Private EC2 များကို လှမ်းချိတ်ခြင်း - Bastion မလို၊ Public IP မလိုတဲ့ EIC Endpoint အကြောင်း

AWS ပေါ်မှာ EC2 instance တွေ create လုပ်ပြီးရင်၊ အဲ့ဒီ instance တွေကို လှမ်းပြီး access လုပ်ဖို့ (Connect လုပ်ဖို့) နည်းလမ်းအမျိုးမျိုး ရှိကြပါတယ်။ ဒီနေ့မှာတော့ ကျွန်တော်တို့ အရင်က သုံးခဲ့ကြတဲ့ နည်းလမ်းဟောင်းတွေနဲ့ အခုနောက်ပိုင်း ပိုပြီး အဆင်ပြေလာတဲ့ နည်းလမ်းသစ်တွေကို ယှဉ်ပြသွားမှာ ဖြစ်ပါတယ်။

1. Traditional SSH (Direct Access)

အများစု ရင်းနှီးပြီးသား နည်းလမ်းတစ်ခုကတော့ Security Group မှာ Port 22 (SSH) ကို Allow ပေးပြီး မိမိစက်ထဲကနေ Direct SSH ဝင်တာပါ။

အားနည်းချက်

Public IP လိုအပ်သလို၊ Security Group မှာ Port ဖွင့်ပေးထားရတာကြောင့် Security အရ Risk များပါတယ်။

2. Bastion Host (Jump Server)

Security ပိုကောင်းအောင် နောက်တစ်ဆင့်အနေနဲ့ Bastion Host ခံပြီး သုံးကြပါတယ်။ Public Subnet မှာ Bastion Host ထား၊ ပြီးမှတဆင့် Private Subnet ထဲက EC2 ကို လှမ်းချိတ်တာမျိုးပါ။

အားနည်းချက်

Bastion Host အတွက် EC2 create လုပ်ထားရတဲ့အတွက် Cost ပိုကုန်သလို၊ ဒီ Host ကို Maintain လုပ်ရတဲ့ (Patch တင်၊ OS update လုပ်ရတဲ့) အလုပ်ပိုတွေ ပါလာပါတယ်။

3. AWS Systems Manager (SSM) Session Manager

ဒါကတော့ Developer တွေ၊ DevOps တွေ တော်တော်လေး သဘောကျတဲ့ နည်းလမ်းပါ။ Private Subnet ထဲက EC2 ကို Public IP မလိုဘဲ၊ Port 22 ဖွင့်စရာမလိုဘဲ Browser ကနေတဆင့် (သို့) AWS CLI ကနေတဆင့် လှမ်းဝင်လို့ရပါတယ်။ IAM Role နဲ့ Control လုပ်လို့ရတာမို့ Security အရလည်း တော်တော်ကောင်းပါတယ်။

ကြုံရတတ်သော ပြဿနာ

SSM က ကောင်းတယ်ဆိုပေမယ့် တခါတလေမှာ EC2 ပေါ်က SSM Agent fail ဖြစ်နေတာမျိုး၊ Not Ready ဖြစ်နေတာမျိုး ကြုံရတတ်ပါတယ်။ ဒီလိုအချိန်မျိုးမှာ Connect လုပ်မရတော့ဘဲ EC2 ကို Restart ချပေးလိုက်မှ ပြန်အဆင်ပြေသွားတာမျိုးတွေ ရှိတတ်ပါတယ်။ Mission Critical ဖြစ်တဲ့ Server တွေမှာ ဒီလိုဖြစ်တာက ခေါင်းကိုက်စရာပါ။

4. EC2 Instance Connect (EIC) Endpoint (The Game Changer)

ဒါကတော့ အခုနောက်ပိုင်းမှ ပေါ်လာတဲ့ Feature အသစ်ဖြစ်ပြီး အတော်လေး အဆင်ပြေပါတယ်။ သူက အပေါ်က နည်းလမ်းတွေရဲ့ အားနည်းချက်တွေကို ဖြည့်ဆည်းပေးထားပါတယ်။

