Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Connect ke instans Anda menggunakan alamat IP pribadi dan EC2 Instance Connect Endpoint
EC2 Instance Connect Endpoint memungkinkan Anda terhubung dengan aman ke instans dari internet, tanpa menggunakan host bastion, atau mengharuskan virtual private cloud (VPC) Anda memiliki konektivitas internet langsung.
Manfaat
-
Anda dapat terhubung ke instans Anda tanpa mengharuskan instans memiliki publik IPv4 atau IPv6 alamat. AWS mengenakan biaya untuk semua IPv4 alamat publik, termasuk IPv4 alamat publik yang terkait dengan instans yang sedang berjalan dan alamat IP Elastis. Untuk informasi selengkapnya, lihat tab IPv4 Alamat Publik di halaman harga Amazon VPC
. -
Anda dapat mengontrol akses ke pembuatan dan penggunaan Titik Akhir Connect Instance EC2 untuk menyambung ke instans menggunakan kebijakan dan izin IAM.
-
Semua upaya untuk terhubung ke instans Anda, baik yang berhasil maupun yang tidak berhasil, dicatat. CloudTrail
Harga
Tidak ada biaya tambahan untuk menggunakan EC2 Instance Connect Endpoint. Jika Anda menggunakan Titik Akhir Connect Instance EC2 untuk menyambung ke instans di Availability Zone yang berbeda, akan dikenakan biaya tambahan untuk transfer data
Daftar Isi
Cara kerjanya
EC2 Instance Connect Endpoint adalah proxy TCP yang sadar identitas. Layanan Endpoint Connect Instance Connect EC2 membuat terowongan pribadi dari komputer Anda ke titik akhir menggunakan kredensil untuk entitas IAM Anda. Lalu lintas diautentikasi dan diotorisasi sebelum mencapai VPC Anda.
Anda dapat mengonfigurasi aturan grup keamanan tambahan untuk membatasi lalu lintas masuk ke instans Anda. Misalnya, Anda dapat menggunakan aturan masuk untuk mengizinkan lalu lintas pada port manajemen hanya dari EC2 Instance Connect Endpoint.
Anda dapat mengonfigurasi aturan tabel rute untuk memungkinkan titik akhir terhubung ke instance apa pun di subnet VPC mana pun.
Diagram berikut menunjukkan bagaimana pengguna dapat terhubung ke instans mereka dari internet menggunakan EC2 Instance Connect Endpoint. Pertama, buat EC2 Instance Connect Endpoint di subnet A. Kami membuat antarmuka jaringan untuk endpoint di subnet, yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk instans Anda di VPC. Jika tabel rute untuk subnet B memungkinkan lalu lintas dari subnet A, maka Anda dapat menggunakan titik akhir untuk mencapai instance di subnet B.
Pertimbangan-pertimbangan
Sebelum Anda mulai, pertimbangkan hal berikut.
-
EC2 Instance Connect Endpoint ditujukan khusus untuk kasus penggunaan lalu lintas manajemen, bukan untuk transfer data volume tinggi. Data volume tinggi transfer dibatasi.
-
Anda dapat membuat EC2 Instance Connect Endpoint untuk mendukung lalu lintas ke instans yang memiliki IPv4 alamat atau IPv6 alamat pribadi. Jenis alamat IP dari titik akhir harus sesuai dengan alamat IP instance. Anda dapat membuat endpoint yang mendukung semua jenis alamat IP.
-
(Instance Linux) Jika Anda menggunakan key pair Anda sendiri, Anda dapat menggunakan AMI Linux apa pun. Jika tidak, instans Anda harus menginstal EC2 Instance Connect. Untuk informasi tentang AMI mana yang menyertakan EC2 Instance Connect dan cara menginstalnya pada AMI lain yang didukung AMIs, lihatMenginstal EC2 Instance Connect.
