コンピューターでSession Manager CLIを使用して、パスワードを必要とせずにパブリックIPアドレスを持たないElastic Compute Service (ECS) インスタンスに接続できます。 SSHおよびリモートデスクトッププロトコル (RDP) と比較して、Session Managerを使用すると、より便利で安全な方法でインスタンスに接続できます。 このトピックでは、Session Manager CLIと、Session Manager CLIを使用してECSインスタンスに接続する方法について説明します。
セッションマネージャCLI
ali-instance-CLIとも呼ばれるSession Manager cliは、Alibaba Cloudが提供するコマンドラインツールです。 コンピューターにSession Manager CLIをインストールおよび設定できます。 次に、ali-instance-cliコマンドを実行して、Session Managerを使用してECSインスタンスに接続できます。
ali-instance-cliをAlibaba Cloud CLIと一緒に使用して、コマンドラインのみの操作を実行できます。 Alibaba Cloud CLIの詳細については、Alibaba Cloud CLIとは
準備
セッションマネージャの有効化
ali-instance-cliを使用する前に、Alibaba Cloudアカウントを使用してSession Managerを有効にしてください。 ECSコンソールでのみSession Managerを有効にできます。 セッションマネージャーを有効にするには、次の手順を実行します。
|
|
|
|
接続するインスタンスが [実行中] 状態であるかどうかを確認します
Session Managerを使用して、[実行中] 状態のインスタンスのみに接続できます。
ECSコンソールの使用
Alibaba Cloud CLIの使用
Alibaba Cloud CLIを設定した場合は、コマンドを実行してAPI操作を呼び出し、インスタンスのステータスを照会します。 API操作のパラメーターについては、「DescribeInstanceStatus」をご参照ください。
たとえば、IDがi-bp1 ****** で、中国 (杭州) リージョンにあるインスタンスのステータスを照会するには、次のコマンドを実行します。 aliyun ecs DescribeInstanceStatus --region cn-hangzhou --RegionId 'cn-hangzhou' --InstanceId.1 'i-bp1******'インスタンスが [実行中] 状態の場合、コマンド出力の [ステータス] パラメーターの値は [実行中] です。
{
"TotalCount": 1,
"RequestId": "A413****-****-****-****-****611B",
"PageSize": 1,
"PageNumber": 1,
"InstanceStatuses": {
"InstanceStatus": [
{
"Status": "Running",
"InstanceId": "i-bp1******"
}
]
}
}また、DescribeInstancesなど、他の操作を呼び出してインスタンスのステータスを照会するコマンドを実行することもできます。 詳細については、「DescribeInstances」をご参照ください。
API操作の呼び出し
DescribeInstanceStatusまたはDescribeInstances操作を呼び出して、インスタンスのステータスを照会します。 詳細については、「DescribeInstanceStatus」または「DescribeInstances」をご参照ください。
Cloud Assistant Agentが接続先のインスタンスにインストールされているかどうかを確認します。
Session ManagerはCloud Assistantに依存します。 次のいずれかの方法で、Cloud Assistant Agentがインスタンスにインストールされているかどうかを確認できます。
Cloud Assistant Agentは、2017年12月1日以降にAlibaba Cloudパブリックイメージから作成されたECSインスタンスにプリインストールされます。 2017 12月1日より前に作成されたECSインスタンスの場合、Cloud Assistant Agentを手動でインストールする必要があります。 詳細については、「Cloud Assistant Agentのインストール」をご参照ください。
ECSコンソールの使用
Session ManagerはCloud Assistantに基づいて実装されています。 インスタンスにCloud Assistant Agentをインストールする必要があります。 ECSコンソールの [ECS Cloud Assistant] ページで、[Cloud Assistant Agent] のステータスを確認できます。
Cloud Assistant Agentは、2017年12月1日以降にAlibaba Cloudパブリックイメージから作成されたECSインスタンスにプリインストールされます。 2017 12月1日より前に作成されたECSインスタンスの場合、Cloud Assistant Agentを手動でインストールする必要があります。 詳細については、「Cloud Assistant Agentのインストール」をご参照ください。
|
| |||
Cloud Assistantエージェントのステータスを表示し、異常を処理する方法については、「Cloud Assistantのステータスを表示し、異常を処理する」をご参照ください。
Alibaba Cloud CLIの使用
Alibaba Cloud CLIを設定した場合は、コマンドを実行してDescribeCloudAssistantStatus操作を呼び出し、Cloud Assistant Agentがインスタンスにインストールされており、Session Managerをサポートしているかどうかを確認します。 DescribeCloudAssistantStatus操作のパラメーターについては、「DescribeCloudAssistantStatus」をご参照ください。
