Stellen Sie mithilfe von EC2 Instance Connect Endpoint eine Verbindung zu Ihren Instances her - Amazon Elastic Compute Cloud
FunktionsweiseÜberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Stellen Sie mithilfe von EC2 Instance Connect Endpoint eine Verbindung zu Ihren Instances her

EC2Mit Instance Connect Endpoint können Sie eine sichere Verbindung zu einer Instanz aus dem Internet herstellen, ohne einen Bastion-Host zu verwenden oder zu benötigen, dass Ihre virtuelle private Cloud (VPC) über eine direkte Internetverbindung verfügt.

Vorteile

  • Sie können eine Verbindung zu Ihren Instances herstellen, ohne dass die Instanzen eine öffentliche IPv4 Adresse haben müssen. AWS Gebühren für alle öffentlichen IPv4 Adressen, einschließlich öffentlicher IPv4 Adressen, die mit laufenden Instances verknüpft sind, und Elastic IP-Adressen. Weitere Informationen finden Sie auf der VPCAmazon-Preisseite unter dem Tab Öffentliche IPv4 Adresse.

  • Sie können über das Internet eine Verbindung zu Ihren Instances herstellen, ohne dass Sie VPC über ein Internet-Gateway direkt mit dem Internet verbunden sein müssen.

  • Sie können den Zugriff auf die Erstellung und Verwendung der EC2 Instance Connect-Endpoints steuern, um mithilfe von IAMRichtlinien und Berechtigungen eine Verbindung zu Instances herzustellen.

  • Alle Versuche, eine Verbindung zu Ihren Instances herzustellen, sowohl erfolgreiche als auch erfolglose, werden protokolliert. CloudTrail

Preisgestaltung

Für die Nutzung von EC2 Instance Connect-Endpunkten fallen keine zusätzlichen Kosten an. Wenn Sie einen EC2 Instance Connect-Endpunkt verwenden, um eine Verbindung zu einer Instance in einer anderen Availability Zone herzustellen, fallen zusätzliche Gebühren für die Datenübertragung zwischen Availability Zones an.

Inhalt

Funktionsweise

EC2Instance Connect Endpoint ist ein identitätsbewusster ProxyTCP. Der EC2 Instance Connect Endpoint Service richtet mithilfe der Anmeldeinformationen für Ihre IAM Entität einen privaten Tunnel von Ihrem Computer zum Endpunkt ein. Der Datenverkehr wird authentifiziert und autorisiert, bevor er Ihren VPC erreicht.

Sie können zusätzliche Sicherheitsgruppenregeln konfigurieren, um den eingehenden Datenverkehr auf Ihre Instances zu beschränken. Sie können beispielsweise Regeln für eingehenden Datenverkehr verwenden, um Datenverkehr auf Management-Ports nur vom EC2 Instance Connect-Endpunkt aus zuzulassen.

Sie können Routing-Tabellenregeln so konfigurieren, dass der Endpunkt eine Verbindung zu einer beliebigen Instanz in einem beliebigen Subnetz des herstellen kann. VPC

Das folgende Diagramm zeigt, wie ein Benutzer über einen Instance Connect-Endpunkt aus dem Internet eine Verbindung zu seinen EC2 Instances herstellen kann. Erstellen Sie zunächst einen EC2Instance Connect-Endpunkt im Subnetz A. Wir erstellen eine Netzwerkschnittstelle für den Endpunkt im Subnetz, die als Einstiegspunkt für den Datenverkehr dient, der für Ihre Instances im bestimmt ist. VPC Wenn die Routing-Tabelle für Subnetz B Datenverkehr aus Subnetz A zulässt, können Sie den Endpunkt verwenden, um Instances in Subnetz B zu erreichen.

Überblick über den Ablauf von EC2 Instance Connect Endpoint.

Überlegungen

Bevor Sie beginnen, sollten Sie Folgendes berücksichtigen.

  • EC2Instance Connect Endpoint ist speziell für Anwendungsfälle zur Verwaltung des Datenverkehrs vorgesehen, nicht für Datenübertragungen mit hohem Datenvolumen. Datenübertragungen mit hohem Datenvolumen werden gedrosselt.

