引言

你正在嘗試通過(guò) SSH 連接到一個(gè) EC2 實(shí)例，但連接失敗。

這是我在面試中最常問(wèn)的一個(gè)問(wèn)題之一。你會(huì)如何找出問(wèn)題所在？看起來(lái)似乎是一個(gè)簡(jiǎn)單的問(wèn)題，但它實(shí)際上可以反映出一個(gè)人對(duì)云基礎(chǔ)設(shè)施的理解程度、他們解決問(wèn)題的方式以及他們?cè)?AWS 上的經(jīng)驗(yàn)。

隨著時(shí)間的推移，我在面試了許多 AWS 工程師和系統(tǒng)管理員時(shí)，發(fā)現(xiàn)這個(gè)問(wèn)題的處理方式能幫助我了解他們的專業(yè)水平。在這篇博客中，我將分享在 AWS EC2 實(shí)例中排查 SSH 連接問(wèn)題的最佳實(shí)踐，這些實(shí)踐也是我在候選人答案中關(guān)注的重點(diǎn)。

安全組：我在面試中見(jiàn)到的常見(jiàn)隱患

在幾乎每次面試中，我會(huì)問(wèn)到這個(gè)問(wèn)題，我期望候選人首先提到的就是安全組。不幸的是，并不是每個(gè)人都會(huì)提到這一點(diǎn)。許多候選人會(huì)立即開(kāi)始討論復(fù)雜的網(wǎng)絡(luò)配置或系統(tǒng)級(jí)別的設(shè)置，忽略了 AWS 安全組像防火墻一樣，控制著進(jìn)出流量。

我在候選人答案中尋找的內(nèi)容：

最優(yōu)秀的候選人知道，首先要檢查的是與實(shí)例關(guān)聯(lián)的安全組中是否允許端口 22（SSH）流量。我通?？梢酝ㄟ^(guò)詢問(wèn) “安全組是否允許入站 SSH 流量？” 這一問(wèn)題，迅速判斷某人是否熟悉 AWS EC2。

如何去檢查安全組設(shè)置：

1. AWS 控制臺(tái) → EC2 → 實(shí)例 → 選擇你的實(shí)例

2. 描述標(biāo)簽 → 安全組 → 點(diǎn)擊查看

3. 確保入站規(guī)則允許來(lái)自您的 IP 或 IP 范圍的 SSH（端口 22）

顯示了安全組入規(guī)則配置的照片

密鑰對(duì)權(quán)限

當(dāng)我問(wèn)到候選人這個(gè)問(wèn)題時(shí)，已經(jīng)使用過(guò) EC2 的人通常知道，SSH 密鑰是另一個(gè)常見(jiàn)的絆腳石。他們會(huì)提到，接下來(lái)的步驟是驗(yàn)證 SSH 私鑰文件是否具有正確的權(quán)限，這是許多候選人容易忽略的細(xì)節(jié)。

我在候選人答案中尋找的內(nèi)容：

有經(jīng)驗(yàn)的候選人會(huì)提到密鑰文件權(quán)限的重要性。他們知道，如果密鑰文件權(quán)限過(guò)于寬松，SSH 連接會(huì)因?yàn)榘踩蚴?。我總是能?tīng)到他們提到 chmod 命令，這表明他們?cè)趯?shí)際操作中處理過(guò)這種問(wèn)題。

步驟詳解：

1. 命令：

chmod 400 your-key.pem

這個(gè)命令確保只有你可以讀取該文件，這是 SSH 連接所必需的。

2. 連接使用密鑰文件

ssh -i /path/to/your-key.pem ec2-user@your-ec2-public-ip

簡(jiǎn)短的故事：

我記得有一位候選人告訴我一個(gè)故事，關(guān)于他們?nèi)绾位ㄙM(fèi)了一個(gè)小時(shí)排查一個(gè)連接問(wèn)題，結(jié)果才意識(shí)到他們的密鑰文件權(quán)限設(shè)置過(guò)于寬松。正是這些小而容易忽視的步驟，將那些真正有實(shí)際操作經(jīng)驗(yàn)的人與 AWS 初學(xué)者區(qū)分開(kāi)來(lái)。

確認(rèn)實(shí)例正在運(yùn)行

一些候選人甚至沒(méi)有想到檢查 EC2 實(shí)例是否正在運(yùn)行，這讓我感到很驚訝。在一些面試中，我問(wèn)了類似 “實(shí)例處于什么狀態(tài)？” 這樣的問(wèn)題，候選人通常能意識(shí)到檢查實(shí)例狀態(tài)是一個(gè)常被忽視的重要步驟。

我在候選人答案中找到的：

優(yōu)秀的候選人會(huì)在招聘流程的早期階段提到這一點(diǎn)。如果實(shí)例處于停止或終止?fàn)顟B(tài)，那么無(wú)論你排查多少次問(wèn)題，SSH 都是無(wú)法工作的。

如何檢查實(shí)例狀態(tài)

在 AWS 控制中心 → EC2 Dashboard （然后核實(shí)你的實(shí)例是運(yùn)行的）

顯示 EC2 實(shí)例狀態(tài)的照片

如果實(shí)例處于停止?fàn)顟B(tài)，只需選擇實(shí)例，然后從實(shí)例狀態(tài)選項(xiàng)中點(diǎn)擊 “啟動(dòng)實(shí)例”。

