AWS Менеджер сессий SSM и Nat Gatway - PullRequest
Новая
       67

AWS Менеджер сессий SSM и Nat Gatway

0 голосов
/ 21 апреля 2020

Я создал экземпляр EC2 в частном su bnet (то есть к таблице маршрутов не подключен шлюз Inte rnet).

Таблица маршрутов, прикрепленная к частному su bnet маршрутов 0.0 .0.0 / 0 к шлюзу NAT.

Экземпляр EC2 имеет правильную роль SSM и отображается в списке управляемых экземпляров SSM.

Я могу инициировать сеанс на экземпляре с помощью диспетчера сеансов.

Однако, когда я удаляю сопоставление шлюза NAT из таблицы маршрутов, сеансовое соединение не соединяется.

Насколько я понимаю, NAT используется только для исходящего трафика c. Поэтому я предполагаю, что соединение диспетчера сеансов маршрутизируется через внутреннюю сеть AWS, а не через publi c inte rnet, поскольку экземпляр недоступен. Однако я не понимаю, почему экземпляр пытается перенаправить трафик c через publi c inte rnet. Возможно, я ожидал, что для регистрации себя в качестве управляемого экземпляра в SSM агенту SSM в этом экземпляре понадобится доступ inte rnet. Но я не понимаю, почему Session Manager требует, чтобы экземпляр имел доступ rnet inte?

Спасибо.

1 Ответ

0 голосов
/ 21 апреля 2020

Но я не понимаю, почему Session Manager требует от экземпляра доступа inte rnet?

SSM использует publi c endponts для подключиться к сервису SSM. Конечные точки используются для «программного подключения к услуге AWS». Единственный способ получить к ним доступ (без конечных точек интерфейса VP C) - использовать Inte rnet.

. Также агент SSM может использоваться с локальными экземплярами или виртуальными машинами. Таким образом, также требуется доступ Inte rnet для связи со службой SSM.

SSM должен быть в постоянном контакте со службой SSM. В противном случае это не будет veru usefl. Без Inte rnet вы не смогли бы, например, выполнить Run Commands, удерживать ваши экземпляры в заданном состоянии с помощью State Manger или собирать различные экземпляры телеметрии и инвентаризации. Таким образом, когда вы отключаете шлюз NAT, соединение inte rnet теряется, и агент SSM не может выполнять свою работу.

Если вам неудобно использовать Inte rnet через шлюз NAT для SSM, вы можете настроить SSM VP C сетевое чередование . Таким образом, ваши экземпляры в частных подсетях смогут обмениваться данными со службой SSM, не требуя доступа к Inte rnet. Все трафики c будут основаны на внутренней сети AWS.

...