Задать вопрос

Евгений Хлебников

Cloud infrastructure, monitoring engineer. SRE
Ответы

  • Какие Best practices по применению private zones в сервисе AWS Route53?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    1.
    не совсем ясно как организована ваша инфраструктура
    Судя по тому, что у вас есть вариант "назначить публичные IP и рулить публичными ДНС именами" - все располагается в default vpc и это не best practice.
    Рекомендуется размещать инстансы, к которым не нужен доступ из интернета (те, которые хостят ваши сервисы, обслуживающие только ваши другие сервисы в том же VPC) в приватных подсетях VPC.
    Вообще рекомендуется ВСЕ сервисы размещать в приватных подсетях а доступ из интернета к ним организовывать, используя прокси. AWS предоставляет ALB(ELB\NLB в зависимости от ваших потребностей), или же вы можете поднять свой прокси (HAProxy, NGINX или другие) на ec2 инстансе, расположенном в публичной подсети
    2.
    Route53 private zone
    Если ваши сервисы находятся в приватной подсети и вам необходимо работать с ними по DNS именам: можно регистрировать инстансы в Route53 private zone или же поднять свой приватный DNS на любом ПО которое вы умеете(в таком случае необходима перенастройка параметров VPC в котором вы работаете, чтобы все сервисы могли работать с вашим DNS)
    Так же можно использовать service discovery ПО, которое обеспечит разрешение имен DNS (например consul, но это потребует поднятия отдельного сервиса на ec2\ecs для обслуживания service discovery), или использовать service discovery предлагаемый AWS: Cloud Map - он использует route53 private zone для регистрации сервисов и разрешения имен.
    3.
    Сертификаты
    Для сервисов, которые доступны публично - ничего сложного: используйте Certificate Manager для выпуска сертификатов на ALB или же LetsEncrypt если вы используете собственное ПО для прокси
    Для сервисов, находящихся в приватных подсетях и недоступных публично:
    - Можно забить и работать без TLS - сеть приватная, защищать или не защищать общение между сервисами в приватной подсети зависит от уровня вашей паранойи.
    - ACM Private CA про который вы уже знаете
    - В случае использования service discovery ПО можно использовать функционал предлагаемый решениями для service mesh, например consul connect service mesh: ваше приложение общается с прокси консула, а тот, обеспечивая TLS между нодами, направляет трафик приложения на нужный сервис

    P.S. совершенно неясно зачем в тегах микротик
    Ответ написан
    3 комментария
    3 комментария

  • КАк разрешить просмотр фотографий с s3 amazon?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    это вопрос скорее по laravel -как в laravel делать так чтобы загруженный объект был доступен публично
    В рамках работы с AWS для доступа к объекту ему необходимо назначить публичный доступ
    Так же можно сгенерировать presigned url для объекта.
    Ответ написан
    Комментировать
    Комментировать

  • Как заскедьюлить несколько задач (около 20 шт.) используя один контейнер AWS ECS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Наиболее логичным способом в вашем случае выглядит именно container overrides и нет ничего плохого, если вы будете делать создавать клаудвотч таски через cli
    Для облегчения работы в принципе, можно использовать terraform (хотя я понимаю, что, возможно, для вас это сейчас лишняя нагрузка, но, поверьте, пригодится)
    Ответ написан
    Комментировать
    Комментировать

  • Как диагностировать странные network проблемы на AWS серваках?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    С практически 99.9% вероятностью AWS тут совершенно ни при чем.
    1. Смотрите сетевой стек на проблемных серверах(хоть отмониторьте его что ли, вы же смотрите в мониторинг?) Например, довольно часто встречающаяся проблема - незакрывающиеся tcp close_wait. Оптимизируйте настройки сети под ваше приложение.
    2. мониторьте само приложение - что меняется в моменты залипаний. Попробуйте какой нибудь APM(NewRelic, Datadog и другие) если приложение позволит.
    Вообще, если бы у вас были данные для анализа - можно было бы что-то предполагать.
    Делайте мониторинг, если он еще не сделан. Смотрите в мониторинг.
    Ответ написан
    Комментировать
    Комментировать

  • Возможно ли хранить код в "Облаке Mail.ru", Яндекс?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    В общем то, что мешает водрузить клиент яндекс или мейл.ру диска на все интересующие рабочие станции и синхронизировать конкретную папку? Доступ будет через проводник. Возможно этот вариант вами рассматривался но тогда непонятно что не подошло

    Как вариант есть еще syncthing - без какого-то облачного провайдера (но данные при дефолтной инсталляции все равно будут гоняться через точку синхронизации в интернете) - получите ваши куски кода хоть на мобильном, если там установлен клиент syncthing.

