EC2 安全组连接跟踪增加了对可配置空闲超时的支持

今天，AWS 宣布推出一项新的 EC2 功能，用于为实例连接跟踪配置空闲超时。这将允许客户管理其实例的连接跟踪资源，并使他们能够配置最佳超时以管理连接规模。EC2 利用连接跟踪 (conntrack) 来实施安全组并执行规则。借助这项新功能，现在可以在每个弹性网络接口 (ENI) 上为 EC2 实例的 TCP Established、UDP Stream 和 UDP Unidirectional 会话中的连接配置空闲超时，且可以根据其默认超时设置进行编辑。在今天之前，会在预定义的默认时间段内或者在关闭之前对所有处于 TCP 和 UDP 状态的空闲连接进行跟踪。 

通常，客户工作负载在 EC2 上使用连接跟踪配额时效率低下，因为他们有大量孤立或空闲连接。对于 TCP 连接，如果 EC2 实例不发送或接收 FIN 或 RST，则这些连接最多可以保持空闲状态 5 天。同样，对于使用 UDP 流的 DNS 繁重工作负载，客户可以通过配置更短的空闲超时来防止连接跟踪耗尽。通过为连接到实例的 ENI 指定“tcp-established”、“udp-stream”和“udp-timeout”超时值，EC2 现在将在指定的超时值清除这些会话。 

EC2 可配置空闲超时功能已在所有 AWS 商业区域推出，仅适用于基于 Nitro 的实例。此功能是 EC2 实例连接跟踪的一部分。

要了解更多信息，请查看最新的 EC2 文档。