本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
打开隧道并启动与远程设备的 SSH 会话
在这些教程中,您将学习如何远程访问防火墙后面的设备。您无法启动到设备的直接 SSH 会话,因为防火墙阻止所有入站流量。这些教程介绍如何打开隧道,然后使用该隧道启动到远程设备的 SSH 会话。
教程的先决条件
运行本教程的先决条件可能会有所不同,具体取决于您使用手动设置方法还是快速设置方法来打开隧道和访问远程设备。
注意
对于这两种设置方法,您必须都允许端口 443 上的出站流量。
-
有关快速设置方法教程的先决条件的信息,请参阅快速设置方法的先决条件。
-
有关手动设置方法教程的先决条件的信息,请参阅手动设置方法的先决条件。如果使用此设置方法,必须在源设备上配置本地代理。要下载本地代理源代码,请参阅上的本地代理参考实现 GitHub
。
隧道设置方法
在这些教程中,您将学习打开隧道和连接到远程设备的手动设置方法和快速设置方法。下表显示了这两种安装方法之间的差异。创建隧道后,您可以使用浏览器内命令行界面通过 SSH 连接到远程设备。如果放错了令牌或隧道断开连接,可以发送新的访问令牌以重新连接到隧道。
| 标准 | 快速设置 | 手动设置 |
|---|---|---|
| 创建隧道 | 使用默认的可编辑配置创建新隧道。要访问远程设备,只能使用 SSH 作为目标服务。 | 通过手动指定隧道配置来创建隧道。可以使用此方法通过 SSH 以外的服务连接到远程设备。 |
| 访问令牌 | 如果在创建隧道时指定了事物名称,则目标访问令牌将通过预留的 MQTT 主题自动传送到您的设备。您无需在源设备上下载或管理令牌。 | 您必须在源设备上手动下载或管理令牌。如果在创建隧道时指定了事物名称,则目标访问令牌将通过预留的 MQTT 主题自动传送到远程设备。 |
| 本地代理 | 系统会自动为您配置基于 Web 的本地代理,用于与设备进行交互。您不必手动配置本地代理。 | 您必须手动配置和启动本地代理。要配置本地代理,您可以使用 Amazon IoT 设备客户端,也可以在上下载本地代理参考实现 GitHub |
Amazon IoT 控制台中的隧道创建方法
本节中的教程介绍如何使用 Amazon Web Services Management Console
和 OpenTunnelAPI 创建隧道。如果您在创建隧道时配置了目标,则 Amazon IoT 安全隧道将通过 MQTT 和保留的 MQTT 主题将目标客户端访问令牌传送到远程设备,)。$aws/things/RemoteDeviceA/tunnels/notify收到 MQTT 消息后,远程设备上的 IoT 代理会以目标模式启动本地代理。有关更多信息,请参阅 保留的主题。
注意
如果要通过另一种方法将目标客户端访问令牌传送到远程设备,则可以省略目标配置。有关更多信息,请参阅 配置远程设备和使用 IoT 代理。
在 Amazon IoT 控制台中,您可以使用以下任一方法创建隧道。有关可帮助您了解如何使用这些方法创建隧道的教程的信息,请参阅本部分中的教程。
-
隧道中心
创建隧道时,您可以指定是使用快速设置方法还是手动设置方法来创建隧道,并提供可选的隧道配置详细信息。配置详细信息还包括目标设备的名称和要用于连接设备的服务。创建隧道后,您可以在浏览器中使用 SSH,也可以在 Amazon IoT 控制台之外打开终端来访问您的远程设备。
-
事物详细信息页面
创建隧道时,除了选择设置方法和提供任何可选的隧道配置详细信息外,还可以指定是使用最新的开放隧道,还是为设备创建新隧道。您无法编辑现有隧道的配置详细信息。您可以使用快速设置方法在浏览器中将访问令牌和 SSH 轮换到远程设备中。要使用此方法打开隧道,您必须在 Amazon IoT 注册表中创建了物联网事物(例如
RemoteDeviceA)。有关更多信息,请参阅在注册表中 Amazon IoT 注册设备。