Mit einer privaten IP-Adresse und dem EC2-Instance-Connect-Endpunkt eine Verbindung zu Ihren Instances herstellen - Amazon Elastic Compute Cloud
FunktionsweiseÜberlegungen

Mit einer privaten IP-Adresse und dem EC2-Instance-Connect-Endpunkt eine Verbindung zu Ihren Instances herstellen

Mit EC2-Instance-Connect-Endpunkt können Sie eine sichere Verbindung zu einer Instance aus dem Internet herstellen, ohne einen Bastion-Host zu verwenden oder zu benötigen, dass Ihre Virtual Private Cloud (VPC) über eine direkte Internetverbindung verfügt.

Vorteile

  • Sie können jetzt eine Verbindung zu Ihren Instances herstellen, ohne dass die Instances eine öffentliche IPv4- oder IPv6-Adresse haben müssen. AWS erhebt Gebühren für alle öffentlichen IPv4-Adressen, einschließlich öffentlicher IPv4-Adressen, die laufenden Instances zugeordnet sind, und Elastic-IP-Adressen. Weitere Informationen finden Sie auf der Registerkarte Öffentliche IPv4-Adresse auf der Seite Preise für Amazon VPC.

  • Sie können vom Internet aus eine Verbindung zu Ihren Instances herstellen, ohne dass Ihr VPC über ein Internet-Gateway direkt mit dem Internet verbunden sein muss.

  • Sie können den Zugriff auf die Erstellung und Verwendung der EC2-Instance-Connect-Endpunkte steuern, um eine Verbindung zu Instances mit IAM-Richtlinien und -Berechtigungen herzustellen.

  • Alle erfolgreichen und erfolglosen Versuche, eine Verbindung zu Instances herzustellen, werden in CloudTrail protokolliert.

Preisgestaltung

Für die Verwendung von EC2-Instance-Connect-Endpunkten fallen keine zusätzlichen Kosten an. Wenn Sie einen EC2-Instance-Connect-Endpunkt in einem Subnetz verwenden, um eine Verbindung zu einer Instance in einem anderen Subnetz herzustellen, das sich in einer anderen Availability Zone befindet, fällt für die Datenübertragung zwischen Availability Zones eine zusätzliche Gebühr an.

Inhalt

Funktionsweise

Der EC2-Instance-Connect-Endpunkt ist ein identitätsbewusster TCP-Proxy. Der EC2-Instance-Connect-Endpunkt-Service richtet mithilfe der Anmeldeinformationen für Ihre IAM-Entität einen privaten Tunnel von Ihrem Computer zum Endpunkt ein. Der Datenverkehr wird authentifiziert und autorisiert, bevor er Ihre VPC erreicht.

Sie können für Ihre Instances zusätzliche Sicherheitsgruppenregeln konfigurieren, um den eingehenden Datenverkehr einzuschränken. Sie können beispielsweise eingehende Regeln für Ihre Instances verwenden, um nur Datenverkehr auf Verwaltungs-Ports vom EC2-Instance-Connect-Endpunkt zuzulassen.

Sie können Routing-Tabellen-Regeln so konfigurieren, dass der Endpunkt eine Verbindung zu einer beliebigen Instance in einem beliebigen Subnetz der VPC herstellen kann.

Das folgende Diagramm zeigt, wie ein Benutzer mithilfe eines EC2-Instance-Connect-Endpunkts über das Internet eine Verbindung zu seinen Instances herstellen kann. Erstellen Sie zunächst einen EC2-Instance-Connect-Endpunkt in Subnetz A. Wir erstellen eine Netzwerkschnittstelle für den Endpunkt im Subnetz, die als Einstiegspunkt für den Datenverkehr dient, der für Ihre Instances in der VPC bestimmt ist. Wenn die Routing-Tabelle für Subnetz B Datenverkehr von Subnetz A zulässt, können Sie den Endpunkt verwenden, um Instances in Subnetz B zu erreichen.

Überblick über den Verbindung-Endpunkt-Flow des EC2-Instance-Connect-Endpunkts.

Überlegungen

Bevor Sie beginnen, überlegen Sie folgendes.

  • EC2-Instance-Connect-Endpunkt ist speziell für Anwendungsfälle zur Verwaltung des Datenverkehrs und nicht für Datenübertragungen mit hohem Datenvolumen vorgesehen. Datenübertragungen mit hohem Datenvolumen werden gedrosselt.

  • Sie können einen EC2-Instance-Connect-Endpunkt erstellen, um den Datenverkehr zu einer Instance zu unterstützen, die über eine private IPv4- oder IPv6-Adresse verfügt. Der IP-Adresstyp des Endpunkts muss mit der IP-Adresse der Instance übereinstimmen. Sie können einen Endpunkt erstellen, der alle IP-Adresstypen unterstützt.