    VPS тоже никто не отменял - хоть сам гит захостите, свой, персональный
    Ответ написан
    Комментировать
    Комментировать

  • Создание загрузочной флешки Windows 10 под Linux (Runtu Lite 12.04)?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Ну, вообще странно, образ ISO для 10-ки точно весит уже больше 4Гб (разве что ltsc может еще норм быть, но я не использую).
    Попробуйте использовать бОльшую флешку.
    И да, я достаточно давно ушел от unetbootin из за похожих проблем (даже если места на флешке хватает - записанное не грузится нормально) и использую Rufus под виндой для линукса и woeusb под линуксом для винды
    Ответ написан
    1 комментарий
    1 комментарий

  • Что выбрать для хостинга сайтов и веб-приложений с бекендом на AWS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Я бы переформулировал Иван Шумов: Если у тебя нет опыта настройки именно AWS сервисов - лучше за AWS не браться. Если ты конечно не готов потратить время на изучение.
    Лучше всего взять хетцнер или другую VPS где для вас всю инфраструктуру настроит хостер
    AWS этого делать за вас просто не будет и любой косяк в настройке обойдется вам в дополнительные траты
    AWS берет деньги за каждый чих. Часта ситуация когда вследствие неверной настройки ваши деньги вылетают в трубу. Поэтому бытует мнение что AWS - дорого.
    Ответ написан
    Комментировать
    Комментировать

  • Почта для домена на нескольких сервисах?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Прочитайте мануал от google
    https://support.google.com/a/answer/9228551?hl=ru
    Вне зависимости от того, какие почтовые системы у вас, он поможет понять какую логику сосуществования двух почтовых систем для одного домена нужно реализовать.
    Ответ написан
    Комментировать
    Комментировать

  • Как мониторить изменения содержимого страниц на сайте с помощью Zabbix?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    если я правильно помню, подобный чек в заббиксе кроме всего прочего возвращает в хелсе разные данные, в том числе размер ответа. Честно, я не помню уже заббикс и под рукой его нет.
    Поставь вебчек и покопайся в том какие данные он соберет
    Если размера ответа нет - всегда можно использовать юзерпараметры на заббикс агенте или скрипты на заббикс сервере и использовать скрипт
    curl https://example.com | grep -c "Example"
    и реагировать на изменения.

    Про наличие строки в ответе: Есть вариант что она там не одна nfrfz, используйте более уникальный вариант
    Ответ написан
    Комментировать
    Комментировать

  • Как маленькому веб-проекту спасаться от DDoS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Трафик у вас nginx принимает - настройте rate limiting . Для этого все равно надо будет провести анализ - какие лимиты на какие урлы для вас ок.
    Кроме этого можно настроить рейт лимитинг для одного src ip. nginx так-то штука мощная в плане возможностей и настроек защиты.

    Если вам не хочется разбираться с nginx - подключите сайт в cloudfront, в него встроены необходимые сервисы защиты, как и написал Иван Шумов . Впрочем, их тоже надо понять как правильно настроить.
    Ответ написан
    Комментировать
    Комментировать

  • Как сгенерировать ssl сертификат let's encrypt через certbot и dns txt запись?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    на всякий случай отмечу
    1. сертификат придется перевыпускать каждые 3 месяца (или с меньшим интервалом чтобы не допустить истечения срока действия сертификата. А значит и с таким же интервалом придется оставлять заявку на установку нового сертификата на платформе
    2. платформа не предоставляет вам такой возможности, а значит, приватный ключ сертификата вам придется передавать через интернет? Это уже отметает смысл использования сертификата. Насколько я знаю, нет лёгкого способа сгенерить LE серификат только с помощью CSR нет.

    По основному вопросу: не вижу что тут непонятного:
    Alexey Dmitriev уже написал:
    1. скрипт скажет какие записи надо создать в вашей доменной зоне. Если вы ей не владеете(она принадлежит платформе) - вам подходит только http подтверждение.
    Ответ написан
    Комментировать
    Комментировать

  • Как установить клиент Software Center на Windows 10?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Software Center is an application that's installed when you install the Configuration Manager client on a Windows device. Users use Software Center to request and install software that you deploy link
    Microsoft Endpoint Manager is an integrated solution for managing all of your devices. Microsoft brings together Configuration Manager and Intune

    В общем пара минут поиска в гугле и в доках MS.
    Ответ написан
    Комментировать
    Комментировать

  • Как написать батник, который удаляет файлы, в которых есть строка с заданным содержимым в заданной директории?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    в помощь: https://ss64.com/nt/
    подсказка от КО:
    вам понадобится команда которая ищет строки в файлах (одна из)
    вам понадобится команда которая выполняет другую команду для всех результатов выполнения третьей команды
    вам понадобится команда которая выполняет удаление файлов (ха-ха, простите).

    Или же возьмите powershell (хватит откапывать стюардессу мучать cmd )
    Оба скрипта получатся довольно простыми, что на Posh что на cmd
    Ответ написан
    1 комментарий
    1 комментарий

  • Python. Существуют ли модули, которые выводит уведомление в Windows 10 и по клику совершают действие в скрипте Python?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Вы можете использовать powershell , например, скрипт из этого ответа на stackoverflow, если вам нужно решать практическую задачу "показать нотификашку и по клику сделать действие".
    Или же проковырять вот этот модуль (cсылка на PR в котором реализован нужный вам функционал но в код не вмержено)
    Ответ написан
    7 комментариев
    7 комментариев

  • Пересылка почты Exchange с изменением темы?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Как правило это делается с помощью правил обработки почты на транспортном сервере exchange.
    ориентируйтесь на mail flow rules
    Отмечу, что в разных версиях exchange это может настраиваться и работать по разному, мои отношения с MS Exchange закончились на 2010 версии.
    Ответ написан
    1 комментарий
    1 комментарий

  • Архитектура/стек для telegram - бота, где не прав? Aws. +Метрики. Логи?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Плюсану к Иван Шумов, с небольшими добавками.
    Если пет проект - телеграм бот с описанной вами архитектурой, то не стоит городить еще один пет-проект "прометеус мониторинг" рядом. Клаудвотч для вас предоставит достаточный уровень логирования\мониторинга для бота, причем в дальнейшем его можно расширять так же сервисами AWS
    Крутить prometheus рядом, конечно, можно, но, как и упоминал Иван, это приведет к удорожанию проекта: вам необходимо будет забирать метрики исполнения функций из CloudWatch (что довольно таки дорого) и\или слать метрики\логи из лямбд напрямую в ваш прометей, что увеличит стоимость выполнения лямбды
    Я бы возложил хранение метрик и логов на cloudwatch, и решал проблемы мониторинга-логирования когда они возникнут (если вы действительно что-то не сможете клаудвотчем сделать)
    Ответ написан
    1 комментарий
    1 комментарий

  • С чем связана ошибка?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    C:\Users\AppData\Roaming\npm\gulp.ps1
    Вы выполняете не скрипт cmd а скрипт powershell.
    гуглите powershell execution policy в сочетание с вашей ошибкой, чтобы решить проблему.
    Ответ написан
    1 комментарий
    1 комментарий

  • Можно ли на фоновых рисунок поставить как бы страницу html?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Из соображений безопасности MS выпилило эту фичу еще в Windows Vista. Называлось оно "Active Desktop" - гуглите active desktop replacement - есть не MS программы для реализации оного, но ставить и использовать их - на свой страх и риск
    Ответ написан
    6 комментариев
    6 комментариев

  • Сервер для малой организации (5-15 чел)?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Единственная адекватная помощь здесь - бросьте эту затею
    Запихать на одну единственную дешевую железку кучу сервисов, без опыта в этих сервисах, да еще и получить после этого адекватное количество геморроя при поддержке - нереальная задача.
    Ответ написан
    8 комментариев
    8 комментариев

  • Как вызвать jscript из POWERSHELL?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    start-process "cscript.exe" -argumentlist "script.js" ?
    Ответ написан
    1 комментарий
    1 комментарий