한 Amazon EC2 서버에서 다른 Amazon EC2 서버로 ssh해야 함


12

기본적으로 SSH를 사용하여 한 EC2 인스턴스에서 다른 EC2 인스턴스로 연결할 수 있어야합니다 . 명령을 실행하면 ssh -i path-to-pem-file ec2-user@dns-address-of-ec2-instance시간이 초과됩니다.

두 번째 EC2 인스턴스의 퍼블릭 IP 주소에서 SSH 인바운드를 허용하도록 보안 그룹을 설정했지만 여전히 작동하지 않습니다. SSH 인바운드 트래픽을 "어디서나 허용"으로 설정하면 아무 문제없이 연결할 수 있기 때문에 모든 것이 정상이어야한다는 것을 알고 있습니다. 또한 아무 문제없이 홈 시스템 (내 IP 주소를 보안 그룹에 추가)에서 EC2 인스턴스에 연결할 수 있습니다.

분명히 인바운드 트래픽을 "어디서나 허용"할 수는 없지만 두 번째 EC2 인스턴스의 IP 주소로만 제한하면 연결할 수없는 것 같습니다. 아마도 공개 IP 주소가 보안 그룹에 포함되어 있지 않은 것일 수 있습니다.


나는 또한 그것을 핑하는 것처럼 보이지 않는다; 시간이 초과되었습니다. 결과는 다음과 같습니다ssh -vv -i path-to-pem-file ec2-user@dns-address-of-ec2-instance

OpenSSH_6.2p2, OpenSSL 1.0.1h-fips 5 Jun 2014
debug1: Reading configuration data /home/ec2-user/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 50: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to dns-address [IP Address different from public ip] port 22.
debug1: connect to address [IP Address different from public ip] port 22: Connection timed out
ssh: connect to host dns-address port 22: Connection timed out

답변:


13

EC2 인스턴스는 내부 10.X.X.X주소 (또는 VPC를 사용하는 경우 다른 주소)를 사용하며 '공용'IP 주소로의 트래픽은 단순히 내부 IP 주소로 다시 라우팅됩니다. EC2 인스턴스는 공개적으로 액세스 할 수없는 다른 DNS 서버도 사용합니다. 다른 EC2 인스턴스의 호스트 이름을 확인하면 AWS 네트워크 내부에 있기 때문에 10.X.X.X퍼블릭 IP 주소 대신 인스턴스 주소를 제공합니다 . 이렇게하면 트래픽이 인터넷으로 나가거나 다시 들어 가지 않아도되므로 속도가 빨라집니다.

IP 주소로 화이트리스트를 작성할 수 있더라도 EC2 클래식 모드에서와 같이 내부 주소와 공개 주소가 모두 변경되는 것은 좋지 않습니다. 적절한 해결책은 보안 그룹별로 화이트리스트를 작성하는 것입니다. 기본적으로 대상 보안 그룹에 특정 원본 보안 그룹의 포트 22를 허용하는 규칙을 추가합니다.

두 인스턴스가 모두 같은 계정에 있으면 간단하게 허용 할 수 있습니다 sg-1234abcd( sg-1234abcd원본 인스턴스가 속한 보안 그룹은 어디에 있습니까 ). 계정이 다른 경우 계정 번호를 포함하십시오 (예 :) 111122223333/sg-1234abcd. 추가 정보는 설명서
참조하십시오 .


그것이 바로 내가 찾던 것입니다! 장애없이 작동합니다!
폼페이우스

서로 다른 계정의 보안 그룹에 대해 언급 할 때는 VPC를 피어링하여 참조 할 수 있도록해야합니다. 여기를 참조하십시오 : docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/...
보리스 Strandjev

완성을 위해 AWS가 인터넷에서 VPC로 들어오는 트래픽에 대해 요금을 청구한다고 말하고 싶지만 VPC 내부의 트래픽은 무료이므로 인터넷을 통하지 않는 것이 더 빠를뿐만 아니라 저렴합니다.
Blueriver
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.