Bir Amazon EC2 sunucusundan diğerine ssh gerekir


12

Temelde SSH kullanarak bir EC2 örneğinden diğerine bağlanabilmem gerekiyor . Komutu çalıştırıyorum ssh -i path-to-pem-file ec2-user@dns-address-of-ec2-instanceve zaman aşımına uğradı.

Güvenlik grubumu, ikinci EC2 örneğimin genel IP adresinden SSH gelen girişine izin verecek şekilde ayarladım, ancak yine de çalışmıyor. SSH gelen trafiğimi "her yerden izin ver" olarak ayarladığımda sorun olmadan bağlantı kurabildiğim için her şeyin iyi olması gerektiğini biliyorum. Ayrıca EC2 örneğine bir ev makinesinden (IP adresimi güvenlik grubuna ekledim) herhangi bir sorun olmadan bağlanabilirim.

Açıkçası, gelen trafiğimi "herhangi bir yerden izin ver" olarak açık bırakamıyorum, ancak ikinci EC2 örneğinin IP adresiyle sınırlandırdığımda bağlanamıyorum. Belki genel IP adresi güvenlik grubuna koymam gereken şey değil mi?


Ben de ping yapamıyorum; sadece zaman aşımına uğradı. İşte sonucussh -vv -i path-to-pem-file ec2-user@dns-address-of-ec2-instance

OpenSSH_6.2p2, OpenSSL 1.0.1h-fips 5 Jun 2014
debug1: Reading configuration data /home/ec2-user/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 50: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to dns-address [IP Address different from public ip] port 22.
debug1: connect to address [IP Address different from public ip] port 22: Connection timed out
ssh: connect to host dns-address port 22: Connection timed out

Yanıtlar:


13

EC2 bulut sunucuları dahili bir 10.X.X.Xadres (veya VPC kullanılıyorsa başka bir adres) kullanır ve 'genel' IP adreslerine giden trafik yalnızca dahili IP adresine yönlendirilir. EC2 örnekleri ayrıca herkese açık olarak erişilemeyen farklı bir DNS sunucusu kullanır. Diğer EC2 yönetim ortamının ana bilgisayar adını çözümlediğinizde, AWS ağı içinde olduğunuz için, size 10.X.X.Xgenel IP adresi yerine yönetim ortamının adresini verir. Bu, trafiğin internete girip tekrar girmesini engeller, bu da daha hızlı hale getirir.

IP adresine göre beyaz listeye girebilseniz bile, EC2 klasik modundaki gibi iyi bir fikir değildir, hem dahili hem de genel adresiniz değişebilir. Uygun çözüm, güvenlik grubuna göre beyaz listeye eklemektir. Temel olarak hedef güvenlik grubuna, belirli bir kökeni güvenlik grubundan 22 numaralı bağlantı noktasına izin vermeyi söyleyen bir kural eklersiniz.

Her iki örnek de aynı hesaptaysa, yalnızca izin verirsiniz sg-1234abcd( sg-1234abcdbaşlangıç ​​örneğinin üyesi olduğu güvenlik grubu nerede ). Farklı hesaplardalarsa, gibi hesap numarasını ekleyin 111122223333/sg-1234abcd. Ek bilgi için belgelere
bakın .


Mükemmel tam olarak aradığım şey bu! Sorunsuz çalışır!
Pompey

Farklı hesaplardaki güvenlik gruplarından bahsederken, bunlara başvurabilmeniz için VPC'ye bakmanız gerekir. Buraya bakın: docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/…
Boris Strandjev 20:17

Sadece tamamlanmak için, AWS'nin internetten bir VPC'ye gelen trafik için ücret aldığını eklemek istedim, ancak VPC içindeki trafik ücretsizdir, bu yüzden internetten geçmemek sadece daha hızlı değil, aynı zamanda daha ucuzdur.
Blueriver
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.