關注我帶你了解科技領域最新的技術與産品
本部落格文章将探讨Amazon EC2執行個體連接配接終端的功能、優勢以及如何利用它進行安全的遠端通路EC2執行個體。
在雲計算領域,亞馬遜網絡服務(Amazon Web Services,AWS)的EC2執行個體以其可擴充性、靈活性和可靠性而廣受歡迎。管理這些執行個體通常需要遠端通路,用于管理任務、調試或故障排除。為了解決傳統堡壘主機和安全密鑰管理帶來的安全問題,AWS最近推出了Amazon EC2執行個體連接配接終端點服務。在本部落格文章中,我們将深入探讨Amazon EC2執行個體連接配接終端點的詳細資訊、特點、優勢以及如何利用它在不使用公共IP的情況下實作對EC2執行個體的安全遠端通路。
為什麼選擇執行個體連接配接終端點?Amazon EC2執行個體連接配接終端點是AWS提供的一項服務,它徹底改變了對EC2執行個體進行SSH通路的方式。在傳統上,管理對AWS EC2伺服器的SSH通路需要使用堡壘主機和執行個體的公共IP等解決方案。然而,EC2執行個體連接配接簡化了這個過程,通過利用AWS身份和通路管理(IAM)政策,為EC2執行個體授予臨時的、有時間限制的通路權限。
以前,即使使用EC2執行個體連接配接,連接配接執行個體仍然需要公共IP。然而,AWS最近推出了一項突破性的功能,稱為執行個體連接配接終端點服務。使用這項服務,您不再需要在執行個體上使用公共IP。相反,您可以直接通過AWS控制台或指令行從本地計算機安全地連接配接到執行個體。
關鍵特點和優勢無需使用公共IP連接配接EC2執行個體,您的VPC不需要網際網路網關。通路控制由安全組和身份和通路管理的組合實作。在CloudTrail中記錄所有連接配接。工作原理EC2執行個體連接配接(EIC)終端點是一個包含身份感覺的TCP代理。它有兩種工作模式。
第一種模式利用AWS CLI用戶端使用您的AWS身份和通路管理(IAM)憑據在您的工作站和EIC終端點之間建立安全的WebSocket隧道。一旦隧道建立,您可以将首選的用戶端指向環回位址(127.0.0.1或localhost),像往常一樣連接配接到所需的資源。
第二種模式是當不使用AWS CLI時,AWS管理控制台提供了一種安全、無縫的通路體驗,用于通路您的虛拟私有雲(VPC)中的資源。在流量到達VPC之前,會對身份驗證和授權過程進行評估。
EIC(EC2執行個體連接配接)終端點
EIC終端點配置我假設您在AWS上具有足夠的權限來配置EC2執行個體連接配接終端點。
- 建立EIC終端點 轉到VPC服務中的終端點選項,并建立一個新的終端點。
建立新的終端點
- 為使用者提供連接配接EIC終端點的權限 根據您的IP和終端點詳細資訊準備自定義政策,并将其配置設定給想要連接配接到EC2執行個體的使用者。
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "EC2InstanceConnect",
"Action": "ec2-instance-connect:OpenTunnel",
"Effect": "Allow",
"Resource": "arn:aws:ec2:ap-southeast-2:11111111111:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"NumericEquals": {
"ec2-instance-connect:remotePort": "22"
},
"IpAddress": {
"ec2-instance-connect:privateIpAddress": "10.0.0.0/16"
},
"NumericLessThanEquals": {
"ec2-instance-connect:maxTunnelDuration": "60"
}
}
},
{
"Sid": "Describe",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
- 安全組的網絡通路 您需要管理兩個安全組:
EIC終端點安全組:您隻需為EIC終端點安全組配置一個出站規則,確定EIC終端點連接配接到AWS中的特定私有IP範圍。
執行個體安全組:您需要配置EC2執行個體安全組,以允許來自EIC終端點的流量。最好的方法是在執行個體安全組規則中允許EIC終端點安全組ID。
從控制台連接配接EC2伺服器通過導航到此處打開Amazon EC2控制台。在導航窗格中,點選“執行個體”以檢視您的執行個體。選擇要連接配接的執行個體。點選位于控制台頂部的“連接配接”按鈕。在連接配接選項中,選擇“EC2執行個體連接配接終端點”以使用基于浏覽器的用戶端。将打開一個新的浏覽器标簽或視窗,顯示EC2執行個體連接配接終端點界面。如果提示,請輸入使用者名、最大隧道持續時間和終端點。連接配接建立後,您将能夠使用基于浏覽器的用戶端與執行個體進行互動。按照這些步驟,您可以使用Amazon EC2控制台連接配接到執行個體,并利用EC2執行個體連接配接實作無縫安全的連接配接體驗。
從指令行界面(CLI)連接配接EC2伺服器:啟用對執行個體的連接配接涉及使用AWS CLI的open-tunnel指令啟動一個監聽模式,用于新的TCP連接配接。然後,您可以使用SSH建立額外的TCP連接配接,并建立到執行個體的私有隧道。以下是操作步驟:
建立隧道:
Shell1aws ec2-instance-connect open-tunnel --instance-id i-094ce4206fa296979 --local-port 88882
在另一個終端視窗中,使用私鑰連接配接執行個體:
Shell1ssh -i eic-key.pem ec2-user@localhost -p 8888
要在沒有公共IPv4位址或公共DNS名稱的Windows執行個體上進行連接配接,可以使用通過EC2執行個體連接配接終端點的遠端桌面協定(RDP)。這個功能允許您安全地建立與執行個體的RDP連接配接。以下是操作步驟:
建立隧道:
Shell1aws ec2-instance-connect open-tunnel --instance-id i-00518ad1164dfd6f6 --local-port 3389 --remote-port 3389
使用RDP用戶端連接配接Windows伺服器。
使用RDP用戶端連接配接Windows伺服器。
終端點的限制不支援使用IPv6位址連接配接執行個體的EC2執行個體連接配接終端點。對于啟用了用戶端IP保留的連接配接,被連接配接的執行個體必須位于與EC2執行個體連接配接終端點相同的虛拟私有雲(VPC)中。請注意,在流量通過AWS Transit Gateway路由時,不支援用戶端IP保留。請注意,某些執行個體類型不支援用戶端IP保留,包括C1、CC1、CC2、CG1、CG2、CR1、G1、G2、HI1、HS1、M1、M2、M3和T1。結論AWS提供了各種連接配接執行個體的方法,包括SSH、RDP、AWS Systems Manager會話管理器、EC2執行個體連接配接和終端點、堡壘主機和VPN。選擇使用哪種方法取決于作業系統、安全要求、網絡配置和個人偏好。通過利用這些連接配接方法,您可以根據特定的用例和需求安全地通路和管理AWS執行個體。