網(wǎng)絡(luò)訪問(wèn)控制列表（ACL）和路由表：真正的專家閃耀的地方

當(dāng)一個(gè)候選人開(kāi)始討論網(wǎng)絡(luò)訪問(wèn)控制列表（ACL）或路由表時(shí)，我就知道我正在面對(duì)一個(gè)真正理解 AWS 網(wǎng)絡(luò)的人。這一步使我能夠分辨出哪些候選人僅僅具備表面知識(shí)，哪些人具有更深入的專業(yè)能力。子網(wǎng)和 VPC 級(jí)別的網(wǎng)絡(luò)訪問(wèn)控制列表（ACL）和路由表控制著流量，如果這些地方的配置出錯(cuò)，可能會(huì)阻止 SSH 流量到達(dá)實(shí)例。

我在候選人答案中找到的：

我會(huì)密切關(guān)注候選人是否提出有關(guān) VPC 級(jí)別設(shè)置的問(wèn)題。很明顯，他們應(yīng)該意識(shí)到網(wǎng)絡(luò)訪問(wèn)控制列表（ACL）可能會(huì)阻擋流量，或者路由表可能會(huì)錯(cuò)誤地將流量從互聯(lián)網(wǎng)網(wǎng)關(guān)路由出去。

如何去排查：

網(wǎng)絡(luò)訪問(wèn)控制列表（）：確保進(jìn)出流量允許流量在 22 端口。

圖片

顯示 NACL 入站規(guī)則的圖片

顯示 NACL 出站規(guī)則

路由表：驗(yàn)證您的實(shí)例子網(wǎng)是否正確路由到公共實(shí)例的 Internet 網(wǎng)關(guān)或私有實(shí)例的 NAT 網(wǎng)關(guān)。

顯示路由表

使用 EC2 實(shí)例連接：當(dāng)所有的都失效時(shí)，這個(gè)有可能補(bǔ)救過(guò)來(lái)

能夠脫穎而出的候選人通常知道多種解決方法。我面試過(guò)的一些最優(yōu)秀的工程師，當(dāng)所有其他方法都行不通時(shí)，會(huì)提到 AWS 的 EC2 實(shí)例連接作為最后的解決方案。通過(guò) AWS 控制臺(tái)，使用此服務(wù)可以直接連接到實(shí)例，繞過(guò)與密鑰或網(wǎng)絡(luò)設(shè)置相關(guān)的問(wèn)題。

我在候選人答案中找到的：

能提到這一解決方案的候選人，通常是在真實(shí)環(huán)境中處理過(guò)類似問(wèn)題的人。他們知道即使其他方法都失敗，EC2 實(shí)例連接仍能幫助他們?cè)L問(wèn)實(shí)例。

如何使用 EC2 實(shí)例連接：

1. 去 EC2 控制面板 → 實(shí)例 → 選擇實(shí)例。

2. 點(diǎn)擊連接并使用 EC2 實(shí)例連接選項(xiàng) 。

顯示 EC2 連接

在一次面試中，候選人告訴我，曾經(jīng)因?yàn)椴恍⌒呐獊y了安全組規(guī)則，導(dǎo)致無(wú)法連接到實(shí)例。于是，他們使用 EC2 實(shí)例連接恢復(fù)了對(duì)一臺(tái)關(guān)鍵服務(wù)器的訪問(wèn)。當(dāng)聽(tīng)到候選人了解并在關(guān)鍵時(shí)刻使用過(guò) AWS 這一功能時(shí)，我們總是感到非常欣慰。

總結(jié)

作為面試官，我發(fā)現(xiàn)候選人在 AWS EC2 上處理 SSH 故障的方法，可以揭示他們的經(jīng)驗(yàn)和問(wèn)題解決能力。我在這里概述的步驟不僅僅是最佳實(shí)踐，它們也是我在評(píng)估候選人時(shí)會(huì)關(guān)注的重點(diǎn)。不論他們是檢查安全組，還是深入研究網(wǎng)絡(luò)設(shè)置，條理清晰地思考并解決問(wèn)題的能力，都是衡量 AWS 專業(yè)能力的重要標(biāo)志。

如果你正在為面試做準(zhǔn)備，或者只是想提升你的 AWS 技能，記住這些步驟。下次，當(dāng)有人問(wèn)你：“如果 SSH 連接到 EC2 實(shí)例[1]失敗，你會(huì)怎么做？”時(shí)，你就會(huì)知道如何回答。

如果你覺(jué)得這篇文章有幫助，別忘了給它點(diǎn)贊 ?? 并關(guān)注[2]我，我將分享更多實(shí)用技巧和見(jiàn)解！你的支持將激勵(lì)我繼續(xù)前行。

結(jié)語(yǔ)

ok, guys, see you, next time.

引用鏈接

[1] EC2 實(shí)例: https://aws.amazon.com/ec2/?p=pm&c=mt&pd=ec2&z=4

[2] 關(guān)注: https://medium.com/@rahu1