试配置 ~/.ssh/config 以将我的本地 VSCode 连接到远程（EC2）。我已经进行了很多测试，但无法理解为什么一种情况有效，而另一些情况则失败。在通过 ssh 进入 BastionHost 后，我​​可以让 RemoteCommand 成功地通过 ssh 进入 EC2 实例，但是我无法使用 ProxyJump 或 ProxyCommand 实现同样的效果。VSCode 在使用 RemoteCommand 示例时没有列出 EC2 文件系统（只是到达 BastionHost），因此认为我需要根据大多数文档解析为 ProxyJump/ProxyCommand。

我尝试完全按照此处的说明操作，并尝试从其他文章中尝试不同的方法，但无济于事。

系统信息

操作系统：Windows 10 Bastion 操作系统：Linux (Amazon Linux AMI)

免责声明

在过去的几天里，我一直在浏览 StackOverflow 和其他论坛，但无济于事，尽管我发现了类似的问题，但都没有提供可行的解决方案。

在用完想法后，我希望我能在这里找到解决方案。

基本上，我有一个 EC2 堡垒、一个运行我的应用程序的 EC2“私有”实例和一个负载均衡器。

我可以 SSH 堡垒和私有 ec2 实例，但只有堡垒可以访问外部网站。

如果重要的话，堡垒公共 IP 是使用弹性 IP 地址分配的。

这些是我拥有的安全组配置：

堡垒 SG：

入境：

• 来自内部网络的 HTTP 端口 80
• 来自内部网络的 HTTPS 端口 443
• 来自我自己 IP 的 SSH 端口 22

出境：

• 所有流量

负载均衡器 SG：

入境：

• 来自任何 IP (0.0.0.0/0) 的 HTTPS 端口 443

出境：

• 通过私有 EC2 实例 SG 的所有流量

私有 EC2 实例 SG：

入境：

• 来自我的负载均衡器 SG 的 TCP 8080，
• 我的堡垒 SG 的 SSH 端口 22

出境：

• 通过 Bastion SG 的所有流量

我还创建了一个 Internet 网关并将其附加到此 VPC。此 VPC 适用于 Bastion 和 Private EC2 实例。

有什么想法吗？提前致谢

我在私有子网上运行了一个 AWS RDS MySQL 实例。我有另一个 EC2 实例在公共子网上运行，它充当 MySQL 实例的堡垒主机。它们都在同一个 VPC 中。

通过配置标准 TCP/IP over SSH 连接，我可以通过 mySQL 工作台连接到所述实例。我提供 SSH 主机名作为 EC2 公共 IPv4 DNS、SSH 密钥文件以及 MySQL 主机名和凭证。

我不太清楚如何通过本地 springboot 应用程序连接到这个数据库。任何解释都会有所帮助。

就像 JDBC URL 应该是什么一样，我如何让应用程序通过堡垒主机路由？

我有一个像这样的 ssh 配置文件。我有一个从 test2 到 host1 的代理跳转。

我的 mongo 数据库主机：xxx-nonprod.cluster-xx.us-east-1.docdb.amazonaws.com

我必须使用主机test2使用 SSH 隧道到 Mongodb ，但它使用ProxyCommand使用代理跳转

我想使用 SSH Tunneling 和Mongo DB Compass以及节点 js mongoose连接到 mongodb 。

如何使用 Mongo DB Compass 进行连接？

在这里，我没有输入ProxyCommand详细信息的选项。

如何使用节点 js 进行连接？

我正在使用隧道 ssh，我有一个参考代码，

在这里以及如何在此处输入ProxyCommand详细信息？或者请建议任何解决此问题的节点 js 包。

当我尝试通过堡垒服务器连接到专用网络中的 EC2 时，我收到以下消息：

但是，我可以从本地机器 ssh 到堡垒，也可以从堡垒服务器 ssh 到 EC2，

这是.ssh/config我正在使用的：

这是我用来 ssh 的命令：

注意： 权限很好（700~/.ssh/和 600 ~/.ssh/*）

在此先感谢您的帮助！

我正在尝试在 AWS EC2 上启动 AWS 堡垒主机。我正在使用Guimove提供的 Terraform 模块。我被困在bastion_host_key_pair球场上。我需要提供一个可用于启动 EC2 模板的密钥对，但aws_s3_bucket.bucket需要包含密钥对的公钥的存储桶 ( ) 在模块期间创建，因此当它尝试启动时密钥不存在实例，它失败了。感觉就像是先有鸡还是先有蛋的场景，所以我显然做错了什么。我究竟做错了什么？

错误：

地形：