• No Public IP Needed: Private Subnet ထဲက EC2 ကို တိုက်ရိုက်လှမ်းချိတ်နိုင်ပါတယ်။
• No Bastion Host: ကြားခံ Server မလိုတဲ့အတွက် Cost သက်သာပြီး Maintenance လုပ်စရာမလိုပါဘူး။
• Secure: IAM based authentication ကိုသုံးထားပြီး AWS network အတွင်းကနေ Tunnel ဖောက်ပြီး ဝင်တာဖြစ်လို့ လုံခြုံမှုရှိပါတယ်။
• Reliable: SSM Agent ပေါ်မှာ မှီခိုနေတာမျိုး မဟုတ်တဲ့အတွက် Agent fail ဖြစ်လို့ ဝင်မရတာမျိုး မရှိသလောက် နည်းပါးပါတယ်။

EIC Endpoint နဲ့ ဘယ်လိုချိတ်ဆက်မလဲ? (Step-by-Step Guide)

ဒါကြောင့် EIC endpoint နဲ့ ဘယ်လိုချိတ်ဆက်လို ရမလဲဆိုတာ ကျွန်တော် စမ်းထားတဲ့ Lab Screenshot လေးတွေနဲ့ တကွ အဆင့်ဆင့်ရှင်းပြပေးသွားပါမယ်။ ဒီ Lab မှာ ကျွန်တော်တို့ အဓိက အဆင့် (၃) ဆင့် သွားပါမယ်။

1. EIC Endpoint တည်ဆောက်ခြင်း
2. Private EC2 တစ်လုံးဆောက်ခြင်း
3. Security Group တွေချိန်ပြီး လှမ်းချိတ်ခြင်း

Step 1: EC2 Instance Connect Endpoint ကို စဆောက်မယ်

ပထမဆုံး VPC Console အောက်က Endpoints ကိုသွားပြီး Create endpoint ကို နှိပ်လိုက်ပါ။

ပုံမှာ ပြထားတဲ့အတိုင်း Name ကို "demo-EIC-endpoint" လို့ ပေးလိုက်မယ်။ Type ရွေးတဲ့နေရာမှာတော့ EC2 Instance Connect Endpoint ကို ရွေးပေးရပါမယ်။ ဒါမှသာ Private IP နဲ့ လှမ်းချိတ်လို့ရမှာပါ။

ဆက်ပြီးတော့ ကိုယ်ချိတ်မယ့် VPC ကို ရွေးမယ်။ Security Group နေရာမှာတော့ EIC Endpoint အတွက် သီးသန့် SG တစ်ခု ဆောက်ထားရင် ပိုကောင်းပါတယ်။ ဒီမှာတော့ ကျွန်တော် default SG ကိုပဲ ယာယီသုံးပြထားပါတယ်။ Subnet ကိုတော့ ကိုယ့် EC2 ရှိမယ့် Subnet ဒါမှမဟုတ် ကိုယ့် EC2 နဲ့ Connection ရှိမယ့် Subnet တစ်ခုခုကို ရွေးပေးရပါမယ်။

Endpoint ဆောက်ပြီးရင် Status က "Available" ဖြစ်လာဖို့ ခဏစောင့်ရပါမယ်။

Step 2: Private EC2 Instance တစ်လုံး ဆောက်မယ်

Endpoint ရပြီဆိုတော့ စမ်းဖို့အတွက် EC2 တစ်လုံးလောက် လိုပါမယ်။ Launch Instance ကိုသွားပြီး နာမည်ကို "demo-private-ec2" လို့ ပေးလိုက်ပါတယ်။ OS ကိုတော့ Ubuntu ကို ရွေးထားပါတယ်။