たとえば、インスタンスにi-bp1 ****** のIDが割り当てられ、中国 (杭州) リージョンにある場合、次のコマンドを実行して、Cloud Assistant Agentがインスタンスにインストールされ、Session Managerをサポートしているかどうかを確認します。 aliyun ecs DescribeCloudAssistantStatus --region cn-hangzhou --RegionId 'cn-hangzhou' --InstanceId.1 'i-bp1******'Cloud Assistant Agentがインスタンスにインストールされ、Session Managerをサポートしている場合、コマンド出力のCloudAssistantStatusおよびSupportSessionManagerパラメーターの値はtrueです。
{
"TotalCount": 1,
"PageSize": 1,
"RequestId": "DB34****-****-****-****-****A749",
"NextToken": "",
"PageNumber": 1,
"InstanceCloudAssistantStatusSet": {
"InstanceCloudAssistantStatus": [
{
"CloudAssistantVersion": "2.2.3.857",
"SupportSessionManager": true,
"InstanceId": "i-bp1******",
"InvocationCount": 4,
"OSType": "Linux",
"CloudAssistantStatus": "true",
"LastHeartbeatTime": "2024-12-10T02:38:04Z",
"LastInvokedTime": "2024-12-08T16:02:45Z",
"ActiveTaskCount": 0
}
]
}
}API操作の呼び出し
DescribeCloudAssistantStatus操作を呼び出して、Cloud Assistant Agentがインスタンスにインストールされているかどうかを確認します。 詳細については、「DescribeCloudAssistantStatus」をご参照ください。
セッションマネージャを使用するRAM (Resource Access Management) ユーザーの資格情報を準備する
1. ali-instance-cliのインストールと設定
すでにali-instance-cliをインストールして設定している場合は、この手順をスキップしてください。
1.1 ali-instance-cliのインストール
コンピューターにali-instance-cliをインストールします。 インストール操作は、オペレーティングシステムによって異なります。
Windows
ここをクリックして、Windows用のali-instance-cliをダウンロードし、コンピューター上のフォルダーに保存します。
この例では、ali-instance-cliはコンピューターのC:\Users\testフォルダーに保存されます。 macOS
macOSターミナルで次のコマンドを実行し、macOS用のali-instance-cliをダウンロードします。
curl -O https://aliyun-client-assist.oss-accelerate.aliyuncs.com/session-manager/mac/ali-instance-cli次のコマンドを実行して、ali-instance-cliに実行権限を付与します。
chmod a+x ali-instance-cliLinux
次のコマンドを実行して、Linux用のali-instance-cliをインストールします。
curl -O https://aliyun-client-assist.oss-accelerate.aliyuncs.com/session-manager/linux/ali-instance-cli次のコマンドを実行して、ali-instance-cliに実行権限を付与します。
chmod a+x ali-instance-cli1.2 ali-instance-cliの設定
コンピューターでali-instance-cliを使用してインスタンスに接続する場合、AccessKeyペアなどのID認証情報を設定する必要があります。 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。 詳細については、このトピックの「Session Managerを使用するRAM (Resource Access Management) ユーザーの資格情報の準備」をご参照ください。
Windows
[スタート] アイコンを右クリックし、[実行] を選択します。 [実行] ダイアログボックスで [cmd] と入力し、
[enter]キーを押してコマンドプロンプトウィンドウを開きます。次のコマンドを実行して、ali-instance-cli.exeが存在するディレクトリに切り替えます。 この例では、
C:\Users\testディレクトリが使用されています。cd C:\Users\test資格情報を設定します。 次のタイプの資格情報がサポートされています。
AccessKey ペア
次のコマンドを実行し、プロンプトに従ってAccess Key Id、Access Key Secret、およびRegion Idパラメーターを設定します。
ali-instance-cli.exe configure --mode AKSTSトークン
次のコマンドを実行して資格情報を設定します。
ali-instance-cli.exe configure set --mode StsToken --region "<region>" --access-key-id "<ak>" --access-key-secret "<sk>" --sts-token "<sts_token>"< region>、< ak>、< sk>、<sts_token >を実際のリージョンID、AccessKey ID、AccessKey secret、セキュリティトークンサービス (sts) トークンに置き換えます。資格情報URI
次のコマンドを実行し、プロンプトに従ってCredentials URIおよびRegion Idパラメーターを設定します。
ali-instance-cli.exe configure --mode=CredentialsURI次のコマンド出力は、資格情報が設定されていることを示します。
