글쓰는 감자

* 기본적인 세팅은 되어 있는 상태 입니다. (VPC, Nat GW, ALB, EC2(private subnet) 구성)

* private ec2: etech-private-ec2(10.0.11.130)

3. OpenVPN을 통한 접속

OpenVPN은 가상 사설 네트워크(VPN)를 구축하여 외부에서 안전하게 인프라에 접속할 수 있도록 합니다.

사용자는 OpenVPN 클라이언트를 사용하여 VPN에 연결한 후 private 리소스에 접속할 수 있습니다.

1) OpenVPN 서버를 생성합니다.

더 많은 AMI 찾아보기를 클릭합니다.

openvpn을 검색하고 Marketplace AMI 중 제일 위에 있는 이미지를 선택합니다.

인스턴스 유형은 small 이상으로 잡아주시면 됩니다.

vpc는 private-ec2가 올라가있는 public subnet을 선택하고 인바운드 보안 그룹 규칙은 디폴트로 설정 합니다.

(TCP/22 (SSH), TCP/943, TCP/443(웹 인터페이스에 대한 HTTPS 액세스) 및 UDP/1194)

나머지 설정은 디폴트로 두고 인스턴스 시작을 클릭합니다.

* EIP를 할당해 openvpn server의 ip가 고정이 될 수 있게 설정을 하는 것을 추천드립니다.

2) OpenVPN 서버에 접속해 설정 및 사용자를 생성 합니다.

host에 OpenVPN 서버의 public ip를, username에 openvpnas, 서버의 key pair까지 넣고 ssh 접속을 합니다.

쭉 디폴트로 enter를 치면 끝에 이미지와 같이 접속 정보를 얻을 수 있습니다.

해당 서버에서 자체 발행 한 인증서를 통해 SSL 접속을 제공하기 때문에 브라우저에서 접속이 안전하지 않을 수도 있음을 경고하는 것으로 고급을 클릭한 뒤 안전하지 않음으로 이동해주세요.

해당 Admin UI 주소로 접속한 뒤 user / password를 입력합니다.

왼쪽 내비게이션 바 CONFIGURATION > VPN Settings로 들어가 사진에 표시되어 있는 부분을 Yes로 바꿔줍니다.

스크롤을 쭉 내려서 Save Settings 버튼 클릭 해줍니다.

저는 user1으로 생성을 하였고 More Settings을 클릭하여 Password를 입력해주고 스크롤을 내려 Save Settings 버튼을 클릭 합니다.

그리고 꼭 Update Running server를 클릭해 줘야 설정값들이 업데이트됩니다.

3) 위에서 생성한 사용자로 로그인 합니다.

admin을 제외한 주소인 Client UI로 접속해 생성했던 사용자(user1)로 로그인 합니다.

접속할 사용자 OS에 맞는 클라이언트를 다운로드 한 뒤 설치 합니다.

OpenVPN server IP를 넣어주고 NEXT 버튼 클릭 후 Accept 버튼을 클릭합니다.

사용자(user1)을 넣어주고 VPN을 켜줍니다.

private ec2 접속이 잘 되는 것을 확인할 수 있습니다.

4. EIC endpoint를 통한 접속

EC2 인스턴스에 연결하기 위한 엔드포인트로 EC2 웹 콘솔이나 AWS CLI를 통해서 Endpoint에 접근해 인스턴스로 접속할 수 있습니다.

(SSM과의 차이점은 NAT Gateway가 없어도 EIC endpoint를 통해 접속이 가능합니다.)

1) VPC endpoint를 생성합니다.

엔드포인트 생성 전에 보안그룹을 먼저 생성합니다. VPC는 private ec2가 있는 vpc를 선택합니다.

(인바운드 규칙은 신경쓰지 않으셔도 좋습니다.)

EIC 엔드포인트를 생성합니다. VPC는 private ec2가 있는 vpc를 선택합니다.

위에서 생성했던 보안그룹을 선택하고 서브넷은 원하는 곳으로 선택합니다. (private, public 둘 다 가능합니다.)

