L'auteur propose de se passer de bastion pour accéder aux resources dans le cloud en ouvrant le port SSH uniquement lorsque l'on a besoin de se connecter à une instance grace à un script qui génère dynamiquement des Security Groups.
La démarche est interessante mais n'apporte pas de solutions pour les instances situés dans des subnets privés et ne disposant pas d'IP publiques.

pour gérer des serveurs avec ansible en passant par un bastion SSH:

• Créer le fichier ansible.cfg

  [ssh_connection]
  ssh_args = -F ssh.cfg
  control_path = ~/.ssh/mux-%r@%h:%p

• Créer le fichier ssh.cfg:

  # Connexion directe avec le bastion.
  # Pensez à adapter le User et le IdentityFile selon vos besoins.
  Host bastion
  Hostname 84.39.41.33
  User admin
  IdentityFile /home/you/.ssh/your_key.pem
  # Pour toutes les machines de la zone privée :
  # Vous pouvez renseigner un range d’IPs ou une zone dns, exemple:
  #    *.eu-west-1.compute.amazonaws.com
  Host 192.168.47.*
  # Proxifier la connexion au travers du bastion.
  ProxyCommand ssh -F ssh.cfg -W %h:%p bastion
  # A adapter à votre cas : le User et la clé pour les connexions aux machines privées.
  User admin
  IdentityFile /home/you/.ssh/your_key.pem
  # Directives de multiplexing SSH
  Host *
  ControlMaster   auto
  ControlPath     ~/.ssh/mux-%r@%h:%p
  ControlPersist  15m

2 astuces pour accélerer et simplifier les connexions SSH à travers un bastion:

1. Utiliser ControlMaster pour que toutes les connexions SSH au bastion passent par la même connexion TCP

   cat << EOF >> ~/.ssh/config
   ControlMaster auto
   ControlPath ~/.ssh/ssh_control_%h_%p_%r
   EOF

2. Utiliser ProxyCommand pour se connecter aux serveurs à travers le bastion:

   # Use the bastion to connect to internal resources
   Host *.internal.example.com
   ProxyCommand ssh bastion nc %h %p