【AWS】踏み台サーバ経由でプライベートサブネット上のEC2にアクセスする(linux)

以前別記事にてLinuxのEC2にSSH接続する方法を解説しましたが、その記事ではEC２がパブリックサブネット上に存在する公開サーバである前提でした。

Yone IT Note

2022.08.27

【AWS】linux EC2にWindowsからSSHで接続する

AWS上にlinuxサーバを立ち上げた場合、ローカルPCからEC2へのアクセス方法はいろいろあるようです。この記事ではローカルのWindowsPCからlinuxEC2にSSH接続する方法を２つ解説します。 EC2ダッシュボードから『EC2 Instance Connect』を使ってLinuxEC2にSSH接続する方法 SSHクライアント（TeraTerm）を使ってLinuxEC2にSSH接続する方法前提前準備として以下は完了している状態とします。AWS AWS上でEC2(Linux)の作成、起動 キーペアの作成、割り当て、ダウンロード今回はRSAを作成。ED25519でも多分やること変わらない。 セキュリ…

残念ながらプライベートサブネット上のEC２には外部から直接SSH接続することはできません。一旦パブリックEC２に接続し、パブリックEC２からプライベートEC２に接続する必要があります。（この時経由地となるパブリックEC２は踏み台サーバと呼ばれます）

今回は公開サーバ(Linux)を踏み台としてプライベートサブネット上にある非公開サーバ(Linux)に接続する方法を解説します。

前提

前準備として以下は完了している状態とします。

AWS

• パブリックおよびプライベートサブネット上のEC2(Linux)の作成、起動
• 各EC2のキーペアの作成、割り当て、プライベートキーファイル(pem)のダウンロード
  キーペアは各EC２で同じものでよいです
• セキュリティグループのインバウンドでSSHを許可(EC2二つとも）
  （インスタンス生成時に
  ※ソースは絞れるなら絞ってもOK
• パブリック側のEC2にはパブリックIPv4アドレスを割り当てる
  (インスタンス生成時に『パブリックIPの自動割り当て』を有効化）

踏み台サーバ経由でプライベートEC2に接続する(Linux)

本記事ではTeraTermを使用してローカルPCから接続を行います。

そもそもの概要（興味ない人は飛ばしておｋ）

EC2にリモート接続する場合、クライアント側（接続する側）がプライベートキーファイル(pem)を持っている必要があります。プライベートキーファイルを使って自分がサーバ（接続される側）に繋いで良い端末であることを証明するわけです。

接続する側（クライアント）にプライベートキーファイル(pem)が必要

これは、踏み台サーバから非公開サーバに接続するときも同様です。この際にも踏み台サーバが非公開サーバのプライベートキーファイル(pem)を持っている必要があります。

踏み台サーバが非公開サーバ接続用のプライベートキーファイル(pem)を持っている必要がある。

なので、事前にローカルPCから踏み台サーバに非公開サーバのプライベートキーファイル(pem)を渡してあげる必要があります。

全体でみると以下の通りです。

最初に非公開サーバに接続する前に、踏み台サーバに非公開サーバ用プライベートキーファイル(pem)を保存しておく。次回以降は保存済みのキーファイルを使用する。

踏み台サーバ経由で接続する手順

１．ローカルPCから踏み台サーバにSSHで接続

まずはローカルPCから踏み台サーバ（公開サーバ）にSSH接続を行います。接続方法は関連記事を参照してください。

Yone IT Note

2022.08.27

【AWS】linux EC2にWindowsからSSHで接続する

AWS上にlinuxサーバを立ち上げた場合、ローカルPCからEC2へのアクセス方法はいろいろあるようです。この記事ではローカルのWindowsPCからlinuxEC2にSSH接続する方法を２つ解説します。 EC2ダッシュボードから『EC2 Instance Connect』を使ってLinuxEC2にSSH接続する方法 SSHクライアント（TeraTerm）を使ってLinuxEC2にSSH接続する方法前提前準備として以下は完了している状態とします。AWS AWS上でEC2(Linux)の作成、起動 キーペアの作成、割り当て、ダウンロード今回はRSAを作成。ED25519でも多分やること変わらない。 セキュリ…

２．踏み台サーバに非公開サーバ用のプライベートキーファイル(pem)を保存

ローカルPC⇔踏み台サーバ間のSSH接続を利用して、踏み台サーバ上にプライベートキーファイルを保存します。

保存方法は以下の２種類あります。

• 踏み台サーバ上でテキストエディタを開き直接内容を張り付け、保存
• 踏み台サーバにファイル転送(scpコマンド)

どちらでも良いですが、ここでは一つ目のテキストエディタの手順で実施します。なぜなら筆者はscpコマンドがよくわかんないからです。（後でまた別の記事にできれば・・・）

1. SSH接続したTeraTerm上にて nano 保存するキーファイル名 と入力しファイルを開きます。テキストエディタはvim等でも構いません。
   
2. 保存したpemファイルの内容をローカルPC上でクリップボードにすべてコピーし、TeraTermの編集画面に貼り付けて保存します。
   貼り付けは右クリックして表示されるダイアログでOKボタン。 保存はCtrl＋X(保存して終了)⇒y(yes)⇒Enter(確定)の順でキーを押下します。
3. 作成したキーファイルのアクセス許可を変更します。
   他のユーザが読み取れないように設定することが公式より推奨されています。

   コマンド：
   chmod 400 作成したキーファイル名

   成功すると本図のように「所有者の読み取り」しかない許可されていない状態になります。

    

３．踏み台サーバから非公開サーバにSSH接続

踏み台サーバから非公開にSSHで接続します。コマンドは現在踏み台サーバに接続しているTeraTerm上で入力します。

コマンド：
ssh 接続ユーザ名@非公開サーバのプライベートIPアドレス -i 非公開サーバ用プライベートキーファイル(pem)

始めて接続する場合は以下のメッセージが表示されます。

The authenticity of host 'xxx.xxx.xxx.xxx(xxx.xxx.xxx.xxx)' can't be established.

これは知らない端末に繋ごうとしてるけどOK？と聞かれています。yesと入力してください。

上記で非公開サーバに接続できました。

入力欄のipアドレスが非公開サーバの物になっている。あとはこのままTeraTerm上でコマンドを実行すればOKです。 

まとめ

ここでは踏み台サーバを経由して非公開サーバにSSH接続する方法を解説しました。

ただ、今回の構成では非公開サーバが直接外部とのやり取りが発生するコマンドは実行できない点に注意が必要です。（プライベートサブネット上のEC２は直接インターネットとのやり取りはできないため）
外部とやり取りさせたい場合はNATゲートウェイの設置が必要となります。

勉強中の身ですので、誤りや不備等ありましたらご指摘いただけますと幸いです。