엔드포인트 생성 버튼을 클릭합니다.

엔드포인트가 사용 가능 상태가 된다면, private ec2 접속 가능합니다.

2) private ec2에 접속합니다.

인스턴스 연결을 클릭합니다.

EC2 EIC 엔드포인트를 사용하여 연결을 클릭한 뒤 연결 버튼을 클릭합니다.

위 이미지와 같은 화면이 확인되면 성공적으로 접속되었음을 알 수 있습니다.

+) AWS CLI를 활용한 ssh로 접속합니다.

* aws cli 설치 되어있음

EIC 터널링 전용 IAM 사용자를 생성하기 위해 정책을 먼저 생성 합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2InstanceConnect",
	    "Effect": "Allow",
	    "Action": "ec2-instance-connect:*",
	    "Resource": "*"
        },
        {
            "Sid": "Describe",
            "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeInstanceConnectEndpoints"
            ],
        "Effect": "Allow",
        "Resource": "*"
        }
    ]
}

EIC 터널링 전용 IAM 사용자를 생성 합니다.

위에서 생성했던 정책을 연결해 사용자를 생성합니다.

해당 사용자 인증을 위한 액세스 키를 발급 받습니다.

터미널 위에서 ssh 접속을 시도 합니다.

생성했던 액세스 키로 aws configure 명령어를 통해 저장 합니다.

aws ec2-instance-connect ssh --instance-id <private-ec2-id> --connection-type eice

위의 명령어를 입력합니다.

위와 같이 접속한 화면을 확인 할 수 있습니다.

* 기본적인 세팅은 되어 있는 상태 입니다. (VPC, Nat GW, ALB, EC2(private subnet) 구성)

* private ec2: etech-private-ec2(10.0.11.130)

1. bastion server를 통한 접속

사용자가 Bastion Server를 통해 private ec2에 ssh 프로토콜을 사용해 접속합니다.

1) bastion server를 생성합니다.

(t3.nano의 작은 유형으로도 bastion server에는 충분합니다.)

vpc의 public subnet을 선택해주시고, public ip 활성화를 선택해줍니다.

보안 그룹은 원하는 이름을 넣어주시고 소스 유형을 "내 IP"로 선택해 관리자만 접속할 수 있게 설정해줍니다.

나머지 설정은 디폴트로 두고 인스턴스 시작을 클릭해 생성합니다.

2) 관리자가 사용하기 편한 ssh 접속 툴을 활용해 bastion server를 통해 private ec2에 접속합니다.

* MobaXterm을 활용했습니다.

Remote host는 private ec2의 ip를 넣고 Specify username에는 OS에 맞는 username을 넣어줍니다.

private key는 인스턴스 생성 시 선택했던 key pair를 넣어 주시면 됩니다.

위에서 생성했던 bastion server의 public ip와 username, port와 ssh key pair를 넣고 세션을 연결합니다.

성공적으로 접속하면 아래와 같은 화면을 보실 수 있습니다.

2) SSM(System Manager)를 통한 접속

IAM 역할에 SSM 권한을 부여합니다. 그런 다음 해당 IAM 역할을 EC2에 연결하여, private 네트워크에서도 안전하게 접속할 수 있습니다.

1) AmazonSSMManagedInstanceCore 역할을 생성합니다.

ssm 연결을 위해 ec2에 필요한 역할을 생성해줍니다.

위 설정이 끝나면 역할 생성을 클릭합니다.

2) private ec2에 위에서 생성한 역할을 연결해줍니다.

위에서 생성한 역할을 선택한 뒤 IAM 역할 업데이트를 클릭합니다.

( 해당 역할을 적용하는 데 시간이 상당히 소요될 수 있습니다. 빠르게 적용시키기 위해 인스턴스를 재부팅하여 시간을 단축시킬 수 있습니다.)

3) private ec2 에 접속합니다.

위와 같은 화면을 보면 private ec2에 접속 성공한 것을 알 수 있습니다.