투칼론 2023. 3. 16. 09:11
반응형

Bastion 개요

클라우드 서비스 및 리소스에 대한 직접 연결을 허용하면 특히 시간이 지남에 따라 리소스 수가 증가함에 따라 보안 위험이 발생할 수 있습니다. 이를 해결하기 위해 가상 클라우드 네트워크 내부의 작은 가상 머신을 사용하고 해당 VM에서 모든 클라우드 서비스에 연결합니다. 이렇게 하면 개발자와 관리자를 위한 연결은 계속 허용하면서 외부 세계에 노출되는 서비스의 수는 줄어듭니다. 우리는 이와 같은 작은 VM을 bastion 또는 jump-box로 간주할 수 있습니다.

수동 bastion 생성에 대한 대안은 OCI(Oracle Cloud Infrastructure) bastion을 사용하는 것입니다. 이 문서에서는 OCI(Oracle Cloud Infrastructure)에서 bastion을 생성하는 방법을 보여줍니다.

Bastion 생성

1. OCI 에 로그인

2. "Identity & Security" 메뉴에서 Bastion 클릭

3. 해당 compartment를 선택 한 후,  "Create bastion" 버튼을 클릭함

4. bastion 이름을 입력하고 bastion에 대한 VCN 및 subnet을 선택합니다. CIDR 차단 허용 목록을 입력해야 합니다. 이 경우 인터넷 서비스 제공업체의 IP 주소로 subnet을 사용했습니다. "create bastion" 버튼을 클릭합니다.

5. bastion 이 생성 및 provisioning이 완료되면, bastion 이름 link를 클릭하여 접속하기 위한 세션을 생성해야 합니다

6. "Create session" 버튼을 클릭합니다.

7. 세션 유형을 선택합니다. 이 경우 "SSH 포트 포워딩 세션"을 사용했습니다. 세션에 이름을 지정하거나 기본 이름을 수락합니다. 대상 IP/인스턴스 및 포트를 선택합니다. 연결에 사용할 개인 키를 업로드하십시오. "Create session" 버튼을 클릭합니다.

8. "copy SSH command" 옵션을 클릭하고 결과 텍스트를 편집기에 붙여넣습니다. 나중에 사용하겠습니다.

 

Bastion을 통합 접속

이전에 복사한 연결 세부 정보는 다음과 같습니다.

ssh -i  -N -L :10.0.1.156:22 -p 22 ocid1.bastionsession.oc1.uk-london-1.amaa...3acq@host.bastion.uk-london-1.oci.oraclecloud.com

개인 키를 사용하고 이 예에서는 터널을 만들기 위해 로컬 포트에 대해 포트 9022를 선택했습니다.

ssh -i ./myOracleCloudKey -N -L 9022:10.0.1.156:22 -p 22 ocid1.bastionsession.oc1.uk-london-1.amaa...3acq@host.bastion.uk-london-1.oci.oraclecloud.com

이제 tunnel을 사용하여 bastion을 통해 대상 서버에 연결할 수 있습니다.

ssh -i ./myOracleCloudKey opc@localhost -p 9022

 

(원문) https://oracle-base.com/articles/vm/oracle-cloud-infrastructure-oci-create-a-bastion#what-is-a-bastion