macOSまたはLinux
ali-instance-cliが存在するディレクトリに移動します。 この例では、現在のユーザーのルートディレクトリ (
〜) が使用されます。cd ~資格情報を設定します。
AccessKey ペア
次のコマンドを実行し、プロンプトに従ってAccess Key Id、Access Key Secret、およびRegion Idパラメーターを設定します。
./ali-instance-cli configure --mode AKSTSトークン
次のコマンドを実行して資格情報を設定します。
./ali-instance-cli configure set --mode StsToken --region "<region>" --access-key-id "<ak>" --access-key-secret "<sk>" --sts-token "<sts_token>"< region>、< ak>、< sk>、<sts_token >を実際のリージョンID、AccessKey ID、AccessKey secret、sts tokenに置き換えます。資格情報URI
次のコマンドを実行し、プロンプトに従ってCredentials URIおよびRegion Idパラメーターを設定します。
./ali-instance-cli configure --mode=CredentialsURI次のコマンド出力は、資格情報が設定されていることを示します。
2. セッションマネージャーを使用したインスタンスへの接続
2.1 接続先のインスタンスのIDを取得します。
Session Managerを使用してインスタンスに接続する前に、インスタンスのIDを取得する必要があります。
ECSコンソールの使用
|
|
Alibaba Cloud CLIの使用
Alibaba Cloud CLIを設定した場合は、コマンドを実行してDescribeInstances操作を呼び出し、接続先のインスタンスのIDを照会します。 DescribeInstances操作のパラメーターについては、「DescribeInstances」をご参照ください。
たとえば、中国 (杭州) リージョンにあるSessionManager-exampleという名前のインスタンスのIDを照会するには、次のコマンドを実行します。 aliyun ecs DescribeInstances --region cn-hangzhou --RegionId 'cn-hangzhou' --InstanceName 'SessionManager-example'コマンド出力のInstanceIdパラメーターの値は、インスタンスのIDです。
API操作の呼び出し
DescribeInstances操作を呼び出して、接続先のインスタンスのIDを照会します。 詳細については、「DescribeInstances」をご参照ください。
2.2 ali-instance-cliでセッションマネージャーを使用してインスタンスに接続する
Windowsコンピュータ
コマンドプロンプトウィンドウを開き、ali-instance-cli.exeが存在するディレクトリに切り替えてから、コマンドを実行してインスタンスに接続します。 <instance_id> を手順2.1で取得したインスタンスIDに置き換えます。
ali-instance-cli.exe session --instance <instance_id>たとえば、IDがi-bp1 ****** であるインスタンスに接続するには、次のコマンドを実行します。
ali-instance-cli.exe session --instance i-bp1******次のコマンド出力は、インスタンスに接続されており、インスタンスのCLIにアクセスできることを示しています。
macOSまたはLinuxコンピュータ
ターミナルで、ali-instance-cli.exeが存在するディレクトリに移動し、コマンドを実行してインスタンスに接続します。 <instance_id> を手順2.1で取得したインスタンスIDに置き換えます。
./ali-instance-cli session --instance <instance_id> たとえば、IDがi-bp1 ****** であるインスタンスに接続するには、次のコマンドを実行します。
./ali-instance-cli.exe session --instance i-bp1******次のコマンド出力は、インスタンスに接続されており、インスタンスのCLIにアクセスできることを示しています。
ali-instance-cliのその他の機能
セッションマネージャーに加えて、ali-instance-cliは次の機能を提供します。
ali-instance-cliのポート転送機能を使用して、インスタンスのポートをコンピューターのポートにマッピングすることで、インスタンスのポート転送を設定できます。 この機能は、パブリックIPアドレスを持たないインスタンスに使用できます。 パブリックIPアドレスを持たないインスタンスのポート転送を設定すると、プロキシまたはジャンプサーバーを使用せずにインスタンスのサービスにアクセスできます。
SSH経由でインスタンスに接続する場合、一時的なSSH公開鍵を登録する機能を使用して、インスタンスに一時的なSSH公開鍵を登録し、対応するSSH秘密鍵を使用してインスタンスに接続できます。
よくある質問
、ali-instance-cliコマンドを実行した後にコマンドラインが応答しない場合はどうすればよいですか? (インスタンスが実行中状態でない可能性があります)
、ali-instance-cliコマンドを実行した後にコマンドラインが応答しない場合はどうすればよいですか? (必要なポートがセキュリティグループで開いていない可能性があります)
ali-instance-cliコマンドを実行した後にDeliveryTimeoutエラーが報告された場合はどうすればよいですか。
次の図に示すように、ali-instance-cliコマンドを実行した後にDeliveryTimeoutエラーが報告された場合、対応するインスタンスでCloud Assistantエージェントが使用できない可能性があります。 Cloud Assistant Agentのステータスを確認します。 詳細については、このトピックの「接続先インスタンスにCloud Assistant Agentがインストールされているかどうかの確認」をご参照ください。