-
Anda dapat menetapkan grup keamanan ke EC2 Instance Connect Endpoint. Jika tidak, kami menggunakan grup keamanan default untuk VPC. Grup keamanan untuk Titik Akhir Connect Instans EC2 harus mengizinkan lalu lintas keluar ke instans tujuan. Untuk informasi selengkapnya, lihat Grup keamanan untuk EC2 Instans Connect Endpoint.
-
Anda dapat mengonfigurasi EC2 Instance Connect Endpoint untuk mempertahankan alamat IP sumber klien saat merutekan permintaan ke instans. Jika tidak, alamat IP antarmuka jaringan menjadi alamat IP klien untuk semua lalu lintas yang masuk.
-
Jika Anda mengaktifkan pelestarian IP klien, grup keamanan untuk instance harus mengizinkan lalu lintas dari klien. Selain itu, instans harus berada dalam VPC yang sama dengan EC2 Instance Connect Endpoint.
-
Jika Anda mematikan pelestarian IP klien, grup keamanan untuk instance harus mengizinkan lalu lintas dari VPC. Ini adalah opsi default.
-
Pelestarian IP klien hanya didukung pada IPv4 EC2 Instance Connect Endpoints. Untuk menggunakan pelestarian IP klien, jenis alamat IP dari EC2 Instance Connect Endpoint harus. IPv4 Pelestarian IP klien tidak didukung ketika jenis alamat IP adalah dual-stack atau. IPv6
-
Jenis contoh berikut tidak mendukung pelestarian IP klien: C1, CG1, CG2, G1, HI1, M1, M2, M3, dan T1. Jika Anda mengaktifkan pelestarian IP klien dan mencoba menyambung ke instans dengan salah satu jenis instans ini menggunakan EC2 Instance Connect Endpoint, koneksi akan gagal.
-
Pelestarian IP klien tidak didukung saat lalu lintas dirutekan melalui gateway transit.
-
-
Saat Anda membuat Titik Akhir Connect Instance EC2, peran yang ditautkan layanan akan dibuat secara otomatis untuk layanan Amazon EC2 di (IAM). AWS Identity and Access Management Amazon EC2 menggunakan peran tertaut layanan untuk menyediakan antarmuka jaringan di akun Anda, yang diperlukan saat membuat EC2 Instance Connect Endpoints. Untuk informasi selengkapnya, lihat Peran tertaut layanan untuk EC2 Instance Connect Endpoint.
-
Anda hanya dapat membuat 1 EC2 Instance Connect Endpoint per VPC dan per subnet. Untuk informasi selengkapnya, lihat Kuota untuk EC2 Instance Connect Endpoint. Jika Anda perlu membuat Endpoint Connect Instance EC2 lain di Availability Zone yang berbeda dalam VPC yang sama, Anda harus terlebih dahulu menghapus Titik Akhir Instance Connect EC2 yang ada. Jika tidak, Anda akan menerima kesalahan kuota.
-
Setiap EC2 Instance Connect Endpoint dapat mendukung hingga 20 koneksi bersamaan.
-
Durasi maksimum untuk koneksi TCP yang ditetapkan adalah 1 jam (3.600 detik). Anda dapat menentukan durasi maksimum yang diizinkan dalam kebijakan IAM, yang dapat mencapai 3.600 detik. Untuk informasi selengkapnya, lihat Izin untuk menggunakan EC2 Instance Connect Endpoint untuk menyambung ke instans.
Durasi koneksi tidak ditentukan oleh durasi kredenal IAM Anda. Jika kredensil IAM Anda kedaluwarsa, koneksi terus berlanjut hingga durasi maksimum yang ditentukan tercapai. Saat Anda tersambung ke instans menggunakan pengalaman konsol EC2 Instance Connect Endpoint, setel durasi terowongan Maks (detik) ke nilai yang kurang dari durasi kredensyal IAM Anda. Jika kredensil IAM Anda kedaluwarsa lebih awal, hentikan koneksi ke instans Anda dengan menutup halaman browser.
