ต้องการ ssh จากเซิร์ฟเวอร์ Amazon EC2 หนึ่งไปยังอีกเซิร์ฟเวอร์หนึ่ง

12

โดยทั่วไปฉันจะต้องสามารถเชื่อมต่อจากอินสแตนซ์EC2หนึ่งไปยังอีกโดยใช้ SSH ฉันรันคำสั่งssh -i path-to-pem-file ec2-user@dns-address-of-ec2-instanceและหมดเวลา

ฉันตั้งค่ากลุ่มความปลอดภัยของฉันเพื่ออนุญาตให้ SSH ขาเข้าจากที่อยู่ IP สาธารณะของอินสแตนซ์ EC2 ที่สองของฉัน แต่ก็ยังไม่ทำงาน ฉันรู้ว่าทุกอย่างควรจะดีเพราะเมื่อฉันตั้งค่าปริมาณการใช้ข้อมูลขาเข้าของ SSH เป็น "อนุญาตจากทุกที่" ฉันสามารถเชื่อมต่อได้โดยไม่มีปัญหา นอกจากนี้ฉันสามารถเชื่อมต่อกับอินสแตนซ์ EC2 จากเครื่องที่บ้าน (ฉันเพิ่มที่อยู่ IP ของฉันไปยังกลุ่มความปลอดภัย) โดยไม่มีปัญหาใด ๆ

เห็นได้ชัดว่าฉันไม่สามารถเปิดทราฟฟิกขาเข้าของฉันเป็น "อนุญาตได้ทุกที่" แต่ฉันไม่สามารถเชื่อมต่อได้เมื่อฉัน จำกัด ให้เหลือเพียงที่อยู่ IP ของอินสแตนซ์ EC2 ที่สอง บางทีที่อยู่ IP สาธารณะอาจไม่ใช่สิ่งที่ฉันควรใส่ในกลุ่มความปลอดภัย

ฉันไม่สามารถปิงได้ มันเพิ่งหมดเวลา นี่คือผลลัพธ์ของssh -vv -i path-to-pem-file ec2-user@dns-address-of-ec2-instance

OpenSSH_6.2p2, OpenSSL 1.0.1h-fips 5 Jun 2014
debug1: Reading configuration data /home/ec2-user/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 50: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to dns-address [IP Address different from public ip] port 22.
debug1: connect to address [IP Address different from public ip] port 22: Connection timed out
ssh: connect to host dns-address port 22: Connection timed out
ssh  amazon-ec2 
ปอมเปย์
แหล่งที่มา

คำตอบ:

13

อินสแตนซ์ EC2 ใช้ที่10.X.X.Xอยู่ภายใน(หรือที่อยู่อื่น ๆ หากใช้ VPC) และการรับส่งข้อมูลไปยังที่อยู่ IP สาธารณะของพวกเขานั้นจะถูกกำหนดเส้นทางไปยังที่อยู่ IP ภายในอีกครั้ง อินสแตนซ์ EC2 ยังใช้เซิร์ฟเวอร์ DNS อื่นที่ไม่สามารถเข้าถึงได้แบบสาธารณะ เมื่อคุณแก้ไขชื่อโฮสต์ของอินสแตนซ์ EC2 อื่นเนื่องจากคุณอยู่ในเครือข่ายAWSจะให้ที่10.X.X.Xอยู่ของอินสแตนซ์แทนที่อยู่ IP สาธารณะ วิธีนี้จะป้องกันไม่ให้ทราฟฟิกต้องออกไปท่องอินเทอร์เน็ตและกลับเข้ามาซึ่งทำให้เร็วขึ้น

แม้ว่าคุณจะได้รายการที่ปลอดภัยตามที่อยู่ IP นี่ไม่ใช่ความคิดที่ดีเช่นเดียวกับในโหมดคลาสสิค EC2 ทั้งที่อยู่ภายในและที่อยู่สาธารณะของคุณสามารถเปลี่ยนแปลงได้ ทางออกที่เหมาะสมคือการขึ้นบัญชีขาวโดยกลุ่มรักษาความปลอดภัย โดยทั่วไปคุณจะเพิ่มกฎในกลุ่มความปลอดภัยปลายทางโดยบอกว่าอนุญาตพอร์ต 22 จากกลุ่มความปลอดภัยดั้งเดิม

หากทั้งสองอินสแตนซ์อยู่ในบัญชีเดียวกันคุณเพียงแค่อนุญาตsg-1234abcd(ซึ่งsg-1234abcdเป็นกลุ่มความปลอดภัยที่อินสแตนซ์ดั้งเดิมเป็นสมาชิกของ) 111122223333/sg-1234abcdถ้าพวกเขาอยู่ในบัญชีที่แตกต่างกันรวมถึงเลขที่บัญชีเช่น
ดูเอกสารประกอบสำหรับข้อมูลเพิ่มเติม

แพทริค
แหล่งที่มา
สมบูรณ์แบบนั่นคือสิ่งที่ฉันกำลังมองหา! ทำงานได้โดยไม่ต้องผูกปม!
Pompey
เมื่อพูดถึงกลุ่มความปลอดภัยของบัญชีที่แตกต่างกันคุณต้องทำการ VPC ส่งเสียงเตือนเพื่อให้คุณสามารถอ้างอิงได้ ดูที่นี่: docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/ …
Boris Strandjev
เพิ่งเสร็จสิ้นฉันต้องการเพิ่ม AWS ที่เรียกเก็บเงินคุณสำหรับการรับส่งข้อมูลขาเข้าไปยัง VPC จากอินเทอร์เน็ต แต่การรับส่งข้อมูลภายใน VPC นั้นฟรีดังนั้นการไม่ผ่านอินเทอร์เน็ตไม่เพียง แต่เร็วกว่า แต่ยังถูกกว่า
Blueriver
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.