AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

如何建立 Amazon VPC 端點以便使用 Systems Manager 在沒有網際網路存取時管理私有 Amazon EC2 執行個體？

2 分的閱讀內容

我的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體沒有網際網路存取。我想建立 Amazon Virtual Private Cloud (Amazon VPC) 端點，以使用 AWS Systems Manager 管理我的執行個體。

解決方法

若要管理沒有網際網路存取的 EC2 執行個體，請將 Systems Manager 設定為使用 AWS PrivateLink 上的 VPC 介面端點。

為 Systems Manager 建立 IAM 執行個體設定檔

**注意：**如果您使用預設主機管理組態來管理執行個體，則不需要建立 IAM 執行個體設定檔來管理執行個體。

請完成下列步驟：

確認您已在執行個體上安裝 AWS Systems Manager Agent (SSM Agent)。
建立一個 AWS Identity and Access Management (IAM) 執行個體設定檔，並新增所需的權限。
**注意：**您可以建立新的角色，或將權限新增到現有角色。
將 IAM 角色連接至您的執行個體。
開啟 Amazon EC2 console (Amazon EC2 主控台)。
在導覽窗格中，選擇 Instances (執行個體)，然後選取您的執行個體。
選擇 Description (描述) 索引標籤，然後記下 VPC ID 與子網路 ID，以便在後續步驟中使用。

建立或修改安全群組

建立一個安全群組，或修改現有的安全群組以設定傳入與傳出規則。安全性群組必須允許連接埠 443 上傳送到 VPC 端點的輸出流量。安全群組也必須允許從 VPC 中與服務通訊的資源傳入的 HTTPS (連接埠 443) 流量。在 Inbound rules (傳入規則) 中，將類型選擇為 HTTPS。在 Source (來源) 中，選取您 VPC 的 CIDR 區塊。對於進階組態，允許 VPC 中特定子網路的 CIDR 區段，或允許您的執行個體使用的安全群組。

將安全性群組新增至您的執行個體。接著，將該安全群組與 VPC 端點建立關聯。如需相關資訊，請參閱不同使用案例的安全群組規則。

為 Systems Manager 建立並設定 VPC 端點

**注意：**VPC 端點會對應至特定子網路。如果您在建立 VPC 端點時選取多個子網路，則 Amazon VPC 會為每個選取的子網路建立一個端點。每個端點都會產生費用。

請完成下列步驟：

建立 VPC 端點。
在 Service name (服務名稱)，選取 com.amazonaws.[region].ssm。**注意：**如需 AWS 區域代碼清單，請參閱可用 AWS 區域。
在 VPC 中，選取您執行個體的 VPC。
**注意：**在 Additional settings (其他設定)，保留預設選項 Enable DNS name (啟用 DNS 名稱)。
在 Subnets (子網路) 中，從相同區域內的不同可用區域選取至少兩個 VPC 子網路。
**注意：**如果同一可用區域中有多個子網路，則無需為額外的子網路建立 VPC 端點。同一可用區域內的其他子網路都可以存取和使用該介面端點。
在 Security group (安全群組) 中，選取您的安全群組。
(選用) 對於進階設定，請為 Systems Manager 建立介面 VPC 端點政策。
**注意：**VPC 端點需要 AWS 提供的 DNS (VPC CIDR+2)。如果您使用自訂 DNS，請使用 Amazon Route 53 Resolver 進行正確的名稱解析。
選擇 Create endpoint (建立端點)。

重複上述步驟，為 com.amazonaws.[region].ssmmessages 以及 com.amazonaws.[region].ec2messages 建立端點。

對於 SSM Agent 3.3.40.0 版及更新版本，Systems Manager 會在可用時使用 ssmmessages:* 端點，而不是 ec2messages:* 端點。如需詳細資訊，請參閱代理程式相關 API 作業 (ssmmessages 和 ec2messages 端點) 中的端點連線優先順序一節。

**注意：**完成設定後，執行個體可能需要幾分鐘才能註冊為受管執行個體。若要立即連線 SSM 代理程式，請重新啟動執行個體中的 SSM 代理程式，或重新啟動該執行個體。

若要確認您的執行個體是受管執行個體，請完成下列步驟：

開啟 Systems Manager console (Systems Manager 主控台)。
在導覽窗格中，選擇「Fleet Manager」。
確認您的執行個體 ID 已列在 Node ID (節點 ID) 下，且該節點處於執行中狀態。

如果您遇到問題，請參閱為什麼 Systems Manager 沒有將我的 Amazon EC2 執行個體顯示為受管執行個體？

如果您沒有使用預設工作階段偏好設定，請建立下列 VPC 端點以使用 AWS Systems Manager 的 Session Manager 功能：

如果您針對 Run Command 使用 Amazon Simple Storage Service (Amazon S3) 日誌記錄 (一項 Systems Manager 功能)，請建立 com.amazonaws.region.s3 閘道端點。
如果您針對 Session Manager 使用 AWS Key Management Service (KMS) 加密，請建立 com.amazonaws.region.kms 端點。
如果您針對 Run Command 使用 Amazon CloudWatch Logs，則為您的區域建立服務端點。

將執行個體連線到 Session Manager 不需要 VPC 端點。但是，建立 Windows 磁碟區陰影複製服務 (VSS) 型執行個體快照需要 VPC 端點。

相關資訊

AWS Systems Manager 端點和配額

設定 AWS Systems Manager

主題: Management & Governance
標籤: AWS Systems Manager
語言: 中文 (繁體)