Connettiti alle tue istanze utilizzando EC2 Instance Connect Endpoint - Amazon Elastic Compute Cloud
Come funzionaConsiderazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connettiti alle tue istanze utilizzando EC2 Instance Connect Endpoint

EC2Instance Connect Endpoint ti consente di connetterti in modo sicuro a un'istanza da Internet, senza utilizzare un host bastion o richiedere che il tuo cloud privato virtuale (VPC) disponga di una connettività Internet diretta.

Vantaggi

  • Puoi connetterti alle tue istanze senza richiedere che le istanze abbiano un indirizzo pubblico. IPv4 AWS costi per tutti gli IPv4 indirizzi pubblici, inclusi gli IPv4 indirizzi pubblici associati alle istanze in esecuzione e gli indirizzi IP elastici. Per ulteriori informazioni, consulta la scheda IPv4Indirizzo pubblico nella pagina VPC dei prezzi di Amazon.

  • Puoi connetterti alle tue istanze da Internet senza dover disporre di una connettività Internet diretta tramite un gateway Internet. VPC

  • Puoi controllare l'accesso alla creazione e all'uso degli endpoint EC2 Instance Connect per connetterti alle istanze utilizzando IAMpolicy e autorizzazioni.

  • Tutti i tentativi di connessione alle istanze, riusciti o meno, vengono registrati in. CloudTrail

Prezzi

Non sono previsti costi aggiuntivi per l'utilizzo degli endpoint EC2 Instance Connect. Se si utilizza un endpoint EC2 Instance Connect per connettersi a un'istanza in una zona di disponibilità diversa, è previsto un costo aggiuntivo per il trasferimento dei dati tra le zone di disponibilità.

Indice

Come funziona

EC2Instance Connect Endpoint è un proxy con riconoscimento dell'identitàTCP. L'EC2Instance Connect Endpoint Service stabilisce un tunnel privato dal computer all'endpoint utilizzando le credenziali dell'entità. IAM Il traffico viene autenticato e autorizzato prima che raggiunga il tuo. VPC

Puoi configurare regole aggiuntive per i gruppi di sicurezza per limitare il traffico in entrata alle tue istanze. Ad esempio, puoi utilizzare le regole in entrata per consentire il traffico sulle porte di gestione solo dall'endpoint EC2 Instance Connect.

È possibile configurare le regole della tabella di routing per consentire all'endpoint di connettersi a qualsiasi istanza in qualsiasi sottorete di. VPC

Il diagramma seguente mostra come un utente può connettersi alle proprie istanze da Internet utilizzando un endpoint Instance EC2 Connect. Innanzitutto, crea un endpoint EC2 Instance Connect nella sottorete A. Creiamo un'interfaccia di rete per l'endpoint nella sottorete, che funge da punto di ingresso per il traffico destinato alle tue istanze nel. VPC Se la tabella di routing per la sottorete B consente il traffico proveniente dalla sottorete A, puoi utilizzare l'endpoint per raggiungere le istanze nella sottorete B.

Panoramica del flusso EC2 Instance Connect Endpoint.

Considerazioni

Prima di iniziare, considera quanto segue.

  • EC2Instance Connect Endpoint è destinato specificamente ai casi d'uso del traffico di gestione, non ai trasferimenti di dati ad alto volume. I trasferimenti di grandi volumi di dati sono limitati.

  • L'istanza deve avere un IPv4 indirizzo (privato o pubblico). EC2Instance Connect Endpoint non supporta la connessione a istanze tramite IPv6 indirizzi.

  • (Istanze Linux) Se si utilizza una propria coppia di key pair, è possibile utilizzare qualsiasi sistema LinuxAMI. Altrimenti, sull'istanza deve essere installato EC2 Instance Connect. Per informazioni su cosa AMIs include EC2 Instance Connect e su come installarlo su altri supportiAMIs, vedereEC2Instance Connect.

  • È possibile assegnare un gruppo di sicurezza a un endpoint EC2 Instance Connect al momento della creazione. Altrimenti, utilizziamo il gruppo di sicurezza predefinito per. VPC Il gruppo di sicurezza per un endpoint EC2 Instance Connect deve consentire il traffico in uscita verso le istanze di destinazione. Per ulteriori informazioni, consulta Gruppi di sicurezza per EC2 Instance Connect Endpoint.

  • È possibile configurare un endpoint EC2 Instance Connect per preservare gli indirizzi IP di origine dei client durante l'instradamento delle richieste verso le istanze. In caso contrario, l'indirizzo IP dell'interfaccia di rete diventa l'indirizzo IP del client per tutto il traffico in entrata.

    • Se si attiva la conservazione degli IP dei client, i gruppi di sicurezza per le istanze devono consentire il traffico proveniente dai client. Inoltre, le istanze devono essere uguali VPC all'endpoint EC2 Instance Connect.

    • Se disattivi la conservazione dell'IP del client, i gruppi di sicurezza per le istanze devono consentire il traffico proveniente da. VPC Questa è l'impostazione predefinita.

    • I seguenti tipi di istanza non supportano la conservazione degli IP dei client: C1,,CG1, G1CG2, M1HI1, M2, M3 e T1. Se attivi la conservazione dell'IP del client e tenti di connetterti a un'istanza con uno di questi tipi di EC2 istanza utilizzando Instance Connect Endpoint, la connessione non riesce.

    • La conservazione dell'IP del client non è supportata quando il traffico viene instradato attraverso un gateway di transito.

  • Quando crei un endpoint EC2 Instance Connect, viene creato automaticamente un ruolo collegato al servizio per il servizio Amazon in EC2 AWS Identity and Access Management (). IAM Amazon EC2 utilizza il ruolo collegato ai servizi per fornire le interfacce di rete nel tuo account, necessarie per la creazione degli endpoint Instance EC2 Connect. Per ulteriori informazioni, consulta Ruolo collegato al servizio per Instance EC2 Connect Endpoint.

  • È possibile creare solo 1 endpoint EC2 Instance Connect per VPC e per sottorete. Per ulteriori informazioni, consulta Quotas, EC2 ad esempio Connect Endpoint. Se è necessario creare un altro endpoint EC2 Instance Connect in una zona di disponibilità diversa all'interno della stessaVPC, è necessario prima eliminare l'endpoint EC2 Instance Connect esistente. Altrimenti, riceverai un errore di quota.

  • Ogni endpoint EC2 Instance Connect può supportare fino a 20 connessioni simultanee.

  • La durata massima per una TCP connessione stabilita è di 1 ora (3.600 secondi). È possibile specificare la durata massima consentita in una IAM politica, che può arrivare fino a 3.600 secondi. Per ulteriori informazioni, consulta Autorizzazioni per utilizzare EC2 Instance Connect Endpoint per connettersi alle istanze.