AWS SSM Session Manager и Нат Гэтвей

Question

AWS SSM Session Manager и Нат Гэтвей

Я создал экземпляр EC2 в частной подсети (т. Е. К таблице маршрутов не подключен интернет-шлюз).

Таблица маршрутизации, прикрепленная к частной подсети, направляет 0.0.0.0/0 к шлюзу NAT.

Экземпляр EC2 имеет правильную роль SSM и отображается в списке управляемых экземпляров SSM.

Я могу инициировать сеанс на экземпляре через диспетчер сеансов.

Однако, когда я удаляю сопоставление шлюза NAT из таблицы маршрутов, сеансовое соединение не устанавливается.

Насколько я понимаю, NAT предназначен только для исходящего трафика. Поэтому я предполагаю, что соединение Session Manager маршрутизируется через внутреннюю сеть AWS, а не через общедоступный Интернет, потому что экземпляр недоступен. Однако я не понимаю, почему экземпляр пытается маршрутизировать трафик через общедоступный Интернет. Я ожидал, что, возможно, для регистрации себя в качестве управляемого экземпляра с SSM агенту SSM на экземпляре потребуется доступ в Интернет. Но я не понимаю, почему диспетчер сеансов требует, чтобы у экземпляра был доступ в Интернет?

Спасибо.

7

amazon-web-services ssm aws-nat-gateway

Источник

user3936969 21 апр '20 в 11:27

1 ответ

Другие вопросы по тегам amazon-web-services ssm aws-nat-gateway

user248823 21 апр '20 в 12:18 2020-04-21 12:18 · Answer 1 · 2020-04-21 12:18

Но я не понимаю, почему диспетчер сеансов требует, чтобы у экземпляра был доступ в Интернет?

SSM использует общедоступные конечные точки для подключения к службе SSM. Конечные точки используются для "программного подключения к сервису AWS". Единственный способ получить к ним доступ (без оконечных точек интерфейса VPC) - использовать Интернет.

Также агент SSM можно использовать с локальными экземплярами или виртуальными машинами. Таким образом, для связи со службой SSM также требуется доступ в Интернет.

SSM должен быть в постоянном контакте со службой SSM. В противном случае это не было бы действительно полезным. Без Интернета вы не смогли бы, например, выполнитьRun Commands, поддерживайте ваши экземпляры в заданном состоянии с помощью State Mangerили собрать различные телеметрические данные и инвентаризацию экземпляров. Таким образом, после отключения шлюза NAT интернет-соединение теряется, и агент SSM не может выполнять свою работу.

Если вам неудобно использовать Интернет через шлюз NAT для SSM, вы можете настроить сетевое чередование SSM VPC. Таким образом, ваши экземпляры в частных подсетях смогут связываться со службой SSM, не требуя доступа в Интернет. Весь трафик будет основан на внутренней сети AWS.