使用 EC2 Instance Connect 进行连接
以下说明介绍如何使用 EC2 Instance Connect 连接到 Linux 实例。
在使用 EC2 Instance Connect 连接到实例之前,请确保您已完成先决条件。
决定使用哪个连接选项。要使用的连接选项取决于您的实例是否具有公有 IPv4 地址:
-
Amazon EC2 控制台 - 要使用 Amazon EC2 控制台进行连接,实例必须具有公有 IPv4 地址。
-
SSH 客户端 - 如果实例没有公有 IP 地址,则可以使用 SSH 客户端通过私有网络连接到实例。例如,您可以从同一 VPC 内,或通过 VPN 连接、Transit Gateway 或 Amazon Direct Connect 进行连接。
EC2 Instance Connect 不支持使用 IPv6 地址进行连接。
使用 Amazon EC2 控制台连接
您可以在控制台中选择实例,然后选择使用 EC2 Instance Connect 进行连接,从而使用 Amazon EC2 控制台连接到实例。Instance Connect 处理权限并提供成功的连接。
要使用 Amazon EC2 控制台进行连接,实例必须具有一个公有 IPv4 地址。
从 Amazon EC2 控制台使用基于浏览器的客户端连接到您的实例
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择实例。
-
选择实例,然后选择连接。
-
选择 EC2 Instance Connect。
-
验证用户名并选择连接以打开终端窗口。
使用您自己的密钥和 SSH 客户端进行连接
您可以使用自己的 SSH 密钥,并在使用 EC2 Instance Connect API 时从您选择的 SSH 客户端连接到您的实例。这使您能够从将公有密钥推送到实例的 Instance Connect 功能中受益。此连接方法适用于具有公有和私有 IP 地址的实例。
要求
-
密钥对的要求
-
支持的类型:RSA(OpenSSH 和 SSH2)和 ED25519
-
支持的长度:2048 和 4096
-
有关更多信息,请参阅使用第三方工具创建密钥对,并将公有密钥导入 Amazon EC2。
-
-
当连接到仅具有私有 IP 地址的实例时,启动 SSH 会话的本地计算机必须连接到 EC2 Instance Connect 服务终端节点(将 SSH 公钥推送到实例)以及到实例的私有 IP 地址的网络连接,才能建立 SSH 会话。EC2 Instance Connect 服务终端节点可以通过互联网或 Amazon Direct Connect 公共虚拟接口访问。要连接到实例的私有 IP 地址,您可以利用 Amazon Direct Connect
、Amazon Site-to-Site VPN 或 VPC 对等连接等服务。
使用您自己的密钥和任何 SSH 客户端连接到实例
-
(可选)生成新的 SSH 私有密钥和公有密钥
您可以使用以下命令生成新的 SSH 私有密钥和公有密钥(
my_key和my_key.pub):$ssh-keygen -t rsa -f my_key -
将 SSH 公有密钥推送到实例
使用 send-ssh-public-key 命令可将 SSH 公有密钥推送到实例。如果使用 Amazon Linux 2023 或 Amazon Linux 2 启动实例,则 AMI 的默认用户名是
ec2-user。如果使用 Ubuntu 启动实例,则 AMI 的默认用户名是ubuntu。以下示例将公有密钥推送到指定的可用区中的指定实例,以对
ec2-user进行身份验证。$aws ec2-instance-connect send-ssh-public-key \ --regionus-west-2\ --availability-zoneus-west-2b\ --instance-idi-001234a4bf70dec41EXAMPLE\ --instance-os-userec2-user\ --ssh-public-key file://my_key.pub -
使用私有密钥连接到实例
从实例元数据中删除公有密钥之前,可以使用 ssh 命令通过私有密钥连接到实例(在 60 秒后删除)。指定与公有密钥对应的私有密钥、用于启动实例的 AMI 的默认用户名以及实例的公有 DNS 名称(如果通过私有网络连接,请指定私有 DNS 名称或 IP 地址)。添加
IdentitiesOnly=yes选项以确保仅使用 ssh config 中的文件和指定的密钥进行连接。$ssh -o "IdentitiesOnly=yes" -imy_keyec2-user@ec2-198-51-100-1.compute-1.amazonaws.com
借助 Amazon CLI,使用 EC2 Instance Connect 连接到 Linux 实例
如果您知道实例 ID,则可以使用 Amazon EC2 Instance Connect 通过 SSH 客户端连接到您的实例。如果您未指定连接类型,EC2 Instance Connect 会自动尝试连接到实例的公有 IPv4 地址。如果您的实例没有公有 IPv4 地址,则 EC2 Instance Connect 会尝试通过 EC2 Instance Connect Endpoint 连接到实例的私有 IPv4 地址。如果您的实例没有私有 IPv4 地址或者您的 VPC 没有 EC2 Instance Connect Endpoint,则 EC2 Instance Connect 会尝试连接到实例的 IPv6 地址。
在您连接此方法之前,,请确保您已配置 Amazon CLI,包括它使用的凭证,并确保您使用的是最新版本的 Amazon CLI。有关更多信息,请参阅 Amazon Command Line Interface 用户指南中的安装或更新最新版本的 Amazon CLI和配置 Amazon CLI。
连接类型
auto(默认值)-
CLI 尝试按以下顺序使用实例的 IP 地址并使用相应的连接类型进行连接:
-
公有 IPv4:
direct -
私有 IPv4:
eice -
IPv6:
direct
-
direct-
CLI 尝试按以下顺序使用实例的 IP 地址进行连接(它不通过 EC2 Instance Connect Endpoint 进行连接):
-
公有 IPv4
-
IPv6
-
私有 IPv4
-
eice-
CLI 始终使用实例的私有 IPv4 地址。
注意
将来,我们可能会更改 auto 连接类型的行为。为确保使用所需的连接类型,我们建议您将 --connection-type 明确设置为 direct 或 eice。
在使用 EC2 Instance Connect 连接到实例时,EC2 Instance Connect API 会将一个 SSH 公有密钥推送到实例元数据并在其中保留 60 秒。附加到用户的 IAM policy 会授权用户将公有密钥推送到实例元数据。有关 EC2 Instance Connect 的更多信息,请参阅 使用 EC2 Instance Connect 连接到 Linux 实例。
要使用实例 ID 连接到实例
如果您只知道实例 ID,并想让 EC2 Instance Connect 确定连接到您的实例时要使用的连接类型,请使用 ec2-instance-connect CLI 并指定 ssh 命令和实例 ID。
aws ec2-instance-connect ssh --instance-idi-1234567890example
要使用实例 ID 和 EC2 Instance Connect Endpoint 连接到实例
如果您想通过 EC2 Instance Connect Endpoint 连接到您的实例,请使用前面的命令并通过 eice 值指定 --connection-type 参数。
aws ec2-instance-connect ssh --instance-idi-1234567890example--connection-type eice
要使用实例 ID 和您自己的私有密钥文件连接到实例
如果您想使用自己的私有密钥通过 EC2 Instance Connect Endpoint 连接到您的实例,请指定实例 ID 和私有密钥文件的路径。不要在路径中包含 file://;以下示例将会失败:file:///path/to/key。
aws ec2-instance-connect ssh --instance-idi-1234567890example--private-key-file/path/to/key.pem
问题排查
如果您在尝试连接到实例时遇到错误,请参阅下文: