Разрешение внешнего доступа к хостам-бастионам на aws
Я пытаюсь создать несколько хостов-бастионов в моем VPC на aws для подключения к моим базам данных, которые расположены в частной подсети. Я использую это aws Quick start .
Я понимаю основы блоков CIDR и их значение. Однако я не понимаю, что означает aws под параметром «Разрешенный CIDR для внешнего доступа Bastion». Цитируя документацию, этот параметр означает следующее:
«Блок CIDR, который разрешает внешний доступ SSH к хостам-бастионам. Мы рекомендуем вам установить это значение на доверенный блок CIDR. Например, вы можете захотеть ограничить доступ к ваша корпоративная сеть ".
Я не понимаю, что мне вводить в этом параметре. Нужен ли им диапазон IP-адресов моей частной подсети, которая будет подключаться к хостам-бастионам? Или они имеют в виду зону действия моей частной сети дома? И означает ли это, что я не могу подключиться к своим хостам-бастионам по ssh откуда-либо еще? Очевидно, я хочу ограничить доступ к своим хостам-бастионам, но я не думаю, что хочу иметь доступ к ним только из дома, поскольку я работаю из разных мест, и у нас нет частной сети в офисе.
Спасибо
Все компьютеры в Интернете имеют IP-адрес. Группа последовательных IP-адресов может быть выражена как блок CIDR различного размера. Например, 10.0.0.0/32 - это один IP-адрес, 10.0.0.0, 10.0.2.0/24 - это группа из 256 IP-адресов от 10.0.2.0 до 10.0.2.255 и т. Д. Вы можете использовать Google CIDR.
Обычно вы хотите разрешить доступ к вашим бастионам только вашим рабочим IP-адресам и, возможно, домашним IP-адресам ключевых сотрудников. Это затрудняет другим пользователям доступ к вашим бастионам и сети.
Цитируемый ниже блок просто говорит о том, что вы должны добавить диапазон CIDR IP-адресов, с которыми вы хотите получить доступ к своему бастиону, в группу безопасности и заблокировать все остальные IP-адреса.
«Блок CIDR, который разрешает внешний доступ SSH к хостам-бастионам. Мы рекомендуем вам установить это значение для доверенного блока CIDR. Для Например, вы можете захотеть ограничить доступ к своей корпоративной сети. "