Tôi muốn biết khi nào bạn nên sử dụng? Tôi đã theo dõi this hướng dẫn và nó nói rằng tôi không được sử dụng tùy chọn Không.Tùy chọn 'Không' cho, đối với các cặp khóa khi khởi chạy một cá thể trong EC2 là gì?
Vì tôi có tùy chọn này, nên phải có một số cách sử dụng, đúng không? Tôi muốn biết tôi sẽ sử dụng kịch bản nào?
Khi bạn chỉ định một tên cặp khóa khi chạy một cá thể của AMI, Amazon EC2 cung cấp khóa ssh công khai cho cá thể sao cho nó có thể làm những việc như thêm khóa vào $ HOME/.ssh/authorized_keys cho người dùng mặc định . Người dùng mặc định phụ thuộc vào AMI và có thể là "ec2-user" hoặc "ubuntu" hoặc thậm chí là "root". Tuy nhiên, nó không phải là một yêu cầu của AMIs rằng họ sử dụng khóa ssh, nó chỉ là một quy ước thuận tiện và một trong số ít cách để cung cấp cho người đang chạy AMI với quyền truy cập an toàn vào cá thể đó.
Nếu bạn không cung cấp tên cặp khóa ssh (nghĩa là bạn chỉ định "Không có gì") thì bạn sẽ cần phải tìm ra cách khác để làm cho cá thể có thể sử dụng được. Đối với Amazon Linux và Ubuntu AMIs, bạn có thể sử dụng hệ thống CloudInit và truyền vào tập lệnh dữ liệu người dùng để thiết lập truy cập thông qua ssh hoặc cài đặt phần mềm mà bạn muốn chạy trên cá thể ngay cả khi bạn không muốn truy cập ssh.
Ngay cả khi bạn không mong muốn cần truy cập ssh vào một cá thể, nó thường có ích để theo dõi các sự cố khi hệ thống hoặc phần mềm chạy trên đó gặp sự cố.
Vì vậy, "Không" là một tùy chọn hợp lệ có thể hơi thực tế để sử dụng trong một vài trường hợp, nhưng thường khuyên bạn nên cung cấp một giá trị, nếu chỉ cho trường hợp khẩn cấp.
Chúng tôi sử dụng tùy chọn không có trong trường hợp AMI của chúng tôi rất chắc chắn mà chúng tôi không muốn làm cho máy có thể truy cập được bằng bất kỳ phương tiện nào khác ngoài phần mềm được cài đặt trên đó. Ví dụ, chúng tôi sử dụng một phần mềm dịch vụ xe buýt mà làm việc với hàng đợi, AMI đặc biệt này sẽ khởi động và bắt đầu nghe hàng đợi để xử lý tin nhắn, nó hoàn toàn không có gì khác. Trong tình huống này, vì không có dữ liệu được lưu trữ trên chính máy (thậm chí không phải dữ liệu hàng đợi), nên chúng tôi không cần phải truy cập dữ liệu đó.
Nhưng nếu bạn đi xuống tuyến đường đó, hãy sẵn sàng trở thành một chuyên gia trong việc thường xuyên đưa máy "vứt bỏ" để củng cố AMI. Tôi muốn nói rằng trong trường hợp của một loại hộp đen của tình hình, không ai có thể hữu ích.
Hy vọng điều này sẽ giúp,
Đây là lời khuyên kinh khủng. Bạn sẽ không bao giờ có một máy mà bạn không thể đăng nhập. – bwight
Không bao giờ là một từ mạnh mẽ, một từ mà tôi không đồng ý. Có những lúc (giữ một tâm trí cởi mở) khi điều này hoàn toàn hợp lý. –
Trong môi trường EC2, bạn nên có một máy chủ không đăng nhập miễn là bạn biết mình đang làm gì. Các máy chủ bỏ đi có thể cấu hình và chạy chúng rất có thể trên EC2 và không phải là một hệ thống quản trị hệ thống kiểu phần cứng kiểu cũ có thể hiểu được. Không cho phép ssh đóng một nguy cơ bảo mật tiềm ẩn trong trường hợp khóa ssh riêng tư không quá riêng tư (ví dụ: nhân viên rời khỏi công ty). Trong một pinch bạn luôn có thể nhận được ở khối lượng EBS bằng cách di chuyển chúng đến một máy chủ, nơi bạn có thể đăng nhập. Không sử dụng một khóa ssh giới hạn tiếp xúc của bạn để chỉ folks người có các thông tin AWS. –
Chỉ cần thêm vào đây, nếu AMI được xây dựng một mình, bạn có thể thêm khóa và mật khẩu của riêng bạn. Kể từ khi chúng được xây dựng vào máy bạn không cần chìa khóa trao đổi của Amazon nữa. – bwight