APD*_*APD 7 amazon-web-services ssm aws-nat-gateway
我已在私有子网中创建了一个 EC2 实例(即路由表没有附加 Internet 网关)。
附加到私有子网的路由表将 0.0.0.0/0 路由到 NAT 网关。
EC2 实例具有正确的 SSM 角色并显示在 SSM 托管实例列表中。
我可以通过会话管理器在实例上启动会话。
但是,当我从路由表中删除 NAT 网关映射时,会话连接无法连接。
我的理解是 NAT 仅用于传出流量。因此,我假设会话管理器连接是通过内部 AWS 网络而不是公共互联网路由的,因为该实例无法访问。但是我不明白为什么该实例试图通过公共互联网路由流量。我原本预计,要将自身注册为 SSM 托管实例,实例上的 SSM 代理将需要互联网访问。但我不明白为什么会话管理器会要求实例具有互联网访问权限?
谢谢。
但我不明白为什么会话管理器会要求实例具有互联网访问权限?
SSM 使用公共端点连接到 SSM 服务。端点用于“以编程方式连接到AWS服务”。访问它们的唯一方法(无需 VPC 接口端点)是使用 Internet。
SSM 代理还可以与本地实例或虚拟机一起使用。因此,它还需要访问互联网才能与 SSM 服务进行通信。
SSM 必须与 SSM 服务部门保持持续联系。否则它不会很有用。如果没有互联网,您将无法通过收集各种实例遥测数据和清单来执行Run Commands、保持实例处于预定义状态。State Manager因此,一旦您断开 NAT 网关的连接,互联网连接就会丢失,SSM 代理将无法执行其工作。
如果您不习惯通过 SSM 的 NAT 网关使用 Internet,您可以设置 SSM VPC 网络接口。这样,您的私有子网中的实例将能够与 SSM 服务进行通信,而无需访问 Internet。所有流量都将基于内部 AWS 网络。
| 归档时间: |
|
| 查看次数: |
4559 次 |
| 最近记录: |