あるAmazon EC2サーバーから別のサーバーにSSHする必要がある


12

基本的に、SSHを使用してEC2インスタンス間で接続できる必要があります。コマンドを実行するssh -i path-to-pem-file ec2-user@dns-address-of-ec2-instanceと、タイムアウトします。

2番目のEC2インスタンスのパブリックIPアドレスからのSSHインバウンドを許可するようにセキュリティグループを設定しましたが、それでも機能しません。SSHインバウンドトラフィックを「どこからでも許可」に設定すると問題なく接続できるため、すべてが問題ないことはわかっています。また、ホームマシンからEC2インスタンスに接続できます(セキュリティグループにIPアドレスを追加しました)。

明らかに、「どこからでも許可」するために受信トラフィックを開いたままにすることはできませんが、2番目のEC2インスタンスのIPアドレスのみに制限すると、接続できないようです。たぶん、パブリックIPアドレスは、セキュリティグループに入れるべきではありませんか?


私もpingできないようです。タイムアウトするだけです。これはの結果ですssh -vv -i path-to-pem-file ec2-user@dns-address-of-ec2-instance

OpenSSH_6.2p2, OpenSSL 1.0.1h-fips 5 Jun 2014
debug1: Reading configuration data /home/ec2-user/.ssh/config
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 50: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to dns-address [IP Address different from public ip] port 22.
debug1: connect to address [IP Address different from public ip] port 22: Connection timed out
ssh: connect to host dns-address port 22: Connection timed out

回答:


13

EC2インスタンスは内部10.X.X.Xアドレス(またはVPCを使用している場合は他のアドレス)を使用し、「パブリック」IPアドレスへのトラフィックは内部IPアドレスに再ルーティングされるだけです。EC2インスタンスは、パブリックにアクセスできない別のDNSサーバーも使用します。他のEC2インスタンスのホスト名を解決すると、AWSネットワーク内にいるため10.X.X.X、パブリックIPアドレスではなくインスタンスのアドレスが表示されます。これにより、トラフィックがインターネットに出入りする必要がなくなり、高速になります。

IPアドレスでホワイトリストを作成できたとしても、EC2クラシックモードのようにこれは良いアイデアではありません。内部アドレスとパブリックアドレスの両方が変更される可能性があります。適切な解決策は、セキュリティグループごとにホワイトリストに登録することです。基本的に、特定の送信元セキュリティグループからのポート22を許可するというルールを宛先セキュリティグループに追加します。

両方のインスタンスが同じアカウントにある場合、許可するだけですsg-1234abcd(ここでsg-1234abcd、元のインスタンスがメンバーであるセキュリティグループ)。アカウントが異なる場合は、などのアカウント番号を含めます111122223333/sg-1234abcd
詳細については、ドキュメントを参照してください。


まさにそれが私が探していたものです!滞りなく動作します!
ポンペイ14

異なるアカウントのセキュリティグループといえば、それらを参照できるようにVPCピアリングを行う必要があります。ここを参照してください:docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/...
ボリスStrandjev

完了のために、AWSがインターネットからVPCへの着信トラフィックに対して課金することを追加したかったのですが、VPC内のトラフィックは無料であるため、インターネットを経由しない方が高速であるだけでなく安価でもあります。
Blueriver
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.