前言

以前上班時聽到一個名詞『跳板機』
那時候大概就是理解成有一個 server 放在那轉發請求，不過實際上做什麼跟怎麼搞出來的都不知道
剛好最近有需求，就做了一個 DB 跟跳板機，學到蠻多東西的
公司花每個月100美讓工程師可以直接聯繫原廠高級工程師聊天的機會真的要好好珍惜ＸＤ

本篇會分成幾個段落，對於RDS的建置就不多說了

1. 什麼是 Bastion Host？
2. 比較 AWS VPN、AWS Direct Connect、Bastion Host 三種連線方式的考量
3. EC2 Bastion Host 的建置跟遇到的坑

什麼是 Bastion Host？

Bastion Host 可以稱作跳板機或堡壘主機
主要是利用 SSH Tunnel 連線到 Bastion Host 再轉送到 Private Subnet 的主機
這樣一來可以保護 Private Subnet 的主機不會有 Public IP 直接連線到 Internet
同時又有辦法經過認證連線到 Bastion Host 訪問 Private Subnet 的資源

比較 AWS VPN、AWS Direct Connect、Bastion Host 三種連線方式的考量

首先考量安全，當然是使用 VPN 跟 Direct Connect 專用線路連線最安全
但是實際上來說，對 DB 主要的操作就是操控 Schema，要是想做 Dump 的話 AWS 就有辦法處理了，想偷資料就只能從 AWS 挖，而且 Bastion 有鎖網域，公司還有網路管理，退一百步來說要是可以聽到公司的 Port 頂多也是拿到 Schema 也不能做什麼，而且 SSH 還是有加密的

接著考量的就是金錢
最貴的就是 Direct Connect > VPN > EC2
尤其是 Direct Connect 掛在那邊不動也要付線路的錢，一個月20美...

VPN 根據人頭收費的，價格也比 EC2高

EC2的話我選 t4g.nano 在我看到的大部分地區裡面也是這個機種最便宜，不過還是依據需求查一下最好
放在東京只要0.0054/1hr，整個月不關也才快4美，超級划算

EC2 Bastion Host 的建置跟遇到的坑

Launch Instances

1. 做跳板機的考量就是要便宜，網路要好
   到 EC2 隨需定價頁面查詢你要建置的地區哪個機種最便宜

2. 比較重要的還有鎖IP，Security Group 我有鎖特定IP才能過

3. 初始化完成後只要選 Connect to Database，或是你自己會調整 SG 跟 Subnet 也行，不過比較麻煩

遇到的大坑，Internet Gateways沒設定到

其實也不算坑，因為用自動設定用太爽結果忽略VPC的設置
建置已經都好了，照著教學用 SSH Tunnel 連到 DB 一直顯示 Time Out
後來退一步先 SSH 到 Bastion 也是 Time Out
檢查了 Public IP / Inbound / Outbound，還是抓不到，只好請教 Support
結果是 RDS 有個 Subnet，EC2也在裡面
然後沒有把 VPC 的 IGW 設定到 Router Tables，Bastion 才沒辦法連到 Internet

參考資料

• https://aws.amazon.com/tw/premiumsupport/knowledge-center/rds-connect-using-bastion-host-linux/?nc1=h_ls
• https://aws.amazon.com/tw/premiumsupport/knowledge-center/rds-connect-ec2-bastion-host/?nc1=h_ls