IT/CLOUD(AWS,Azure,GCP,Docker)

[Ansible] Ansible SSH Jump : Public Bastion to Private Instance

알콩달콩아빠 2023. 11. 20. 18:19
728x90
반응형

✔️ 인스턴스 구성하기

본 실습의 아키텍처(Architecture)는 다음과 같다.

Ansible -> Bastion 으로 SSH 접속할 때와, Bastion -> Private Instance로 SSH 접속할 때 다른 키 페어를 사용할 예정이다.

 

 

 

 

1. Ansible Controller에서 공개키 복사

  • (편의를 위해) controller에 생성되어있는 공개키 ~/.ssh/id_rsa.pub를 사용
[vagrant@controller ~]$ cat .ssh/id_rsa.pub
...키 내용...

 

2. AWS에서 [작업] - [키 페어 가져오기]

  • 복사한 키를 붙여넣기

 

3. Private Subnet 생성

  • default vpc 에서 생성

 

4. Bastion Host로 사용할 AWS EC2 인스턴스 생성하기

  • 좀 전에 생성한 mycontroller key 사용
  • default vpc public subnet에 생성
  • 보안을 위해 내IP에서의 SSH 트래픽만 허용

 

5. ~/.ssh/config 파일 작성 및 권한 변경

[vagrant@controller ~]$ cat ~/.ssh/config
Host bastion
        Hostname 52.79.235.84
        User ec2-user
        Port 22
        IdentityFile ~/.ssh/id_rsa
  • 권한 변경
[vagrant@controller ~]$ sudo chmod 600 .ssh/config

 

6. Bastion Host에서 키 생성하기

  • Bastion Host -> Private Subnet EC2 접속할 때 사용할 키 페어
[ec2-user@ip-172-31-41-176 ~]$ ssh-keygen
  • 공개키 내용 복사
[ec2-user@ip-172-31-41-176 ~]$ cat ~/.ssh/id_rsa.pub
[키 내용]

 

7. AWS에서 [작업] - [키 페어 가져오기]

  • 2번 작업과 같이 붙여 넣기 후 키페어 생성

 

8. Private Subnet EC2 인스턴스 생성하기

  • 이전에 생성한 private subnet my-private-subnet 선택
  • 7번에서 생성한 키 페어 선택

 

9. Bastion Host에서 키 파일 복사

[ec2-user@ip-172-31-41-176 ~]$ cat ~/.ssh/id_rsa

 

10. Controller에 키 붙여넣기

  • test_rsa 
[vagrant@controller ~]$ vim ~/.ssh/test_rsa

 

11. 키 파일 test_rsa 권한 변경

[vagrant@controller ~]$ chmod 600 ~/.ssh/test_rsa

 

12. Controller -> Bastion -> Private Instance 접속 테스트

  • Controller(Ansible) -> Bastion
[vagrant@controller ~]$ ssh bastion
Last login: Thu Apr 14 09:56:03 2022 from 1.236.233.38

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
[ec2-user@ip-172-31-41-176 ~]$
  • Bastion -> Private Instance
[ec2-user@ip-172-31-41-176 ~]$ ssh ec2-user@172.31.65.195
Last login: Thu Apr 14 10:30:23 2022 from ip-172-31-41-176.ap-northeast-2.compute.internal

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
[ec2-user@ip-172-31-65-195 ~]$
  • 정상적으로 접속됨을 확인할 수 있음

 

 

✔️ 첫번째 방법(ProxyJump)

첫번째 방법은 ~/.ssh/config 파일에 ProxyJump를 정의하는 방법이다.

 

1) Controller의 ~/.ssh/config 파일 수정

[vagrant@controller ~]$ cat ~/.ssh/config
Host bastion
        Hostname 52.79.235.84
        User ec2-user
        Port 22
        IdentityFile ~/.ssh/id_rsa

Host node
        Hostname 172.31.65.195
        User ec2-user
        Port 22
        Identityfile ~/.ssh/test_rsa
        ProxyJump bastion  #Bastion Host를 점프해서 들어가게됨

 

2) SSH 점프 접속 테스트

  • 정상적으로 접속되는 것을 확인할 수 있음
[vagrant@controller ~]$ ssh node
Last login: Thu Apr 14 09:58:25 2022 from ip-172-31-41-176.ap-northeast-2.compute.internal