Instance Type ကို Free tier ရတဲ့ "t3.micro" ပဲ ထားလိုက်မယ်။ Key pair ကတော့ ရှိပြီးသား "demo-keypair" ကို သုံးထားပြီး instance တစ်လုံး create လုပ်လိုက်ပါတယ်။ (မှတ်ချက် - EIC နဲ့ ဝင်ရင် key မလိုပါဘူး create မလုပ်လဲရပါတယ်)။

Step 3: Security Group (SG) Configuration - အရေးအကြီးဆုံးအပိုင်း

ဒီအပိုင်းက အရေးကြီးပါတယ်။ Private EC2 ရဲ့ Security Group မှာ SSH (Port 22) ကို ဘယ်ကနေ လက်ခံမလဲဆိုတာ သတ်မှတ်ပေးရပါမယ်။

ပုံမှန်ဆို "0.0.0.0/0" (Anywhere) ပေးတာမျိုး လုံးဝမလုပ်ပါဘူး။ ဒီနေရာမှာ ကျွန်တော်တို့က EIC Endpoint ကနေ ဖြတ်ဝင်မှာဖြစ်တဲ့အတွက် Source နေရာမှာ EIC Endpoint ရဲ့ Private IP Address (သို့မဟုတ်) EIC Endpoint မှာ တပ်ထားတဲ့ Security Group ID ကို Allow ပေးရပါမယ်။

ပုံမှာကြည့်ရင် ကျွန်တော်က Source နေရာမှာ "172.31.8.184/32" ဆိုပြီး သီးသန့် IP တစ်ခုကို Allow ပေးထားတာ တွေ့ရပါလိမ့်မယ်။ ဒါဟာ ကျွန်တော့် EIC Endpoint ရဲ့ Network Interface IP ပါ။ ဒါမှသာ Endpoint ကနေတဆင့် လှမ်းဝင်တာကို EC2 က လက်ခံမှာ ဖြစ်ပါတယ်။

Step 4: Connection စမ်းသပ်ခြင်း

အားလုံးအဆင်သင့်ဖြစ်ပြီဆိုရင် EC2 Console ကနေ Connect ကို နှိပ်လိုက်ပါ။ Connection Type မှာ "Connect using a Private IP" ဆိုတာကို ရွေးရပါမယ် (ဒါက အဓိကပါပဲ)။

ပြီးရင် EC2 Instance Connect Endpoint နေရာမှာ စောစောက ကျွန်တော်တို့ ဆောက်ခဲ့တဲ့ Endpoint ("eice-0e3...") ပေါ်နေပါလိမ့်မယ်။ အဲ့ဒါကို ရွေးလိုက်ပါ။

Connect ကို နှိပ်လိုက်တာနဲ့...

Tadaa! 🎉 ပုံမှာ မြင်ရတဲ့အတိုင်းပဲ Private IP "172.31.14.185" ဖြစ်နေတဲ့ Ubuntu Server ထဲကို ဘာ Public IP မှ မလိုဘဲ Browser ကနေတဆင့် လှမ်းဝင်လို့ ရသွားပါပြီ။

နိဂုံးချုပ်

ဒီနည်းလမ်းက Public Subnet တွေ၊ Bastion Host တွေ မလိုတော့တဲ့အတွက် Security ပိုင်းအရ တော်တော်လေး ကောင်းမွန်သလို၊ Cost လည်း သက်သာစေပါတယ်။ (EIC Endpoint က လက်ရှိမှာ Free ပေးထားတာ တွေ့ရပါတယ်၊ Data transfer cost ပဲ ရှိနိုင်ပါတယ်)။

သူငယ်ချင်းတို့လည်း Private Instance တွေကို လုံလုံခြုံခြုံဝင်ချင်ရင် ဒီနည်းလေး စမ်းကြည့်ကြနော်။ အဆင်မပြေတာရှိရင်လည်း Comment မှာ မေးလို့ရပါတယ်ဗျ။