  • (Linux-Instances) Wenn Sie Ihr eigenes Schlüsselpaar verwenden, können Sie jedes Linux-AMI verwenden. Auf der Instance muss EC2 Instance Connect installiert sein. Informationen darüber, welche AMIs EC2 Instance Connect enthalten und wie es auf anderen unterstützten AMIs installiert wird, finden Sie unter Installieren Sie EC2 Instance Connect.

  • Sie können einem EC2-Instance-Connect-Endpunkt eine Sicherheitsgruppe zuweisen. Andernfalls werden wir die Standard-Sicherheitsgruppe für die VPC verwenden. Die Sicherheitsgruppe für einen EC2-Instance-Connect-Endpunkt muss ausgehenden Datenverkehr zu den Ziel-Instances zulassen. Weitere Informationen finden Sie unter Sicherheitsgruppen für EC2-Instance-Connect-Endpunkt.

  • Sie können einen EC2-Instance-Connect-Endpunkt konfigurieren, um die Quell-IP-Adressen der Clients beizubehalten, wenn Anforderungen an die Instances weitergeleitet werden. Andernfalls wird die IP-Adresse der Netzwerkschnittstelle zur Client-IP-Adresse für den gesamten eingehenden Datenverkehr.

    • Wenn Sie die Client-IP-Erhaltung aktivieren, müssen die Sicherheitsgruppen für die Instances den Datenverkehr von den Clients zulassen. Außerdem müssen sich die Instances in derselben VPC befinden wie der EC2-Instance-Connect-Endpunkt.

    • Wenn Sie die Client-IP-Erhaltung deaktivieren, müssen die Sicherheitsgruppen für die Instances den Datenverkehr von der VPC zulassen. Dies ist die Standardeinstellung.

    • Die Client-IP-Erhaltung wird nur auf IPv4-EC2-Instance-Connect-Endpunkten unterstützt. Um die Client-IP-Erhaltung verwenden zu können, muss der IP-Adresstyp des EC2-Instance-Connect-Endpunkts IPv4 sein. Die Client-IP-Erhaltung wird nicht unterstützt, wenn der IP-Adresstyp Dual-Stack oder IPv6 ist.

    • Die folgenden Instance-Typen unterstützen keine Client-IP-Erhaltung: C1, CG1, CG2, G1, HI1, M1, M2, M3, und T1. Wenn Sie die Client-IP-Erhaltung aktivieren und versuchen, mithilfe von EC2-Instance-Connect-Endpunkt eine Verbindung zu einer Instance mit einem dieser Instance-Typen herzustellen, schlägt die Verbindung fehl.

    • Die Erhaltung der Client-IP wird nicht unterstützt, wenn der Datenverkehr über ein Transit-Gateway geleitet wird.

  • Wenn Sie einen EC2-Instance-Connect-Endpunkt erstellen, wird automatisch eine serviceverknüpfte Rolle für den Amazon-EC2-Service in AWS Identity and Access Management (IAM) erstellt. Amazon EC2 verwendet die serviceverknüpfte Rolle, um Netzwerkschnittstellen in Ihrem Konto bereitzustellen, die beim Erstellen von EC2-Instance-Connect-Endpunkten erforderlich sind. Weitere Informationen finden Sie unter Serviceverknüpfte Rolle für EC2-Instance-Connect-Endpunkt.

  • Sie können nur einen EC2-Instance-Connect-Endpunkt in einem Subnetz Ihrer VPC erstellen. Weitere Informationen finden Sie unter Kontingente für EC2-Instance-Connect-Endpunkt. Wenn Sie einen weiteren EC2-Instance-Connect-Endpunkte in einer anderen Availability Zone innerhalb derselben VPC erstellen müssen, müssen Sie zuerst den vorhandenen EC2-Instance-Connect-Endpunkt löschen. Andernfalls erhalten Sie eine Fehlermeldung.

  • Jeder EC2-Instance-Connect-Endpunkt kann bis zu 20 gleichzeitige Verbindungen unterstützen.

  • Die maximale Dauer für eine hergestellte TCP-Verbindung: 1 Stunde (3 600 Sekunden). Sie können die maximal zulässige Dauer in einer IAM-Richtlinie angeben, die 3 600 Sekunden oder weniger betragen kann. Weitere Informationen finden Sie unter Berechtigungen, EC2-Instance-Connect-Endpunkt zu verwenden, um eine Verbindung zu Instances herzustellen.

    Die Dauer der Verbindung wird nicht durch die Dauer Ihrer IAM-Anmeldeinformationen bestimmt. Wenn Ihre IAM-Anmeldeinformationen ablaufen, bleibt die Verbindung bestehen, bis die angegebene maximale Dauer erreicht ist. Wenn Sie über das Konsolenerlebnis des EC2-Instance-Connect-Endpunkts eine Verbindung zu einer Instance herstellen, legen Sie die Maximale Tunneldauer (Sekunden) auf einen Wert fest, der unter der Dauer Ihrer IAM-Anmeldeinformationen liegt. Wenn Ihre IAM-Anmeldeinformationen vorzeitig ablaufen, beenden Sie die Verbindung zu Ihrer Instance, indem Sie die Browserseite schließen.