使用 EC2 Instance Connect 端点连接到实例 - Amazon Elastic Compute Cloud

使用 EC2 Instance Connect 端点连接到实例

借助 EC2 Instance Connect 端点,您可以通过互联网安全地连接到实例,无需使用堡垒主机,也不需要您的虚拟私有云(VPC)直接连接到互联网。

优势
  • 您可以连接到实例,而实例无需具有公有 IPv4 地址。AWS 对所有公有 IPv4 地址收费,包括与正在运行的实例关联的公有 IPv4 地址,以及弹性 IP 地址。有关更多信息,请参阅 Amazon VPC 定价页面中的公有 IPv4 地址定价选项卡。

  • 您可以通过互联网连接到实例,并且您的 VPC 也无需通过互联网网关直接建立互联网连接。

  • 您可以使用 IAM 策略和权限来控制创建 EC2 Instance Connect 端点以及使用此端点连接到实例的权限。

  • 所有连接到实例的尝试,无论成功还是失败,都将记录到 CloudTrail

定价

使用 EC2 Instance Connect 端点不会产生额外的成本。如果您使用 EC2 Instance Connect 端点连接到位于其他可用区的实例,则将产生跨可用区传输数据的额外费用

工作方式

EC2 Instance Connect 端点是一种身份感知型 TCP 代理。EC2 Instance Connect 端点服务将使用您的 IAM 实体的凭证,建立从您的计算机到该端点的私有隧道。流量在到达您的 VPC 之前已通过身份验证和授权。

您可以配置其他安全组规则来限制实例的入站流量。例如,您可以使用入站规则仅允许来自 EC2 Instance Connect 端点的流量通过管理端口。

您可以配置路由表规则来允许该端点连接到 VPC 的任何子网中的任何实例。

下图显示了用户如何使用 EC2 Instance Connect 端点从互联网连接到实例。首先,在子网 A 中创建一个 EC2 Instance Connect 端点。我们为子网中为该端点创建一个网络接口,以作为发往 VPC 中实例的流量的入口点。如果子网 B 的路由表允许来自子网 A 的流量,则可以使用该端点连接到子网 B 中的实例。

EC2 Instance Connect Endpoint 流程概述。

注意事项

开始之前,请注意以下因素:

  • EC2 Instance Connect 端点专用于管理流量应用场景,不适用于大容量数据传输。大容量数据传输将被节流。

  • 您的实例必须具有一个(私有或公有)IPv4 地址。EC2 Instance Connect 端点不支持连接到使用 IPv6 地址的实例。

  • (Linux 实例)如果您使用自己的密钥对,则可以使用任何 Linux AMI。否则,实例必须已经安装了 EC2 Instance Connect。有关哪些 AMI 包含 EC2 Instance Connect 以及如何将其安装在其他支持的 AMI 上的信息,请参阅 安装 EC2 Instance Connect

  • 在创建 EC2 Instance Connect 端点时,您可以为其分配一个安全组。如果未分配安全组,则将使用 VPC 的默认安全组。EC2 Instance Connect 端点的安全组必须允许指向目标实例的出站流量。有关更多信息,请参阅 EC2 Instance Connect Endpoint 安全组

  • 您可以将 EC2 Instance Connect 端点配置为在将请求路由到实例时保留客户端的源 IP 地址。否则,网络接口的 IP 地址将成为所有传入流量的客户端 IP 地址。

    • 如果您开启了客户端 IP 保留功能,则实例的安全组必须允许来自客户端的流量。此外,这些实例必须与 EC2 Instance Connect 端点位于同一 VPC 中。

    • 如果您关闭了客户端 IP 保留功能,则实例的安全组必须允许来自 VPC 的流量。这是默认模式。

    • 以下实例类型不支持客户端 IP 保留:C1、CC1、CG2、G1、HI1、M1、M2、M3 和 T1。如果您开启了客户端 IP 保留功能并尝试使用 EC2 Instance Connect 端点连接到属于上述任何实例类型的实例,则连接将会失败。

    • 当流量通过中转网关路由时,不支持客户端 IP 保留功能。

  • 当您创建 EC2 Instance Connect Endpoint 时,系统将为 AWS Identity and Access Management(IAM)中的 Amazon EC2 服务自动创建服务相关的角色。Amazon EC2 使用服务相关的角色在您的账户中预置配网络接口,这是创建 EC2 Instance Connect Endpoint 时所必需的。有关更多信息,请参阅 EC2 Instance Connect Endpoint 的服务相关角色

  • 每个 VPC 和每个子网只能创建一个 EC2 Instance Connect Endpoint。有关更多信息,请参阅 EC2 Instance Connect 端点的限额。如需在同一 VPC 内的不同可用区中创建另一个 EC2 Instance Connect Endpoint,则必须先删除现有的 EC2 Instance Connect Endpoint。否则,您会收到限额错误。

  • 每个 EC2 Instance Connect 端点最多可支持 20 个并发连接。

  • 已建立 TCP 连接的最长持续时间为 1 小时(3,600 秒)。您可以在 IAM 策略中指定允许的最大持续时间,最长可以为 3,600 秒。有关更多信息,请参阅 使用 EC2 Instance Connect 端点连接到实例的权限