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
[ec2-user@ip-172-31-65-195 ~]$

 

 

3) (편의를 위해) inventory파일에 node(private ec2) 추가

[vagrant@controller ~]$ cat inventory.ini

[ec2]
node

 

 

4) ansible 명령어로 private subnet의 ec2 인스턴스 id 확인해보기

  • 정상적으로 작동하는 것을 확인할 수 있음
  • -i 옵션으로 inventory 파일을 지정해주지 않는 것은 ansible 설정 파일 /home/vagrant/.ansible.cfg 에 inventory를 지정해뒀기 때문
[vagrant@controller ~]$ ansible ec2 -m command -a id
[WARNING]: Platform linux on host node is using the discovered Python
interpreter at /usr/bin/python, but future installation of another Python
interpreter could change this. See https://docs.ansible.com/ansible/2.9/referen
ce_appendices/interpreter_discovery.html for more information.
node | CHANGED | rc=0 >>
uid=1000(ec2-user) gid=1000(ec2-user) groups=1000(ec2-user),4(adm),10(wheel),190(systemd-journal)

 

💧 ProxyJump는 설정이 편하나 되는 경우도 있고, 안되는 경우도 있어서(ansible client 설정이 잘 안되는 겨우가 있음) 일반적으로는 아래의 두번째 방법을 더 많이 사용함

 

 

✔️ 두번째 방법(Inventory 파일)

두번째 방법은 Inventory 파일에 ansible_ssh_common_args 변수를 정의하여 jump하는 방법이다.

 

  • Sample
    • ansible_ssh_common_args 변수를 정의하면 ssh 접속을 할 때마다 변수의 값(설정)이 적용됨(옵션이 붙게됨)
    • -p : Port
    • -w : stdin과 sdout을 해당되는 호스트(%h)와 포트(%p)로 넘겨줌
      • 실질적으로 접속할 Target(여기서는 private instance)의 호스트와 포트 정보
[proxy]
bastion.example.com

[nodes]
private-server-1.example.com
private-server-2.example.com
private-server-3.example.com

[nodes:vars]
ansible_ssh_common_args='-o ProxyCommand="ssh -p 2222 -W %h:%p -q username@bastion.example.com"

 

1) ~/.ssh/config 파일 수정

  • 1번째 방법을 시도했다면, ~/.ssh/config 파일의 ProxyJump로 인해 Jump가 되는것이 아님을 증명하기 위해 ProxyJump 정의를 삭제
[vagrant@controller ~]$ vim ~/.ssh/config
[vagrant@controller ~]$ cat ~/.ssh/config
Host bastion
        Hostname 52.79.235.84
        User ec2-user
        Port 22
        IdentityFile ~/.ssh/id_rsa

Host node
        Hostname 172.31.65.195
        User ec2-user
        Port 22
        Identityfile ~/.ssh/test_rsa

 

2) inventory 파일 수정하기

  • inventory.ini
  • -q 옵션 뒤에는 Bastion Host의 IP
[vagrant@controller ~]$ cat inventory.ini
192.168.100.11
192.168.100.12

[wp]
192.168.100.11

[ec2]
node

[ec2:vars]
ansible_ssh_common_args='-o ProxyCommand="ssh -p 22 -W %h:%p -q ec2-user@52.79.235.84"'

 

3) ansible 명령어로 private subnet의 ec2 인스턴스 id 확인해보기

  • 정상적으로 jump되어 작동되는 것을 확인할 수 있음
[vagrant@controller ~]$ ansible ec2 -m command -a id
[WARNING]: Platform linux on host node is using the discovered Python
interpreter at /usr/bin/python, but future installation of another Python
interpreter could change this. See https://docs.ansible.com/ansible/2.9/referen
ce_appendices/interpreter_discovery.html for more information.
node | CHANGED | rc=0 >>
uid=1000(ec2-user) gid=1000(ec2-user) groups=1000(ec2-user),4(adm),10(wheel),190(systemd-journal)

출처 : [Ansible] Ansible SSH Jump : Public Bastion to Private Instance (tistory.com)

728x90
반응형