安全隧道的工作原理 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

安全隧道的工作原理

下面显示了安全隧道如何在源设备和目标设备之间建立连接。有关客户端访问令牌 (CAT) 等不同术语的信息,请参阅 安全隧道概念

  1. 打开隧道

    若要打开隧道来启动与远程目标设备的会话,可以使用 Amazon Web Services Management Console、Amazon CLI open-tunnel 命令或 OpenTunnel API

  2. 下载客户端访问令牌对

    打开隧道后,您可以下载源和目标的客户端访问令牌 (CAT) 并将其保存在源设备上。在启动本地代理之前,必须先检索 CAT 并立即保存。

  3. 在目标模式下启动本地代理

    已安装且正在目标设备上运行的 IoT 代理,会订阅 MQTT 预留主题 $aws/things/thing-name/tunnels/notify 并接收 CAT。此处的 thing-name 是您为目标创建的 Amazon IoT 事物的名称。有关更多信息,请参阅安全隧道主题

    然后,IoT 代理使用 CAT 在目标模式下启动本地代理,再在隧道的目标端设置连接。有关更多信息,请参阅IoT 代理代码段

  4. 在源模式下启动本地代理

    隧道打开后,Amazon IoT Device Management 会提供可在源设备上下载的源的 CAT。您可以使用 CAT 在源模式下启动本地代理,然后连接隧道的源端。有关本地代理的更多信息,请参阅 本地代理

  5. 打开 SSH 会话

    由于隧道的两端都已连线,您可以使用源端的本地代理来开启 SSH 会话。

有关如何使用 Amazon Web Services Management Console 打开隧道及开启 SSH 会话,请参阅 打开隧道并启动与远程设备的 SSH 会话

以下视频不仅会介绍安全隧道的工作原理,还会全程指导您设置与 Raspberry Pi 设备的 SSH 会话。