踏み台EC2を廃止してSession Manager接続に置き換えました

こんにちは、エウレカ SRE チームの原田です。 今年 (2021年) エウレカでは、公開鍵認証で接続するEC2の踏み台サーバを廃止し、代わりに各サーバへの接続をIAMで認証できるSSM Session Managerへのリプレースを行いました。本記事ではそのモチベーションや、実装のポイントを紹介していきたいと思います。 旧来の踏み台サーバ 旧来の踏み台サーバエウレカで長く運用されていた踏み台サーバ (Gateway) は以下のようなものでした。 各開発者は、自分の秘密鍵を使って踏み台サーバへSSHを行う ( 踏み台サーバ上には各開発者の個別ユーザーおよび公開鍵が登録されている )踏み台上では、接続が許可されているSSH対象のサーバの秘密鍵がユーザー毎に配置されており、その鍵で各サーバにSSHするMySQL / Elasticsearch / Redis など、Private Subnet

[dot]

自分もSSH over SSMだけど踏台からSSM運用に変えた。クッソ便利だけどscpとかは10倍くらい遅くなった。流石にインスタンスidは覚えられないので、tag:Nameにサーバ名入れて、sshではtag:Nameを引いてアクセスするようにしてる。

[tettekete37564]

こういうのやりたい場合って AWS VPN 使うのかと思ってた。関係ないけど SSO より sts:AssumeRole 設定した方がコンソール切り替え楽。

[momonga_dash]

AWSの認定試験の問題、踏み台鯖からSSMに変えろってめっちゃ言うてくる

[door-s-dev]

鍵の変更めんどいから気になるけど、こっちはこっちでAWSの権限管理が大変そうな気がしてて悩む

[efcl]

SSM Session Manager で踏み台サーバをなくす話

[kakku22]

DB GUI Client サポートなるほど！

[kiririmode]

SSMを使うことで踏み台EC2を廃止する構成。Datastoreと接続するためにECS上にssm agentを導入したコンテナを配置。GUIクライアントからの接続はsocatでtcpリレー。

[queeuq]

SSM便利だよね。

[posbin]

“Session Manager”

[greencoffeemaker]

これちゃんと理解しておきたい

[tomoakinagahara]

鍵認証してたら、そもそも踏み台サーバー要らなくない？特定のIPアドレス以外をドロップすれば完璧。

[ya--mada]

構成図がよくわからん。後で調べる。

[clubman023]

いいね

[vesikukka]

似た構成を考えたが踏み台EC2の気楽さに勝てない。

[bonlife]

これを当たり前にしていきたい。この記事をきっかけに socat も覚えました。サンキュです。