Workbench は、Alibaba Cloud が提供するリモート接続ツールであり、追加のソフトウェアをインストールすることなく、ブラウザから Elastic Compute Service (ECS) インスタンスに接続できます。
Workbench とは
概要
Workbench は、Alibaba Cloud が提供する Web ベースのリモート接続ツールです。 Workbench をインストールする必要なく、ブラウザで Workbench を使用できます。次の図は、Workbench を使用して ECS インスタンスに接続するプロセスを示しています。
Workbench の機能
複数の接続方法
Workbench を使用すると、SSH (Linux の場合) や RDP (Windows の場合)、さまざまな方法でインスタンスに接続できます。
参照資料
インターネットまたはプライベートネットワーク経由の接続
Workbench を使用して SSH または RDP でインスタンスに接続する場合、インスタンスのプライベート IP アドレスまたはパブリック IP アドレスを使用できます。
その他の機能
インスタンスへの接続に加えて、Workbench は次の機能をサポートしています。
ファイル管理: ECS インスタンスとオンプレミスコンピュータ間でファイルをアップロードおよびダウンロードできます。詳細については、「ファイルを管理する」をご参照ください。
システム管理: Linux インスタンス上のユーザー、履歴ログインログ、およびシステムサービスを管理できます。詳細については、「システム管理を実行する」をご参照ください。
マルチターミナル: 複数の ECS インスタンスに同時に接続し、インスタンス上でコマンドをバッチ実行できます。詳細については、「マルチターミナル機能を使用する」をご参照ください。
Workbench を使用してインスタンスに接続するためのワークフロー
次の図は、Workbench を使用してインスタンスに接続する方法を示しています。
接続するインスタンスを探します。
Workbench と ECS インスタンス間のネットワーク接続を有効にします。
この手順では、ECS コンソールでインスタンスが属するセキュリティグループのルールを構成し、インスタンスのファイアウォールルールを構成して、Workbench からのインバウンドトラフィックを許可します。
Workbench を使用してインスタンスに接続します。
ECS コンソールで、Workbench を使用してインスタンスに接続します。 Workbench の [インスタンスログイン] ダイアログボックスに、ユーザー名、パスワード、およびキーペアを入力します。
Workbench サービスロールを作成します。
Workbench を使用してインスタンスに接続するときに、Workbench に関連する Resource Access Management (RAM) サービスロールが作成されていない場合、インスタンスにアクセスするための権限を Workbench に付与するように求められます。画面の指示に従って、Workbench サービスロールを作成します。
インスタンスに接続して O&M 操作を実行します。
Workbench サービスロール
Workbench を使用してインスタンスに初めて接続するときに、AliyunServiceRoleForECSWorkbench サービスロールを作成するように求められます。 Workbench は、インスタンスにアクセスするためにロールを引き受けます。詳細については、「サービスロール」をご参照ください。
インスタンスに初めて接続すると、次の図に示すように、ダイアログボックスが表示されます。 [OK] をクリックすると、サービスロールが自動的に作成されます。
RAM ユーザーを使用している場合は、Alibaba Cloud アカウントの所有者または管理者に連絡して、AliyunECSWorkbenchFullAccess ポリシーを RAM ユーザーにアタッチする必要があります。 AliyunECSWorkbenchFullAccess ポリシーがアタッチされている RAM ユーザーのみが、Workbench サービスロールを作成する権限を持っています。
RAM ユーザーに Workbench を使用する権限を付与するポリシー
Workbench サービスロールを作成した後、次のポリシーを RAM ユーザーにアタッチする必要があります。このポリシーは、RAM ユーザーに Workbench を使用してすべての ECS インスタンスに接続する権限を付与します。
{
"Version": "1",
"Statement": [
{
"Action": "ecs-workbench:LoginInstance",
"Resource": "*",
"Effect": "Allow"
}
]
}Workbench を使用して接続できるインスタンスを制限するには、Resource 要素を次の形式で指定します。
{
"Version": "1",
"Statement": [
{
"Action": "ecs-workbench:LoginInstance",
"Resource": [
"acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}",
"acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}"
],
"Effect": "Allow"
}
]
}次のパラメータに注意してください。
{#regionId}: 接続するインスタンスのリージョン ID。このパラメータはアスタリスク (*) に設定できます。{#accountId}: Alibaba Cloud アカウントの ID。このパラメータはアスタリスク (*) に設定できます。{#instanceId}: 接続するインスタンスの ID。このパラメータはアスタリスク (*) に設定できます。
Workbench に関連するセキュリティグループ設定
Workbench を使用して SSH または RDP 経由でインスタンスに接続する場合は、インスタンスが属するセキュリティグループで Workbench サーバーからのインバウンドトラフィックを許可する必要があります。ネットワークタイプに基づいてセキュリティグループルールを追加できます。次の表に、セキュリティグループルールを示します。セキュリティグループルールの追加方法については、「セキュリティグループルールを追加する」をご参照ください。
インスタンスのオペレーティングシステムでファイアウォールを有効にする場合は、セキュリティグループ設定を参照してファイアウォールルールを変更してください。
VPC
Workbench を使用して仮想プライベートクラウド (VPC) 内の ECS インスタンスに接続する場合は、インスタンスが属するセキュリティグループで、次の表に示すインバウンドセキュリティグループルールを構成する必要があります。
アクション | 優先度 | プロトコルタイプ | ポートまたはポート範囲 | 承認オブジェクト |
許可 | 1 | カスタム TCP | ポート範囲は、インスタンスで実行されているリモート接続サービスのポートに基づいて構成されます。
重要 インスタンスのリモート接続サービスのポートを変更する場合は、リモート接続サービスで使用されている実際のポートを指定します。 |
警告
|
クラシックネットワーク
クラシックネットワーク内のインスタンスに Workbench を使用して接続する場合は、インスタンスが属するセキュリティグループで、次の表に示すインバウンドセキュリティグループルールを構成する必要があります。
アクション | 優先度 | プロトコルタイプ | ポートまたはポート範囲 | 承認オブジェクト |
許可 | 1 | カスタム TCP | ポート範囲は、インスタンスで実行されているリモート接続サービスのポートに基づいて構成されます。
重要 インスタンスのリモート接続サービスのポートを変更する場合は、リモート接続サービスで使用されている実際のポートを指定します。 |
警告
|