使用執行個體 Connect 端點 Connect 至EC2執行個體 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用執行個體 Connect 端點 Connect 至EC2執行個體

EC2執行個體 Connect Endpoint 可讓您從網際網路安全地連線至執行個體,而無需使用防禦主機,或要求您的虛擬私有雲端 (VPC) 具有直接的網際網路連線。

優勢
  • 您可以連線至執行個體,而不需要執行個體擁有公開IPv4位址。 AWS 所有公共IPv4地址的費用,包括與執行中執行個體和彈性 IP IPv4 地址相關聯的公共地址。如需詳細資訊,請參閱 Amazon VPC 定價頁面上的公開IPv4位址索引標籤。

  • 您可以從網際網路連線到執行個體,而不需要透過網際網路閘道VPC直接連線到網際網路

  • 您可以控制建立和使用EC2執行個體 Connect 端點的存取權,以便使用IAM策略和權限連線至執行個體。

  • 連線至執行個體的所有嘗試 (無論是成功還是失敗) 都會記錄到CloudTrail

定價

使用EC2執行個體 Connect 端點無需額外費用。如果您使用EC2執行個體 Connect 端點連線到不同可用區域中的執行個體,則跨可用區域的資料傳輸需支付額外費用。

運作方式

EC2執行個體 Connect 端點是識別身分識別TCP代理伺服器。EC2執行個體 Connect 端點服務會使用您IAM實體的認證,建立從電腦到端點的私人通道。流量在到達您的VPC.

您可以設定其他安全群組規則,以限制執行個體的輸入流量。例如,您可以使用輸入規則,僅允許來自EC2執行個體連線端點的管理 Connect 埠流量。

您可以設定路由表規則,以允許端點連線到的任何子網路中的任何執行個體VPC。

下圖顯示使用者如何使用執行個體 Connect 端點從網際網路連線到其執行個EC2體。首先,在子網路 A 中建立 In EC2stance Connect Endpoint。我們為子網路中的端點建立網路介面,該介面可做為中傳送至執行個體的流量的入口點。VPC如果子網路 B 的路由表允許來自子網路 A 的流量,則您可以使用端點連線子網路 B 中的執行個體。

EC2執行個體 Connect 端點流程概觀。

考量事項

在開始之前,請考慮下列事項。

  • EC2執行個體 Connect 端點專門用於管理流量使用案例,而非大量資料傳輸。系統會限流大量資料傳輸。

  • 您的執行個體必須擁有IPv4地址 (私人或公用)。EC2執行個體 Connect 端點不支援使用IPv6位址連線至執行個體。

  • (Linux 實例)如果您使用自己的 key pair,則可以使用任何 Linux AMI。否則,您的執行個體必須安裝EC2執行個體 Connect。如需其中AMIs包括EC2執行個體 Connect,以及如何將其安裝在其他支援的資訊AMIs,請參閱安裝 EC2 Instance Connect

  • 您可以在建立EC2執行個體 Connect 端點時將安全群組指派給該群組。否則,我們會使用預設的安全性群組VPC。EC2執行個體 Connect 端點的安全群組必須允許輸出流量到目的地執行個體。如需詳細資訊,請參閱EC2執行個體 Connect 端點的安全群組

  • 您可以設定EC2執行個體 Connect 端點,以便在將要求傳送至執行個體時保留用戶端的來源 IP 位址。否則,網路介面的 IP 位址會變成所有傳入流量的用戶端 IP 位址。

    • 如果您開啟用戶端 IP 保留,執行個體的安全群組必須允許來自用戶端的流量。此外,執行個體必須與執行個EC2體 Connect 端點位於相同VPC。

    • 如果您關閉用戶端 IP 保留,執行個體的安全性群組必須允許來自VPC. 此為預設值。

    • 下列執行個體類型不支援用戶端 IP 保留:C1 CG1、CG2、、G1、M2 HI1、M2、M3 和 T1。如果您開啟用戶端 IP 保留功能,並嘗試使用執行個體 Connect 線端點連線到具有上述其中一種執行個體類型的EC2執行個體,則連線會失敗。

    • 當流量透過傳輸閘道路由時,不支援用戶端 IP 保留。

  • 當您建立EC2執行個體 Connect 端點時,系統會自動為中的 Amazon EC2 服務建立服務連結角色 AWS Identity and Access Management (IAM)。Amazon EC2 使用服務連結角色在您的帳戶中佈建網路界面,這是建立EC2執行個體 Connect 端點時所需的網路界面。如需詳細資訊,請參閱EC2執行個體連線端點的服務連結角色

  • 每個子網路VPC和每個子網路只能建立 1 EC2 個執行個體 Connect 端點。如需詳細資訊,請參閱EC2執行個體 Connect 端點的配額。如果您需要在同一個不同的可用區域中建立另一個EC2執行個體 Connect 端點VPC,則必須先刪除現有的EC2執行個體 Connect 端點。否則,您將收到配額錯誤。

  • 每個EC2執行個體 Connect 線端點最多可支援 20 個同時連線。

  • 已建立TCP連線的最長持續時間為 1 小時 (3,600 秒)。您可以指定IAM策略中允許的持續時間上限,最長可達 3,600 秒。如需詳細資訊,請參閱使用執行個EC2體連線端點連線至執行個體的權限