Назад | Перейти на главную страницу

Хост Bastion с высокой доступностью - Лучшие практики, ELB, EIP?

В настоящее время я пытаюсь найти подходящую конфигурацию для обеспечения высокой доступности хоста Bastion. Я хочу достичь следующих целей:

Хосты-бастионы должны выдерживать отказ зоны доступности и отказ экземпляра ec2. Небольшое время простоя (несколько минут) может быть приемлемым.
Хост (ы) бастиона должен быть доступен через постоянную запись DNS.
Никакого ручного вмешательства не требуется

Моя текущая настройка выглядит следующим образом: хост Bastion в группе автоматического масштабирования в двух зонах доступности, ELB перед группой автоматического масштабирования.

Эта установка имеет несколько преимуществ:

Легко настроить с помощью CloudFormation
Группы автоматического масштабирования более двух зон доступности могут использоваться для гарантии доступности
Не засчитывается в лимит EIP для аккаунтов.

Также у него есть недостатки:

Если за ELB находятся два или более хоста-бастиона, предупреждения о ключах SSH-хостов являются обычным явлением, и я не хочу, чтобы наши пользователи привыкли игнорировать предупреждения SSH.
ELB стоит денег, в отличие от EIP. На самом деле примерно столько же, сколько и хозяин бастиона. На самом деле это не вызывает большого беспокойства, я добавил этот пункт только для полноты картины.

Другое очевидное решение - использовать ElasticIP, который, на мой взгляд, имеет несколько недостатков:

Я могу (очевидно) не присоединять EIP к группе автоматического масштабирования напрямую
Когда я не использую Auto Scaling Groups, я должен установить что-то, что запускает новые хосты-бастионы EC2, если старые не работают, например с помощью AWS Lambda. Это добавляет дополнительную сложность.
Когда EIP присоединяется к группе автоматического масштабирования вручную, при сбое зоны доступности EIP не присоединяется и не присоединяется повторно к новому экземпляру. Опять же, это можно решить, запустив программу (на экземпляре или AWS Lambda), которая повторно присоединяет EIP к экземпляру. Опять же, это добавляет дополнительную сложность.

Каковы лучшие практики для экземпляров SSH с высокой доступностью, то есть хостов-бастионов?

Похоже, что требуется обеспечить функциональность бастиона по минимально разумной цене с RTO, скажем, 5 минут. Нет RPO, поскольку это фактически прокси без сохранения состояния, который можно легко перестроить.

У меня был бы хост-бастион, определяемый либо как сценарий AMI, либо как CloudFormation (AMI быстрее), внутри группы автомасштабирования с минимальным / максимальным / целевым значением, установленным на 1. У меня не было бы балансировщика нагрузки, поскольку в этом нет необходимости насколько я вижу. Этот экземпляр будет зарегистрирован в Route53 с именем общедоступного домена, поэтому, даже если экземпляр изменится, вы сможете получить к нему доступ, и это должно устранить предупреждения SSH. Я мог бы начать с одного экземпляра в каждой подсети, но, вероятно, отключил бы один, если они достаточно надежны - они должны быть.

Развертывание хостов-бастионов CloudFormation описано Amazon Вот. У Amazon есть руководство по передовой практике Вот. Вы не должны обращаться к внутренним ресурсам, используя их эластичный IP-адрес, поскольку это общедоступные IP-адреса и трафик к ним платный, тогда как частный IP-трафик не взимается. Доменные имена дешевле. Это может потребовать некоторой настройки скрипта CloudFormation.