  • Ihre Instance muss eine IPv4 Adresse haben (entweder privat oder öffentlich). EC2Instance Connect Endpoint unterstützt keine Verbindung zu Instanzen über IPv6 Adressen.

  • (Linux-Instanzen) Wenn Sie Ihr eigenes key pair verwenden, können Sie jedes Linux verwendenAMI. Andernfalls muss auf Ihrer Instance EC2 Instance Connect installiert sein. Informationen darüber, welche EC2 Instance Connect AMIs enthalten und wie Sie es auf anderen unterstützten Plattformen installieren könnenAMIs, finden Sie unterInstallieren Sie EC2 Instance Connect.

  • Sie können einem EC2 Instance Connect-Endpunkt eine Sicherheitsgruppe zuweisen, wenn Sie ihn erstellen. Andernfalls verwenden wir die Standardsicherheitsgruppe fürVPC. Die Sicherheitsgruppe für einen EC2 Instance Connect-Endpunkt muss ausgehenden Datenverkehr zu den Ziel-Instances zulassen. Weitere Informationen finden Sie unter Sicherheitsgruppen für EC2 Instance Connect Endpoint.

  • Sie können einen EC2 Instance Connect-Endpunkt so konfigurieren, dass die Quell-IP-Adressen der Clients erhalten bleiben, wenn Anfragen an die Instances weitergeleitet werden. Andernfalls wird die IP-Adresse der Netzwerkschnittstelle zur Client-IP-Adresse für den gesamten eingehenden Datenverkehr.

    • Wenn Sie die Client-IP-Erhaltung aktivieren, müssen die Sicherheitsgruppen für die Instances den Datenverkehr von den Clients zulassen. Außerdem müssen sich die Instances im selben Ordner VPC wie der EC2 Instance Connect-Endpunkt befinden.

    • Wenn Sie die Client-IP-Erhaltung deaktivieren, müssen die Sicherheitsgruppen für die Instances den Datenverkehr von zulassenVPC. Dies ist die Standardeinstellung.

    • Die folgenden Instance-Typen unterstützen keine Client-IP-Erhaltung: C1,CG1,CG2, G1,HI1, M1, M2, M3 und T1. Wenn Sie die Client-IP-Erhaltung aktivieren und versuchen, mithilfe von Instance Connect Endpoint eine Verbindung zu einer Instance mit einem dieser EC2 Instance-Typen herzustellen, schlägt die Verbindung fehl.

    • Die Beibehaltung der Client-IP wird nicht unterstützt, wenn der Datenverkehr über ein Transit-Gateway geleitet wird.

  • Wenn Sie einen EC2 Instance Connect-Endpunkt erstellen, wird automatisch eine serviceverknüpfte Rolle für den EC2 Amazon-Service in erstellt AWS Identity and Access Management (IAM). Amazon EC2 verwendet die serviceverknüpfte Rolle, um Netzwerkschnittstellen in Ihrem Konto bereitzustellen, die für die Erstellung von EC2 Instance Connect-Endpunkten erforderlich sind. Weitere Informationen finden Sie unter Serviceverknüpfte Rolle für EC2 Instance Connect-Endpoint.

  • Sie können nur einen EC2 Instance Connect-Endpunkt pro VPC und pro Subnetz erstellen. Weitere Informationen finden Sie unter Kontingente für den EC2 Instance Connect-Endpunkt. Wenn Sie einen weiteren EC2 Instance Connect-Endpunkt in einer anderen Availability Zone innerhalb desselben erstellen müssenVPC, müssen Sie zuerst den vorhandenen EC2 Instance Connect-Endpunkt löschen. Andernfalls erhalten Sie einen Kontingentfehler.

  • Jeder EC2 Instance Connect-Endpunkt kann bis zu 20 gleichzeitige Verbindungen unterstützen.

  • Die maximale Dauer für eine hergestellte TCP Verbindung beträgt 1 Stunde (3.600 Sekunden). Sie können die maximal zulässige Dauer in einer IAM Richtlinie angeben, die bis zu 3.600 Sekunden betragen kann. Weitere Informationen finden Sie unter Berechtigungen zur Verwendung von EC2 Instance Connect Endpoint zum Herstellen einer Verbindung zu Instanzen.