[aws] EC2 Instance Connect Endpoint를 통해 private EC2 접속하기

안녕하세요 :)
EC2에 접속하기 위한 방법 중 하나인 EC2 Instance Connect Endpoint를 소개합니다.

---

EC2 Instance Connect Endpoint

EC2 Instance Connet Endpoint는 결국 VPC Endpoint 입니다. 이를 생성하게 되면 VPC 내부에 ENI가 생기게 되며 해당 ENI를 통해 private Instance에 22(SSH) 접속을 하게 되는 원리 입니다.
해당 원리를 가지고 있기 때문에, EC2 Instance Connet Endpoint의 보안그룹의 아웃바운드 룰과 접속할 EC2 Instace의 보안그룹의 인바운드 룰 설정이 중요합니다.

[제한 사항]

• 포트 22 및 3389만 지원됩니다.
• EC2 Instance Connect 엔드포인트는 IPv6 주소를 사용한 인스턴스 연결을 지원하지 않습니다.
• 클라이언트 IP 보존이 활성화되면 연결할 인스턴스는 EC2 Instance Connect 엔드포인트와 동일한 VPC에 있어야 합니다.
• 트래픽이 AWS Transit Gateway를 통해 라우팅되면 클라이언트 IP 보존이 지원되지 않습니다.
• C1, CG1, CG2, G1, G2, HI1, M1, M2, M3, T1의 인스턴스 유형은 클라이언트 IP 보존을 지원하지 않습니다. 이러한 인스턴스 유형을 사용하는 경우 preserveClientIp 파라미터를 false로 설정합니다. 그렇지 않으면 EC2 Instance Connect 엔드포인트를 사용하여 이러한 인스턴스 유형에 연결하려 하면 실패합니다.

---

EC2 Instance Connect Endpoint 생성하기

1) VPC Endpoint 생성

[VPC] - [Endpoints] - [Create endpoint] 를 클릭합니다.
아래 사진과 같이 설정해줍니다.

[참고] Preserve Client IP 옵션

Preserve Client IP 활성화 - 실제 Client IP로 연결을 시도합니다. 이 경우, EC2 Instance Connect 엔드포인트가 위치한 VPC에 Client가 위치해야 합니다.
Preserve Client IP 비활성화 - EC2 Instance Connect 엔드포인트의 ENI IP로 연결을 시도합니다. 이에, EC2 Instance Connect 엔드포인트가 위치한 VPC의 모든 인스턴스에 접근할 수 있습니다.

2) VPC Endpoint 보안그룹 설정

Outbound rule에 연결하고자 하는 EC2 인스턴스의 보안그룹을 22port에 대해 체이닝 합니다.

---

EC2 Instance 보안그룹 설정

Inbound rule에 VPC Endpoint에 설정한 보안그룹을 22port에 대해 체이닝 합니다.

---

결과 확인

 

 

---

참고) https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/create-ec2-instance-connect-endpoints.html

EC2 Instance Connect 엔드포인트 생성 - Amazon Elastic Compute Cloud

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/eice-security-groups.html#resource-security-group-rules

EC2 Instance Connect 엔드포인트 보안 그룹 - Amazon Elastic Compute Cloud