目次
概要
こんにちは、SRE課の栩野です。
先月リリースされたEC2 Instance Connect Endpoint(EIC エンドポイント)を使ってみたので、使い方についてブログにしてみます。
これまではプライベートサブネットのEC2に接続する場合、パブリックに踏み台EC2を作成して経由するか、SSM用のエンドポイントを作成しセッションマネージャでの接続方法がありました。
踏み台の場合はEC2の利用料、セッションマネージャの場合はSSMエンドポイントまたはNat Gatewayの利用料がかかりましたが、EICエンドポイントは無償で利用可能とのことです!
プライベートサブネットにあるEC2への接続比較
それぞれの接続方法について簡単に比較してみます。
| メリット | デメリット | |
|---|---|---|
| 踏み台 | カスタマイズ性が高い | 踏み台の運用が必要 踏み台自体にセキュリティの懸念 EC2の利用料 |
| SSM | SSHポートの開放が不要 ログ管理が手軽 エンドポイントの冗長化が可能 SSMで色々出来る |
SSMエージェントが必要 Nat GatewayまたはSSMエンドポイントが必要 上記利用料 |
| EICエンドポイント | Amazon Linux 2とUbuntu 20.04以降はECIエンドポイントの作成のみで利用可能 EICエンドポイントが無償 |
1VPCあたり1エンドポイント等の制限事項 エンドポイントの冗長構成が不可 対象OS以外はセットアップが複雑 |
それぞれメリット・デメリットがありますが、小規模な案件でEIC対応のOSであれば、EICエンドポイントで十分問題なさそうです。
使ってみる
前提
実際にEICエンドポイント経由でプライベートサブネットのEC2に接続してみます。
下記画像の赤枠部分を作っていきます。
(画像参照元)EC2 Instance Connect Endpoint を使用した、パブリック IPv4 アドレスを必要としないインスタンスへの接続
前提として、VPC・サブネット・EC2(Amazon Linux 2最新)は既に準備済みで、IAMには必要な権限が付与されている想定になります。
EICエンドポイント作成手順
- セキュリティグループの作成
EICエンドポイントにアタッチするセキュリティグループとEC2にアタッチするセキュリティグループと2つ必要になります。
設定内容は下記の通りです。
- ECIエンドポイント用
| IPバージョン | タイプ | プロトコル | ポート範囲 | 送信先 | |
|---|---|---|---|---|---|
| アウトバウンド | IPv4 | SSH | TCP | 22 | 0.0.0.0/0 |
※インバウンドは設定不要
- EC2用
| IPバージョン | タイプ | プロトコル | ポート範囲 | 送信先 | |
|---|---|---|---|---|---|
| インバウンド | IPv4 | SSH | TCP | 22 | EICエンドポイント用セキュリティグループ |
※アウトバウンドはデフォルトのまま
- EICエンドポイントの作成
AWSマネジメントコンソールのVPCの設定画面から、エンドポイントを選択し、EICエンドポイントを作成します。
エンドポイント設定で、名前は任意で設定し、カテゴリでは[EC2 Instance Connect Endpoint]を選択します。
VPCでは接続対象となるEC2が稼働するVPCを選択します。
※Preserve Client IPにチェックを入れた場合は、接続元の拠点IPアドレスがそのままEC2に渡る形となるため、接続元拠点のIPアドレスを使って、セキュリティグループで制御が可能となります。
セキュリティグループでは、先ほど作成したEICエンドポイント用のセキュリティグループを選択します。
サブネットは任意のプライベートサブネットを一つ選択し、タグも任意で設定します。
問題なければ、[エンドポイントを作成]でOKです。
接続
最後にAWSマネジメントコンソールからEC2に接続してみます。
EC2のサービス画面から、対象EC2にチェックを入れ[接続]をクリックします。
EC2 Instance Connectのタブから[EC2 Instance Connect エンドポイントを使用して接続する]を選択し、[EC2 Instance Connect エンドポイント]で先ほど作成したEICエンドポイントを選択します。
無事にプライベートサブネットのEC2に接続が出来ました!
さいごに
EICエンドポイントとても便利です...!
今回はブラウザからの接続でしたが、ターミナルソフトからのEIC接続も可能なので、その方法も次回記事にしてみようと思います。
以上、最後まで見ていただきありがとうございました。
運用サービス課 課長
運用・監視の設計から導入まで、運用サービスを担当してます。
運用監視やセキュリティ関連の話題に興味があるので、そのあたりのブログを多めで投稿していきたいと思ってます。
LINK
クラウドベリージャム:プロフィールページ