Ответы пользователя по тегу Amazon Web Services
  • Как настроить https на балансировщике на aws?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Сертификат можно выпустить на сервисе amazon ACM для вашего домена, привязанного к адресам балансировщика.
    Ответ написан
    1 комментарий
  • Сайт на EC2 недоступен по ip, Что делать?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Если это все шаги которые вы проделали, значит вы забыли открыть доступ по порту 80 к вашему инстансу.
    По умолчанию, открыт только ssh\rdp доступ - вы настраивали это правило когда запускали инстанс руками. Скорее всего прокликали и не заметили, хоть там
    и предлагается не открывать на 0.0.0.0/0.
    Откройте список инстансов, выберите внизу в свойствах его security group
    Откройте ее, выберите inbound
    Добавьте правило доступа для порта 80 (есть темплейт "http") и требуемого диапазона IP адресов в формате CIDR - есть возможность выбрать "my ip" и доступ ограничится только для вашего выходного IP адреса у вашего провайдера.
    По идее, лучше всего будет отредактировать правило для 22-го порта и выбрать там my ip.

    Описанное выше - не единственная точка, которую нужно проверить.
    Другие варианты:
    локальный файрвол на машине
    AWS Network ACL
    недоступность IP адреса из вашей страны (в России РКН еще не все разблокировал)
    Ответ написан
    1 комментарий
  • Как настроить "локальную" сеть Windows на Amazon AWS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Сначала проверьте, что ваши инстансы в принципе видят друг друга :
    Откройте все порты с помошью ingress правила от слейвов с (условно) секьюрити группой sg-slave к мастеру с (условно) секьюрити группой sg-master и наоборот.
    Удостоверьтесь, что все всё видят и доступ работает.

    Дальше убираем это правило и начинаем открывать конкретные порты.

    1. В egress правилах оставляйте только разрешить 0.0.0.0\0 на все порты (если вашему инстансу требуется подключаться к интернет ресурсам) или разрешить VPCCIDR на все порты (если ваш инстанс не ходит в интернет а живет только внутри VPC)

    2. Все правила настраиваем только через ingress. Нужен доступ со слейва к мастеру на порт 27100 - в ingress правилах sg-master делаем разрешить sg-slave доступ на 27100 порт

    3. Порты сервисов, таких как монга, как правило, известны. Сложнее с системными портами windows (которые требуются для многих windows сервисов, как например файловая шара)
    Открываем сразу известные вам порты по подсказке отсюда
    Выбираете сервисы которые должны быть предоставлены slave машинам от мастера и\или наоборот от слейва к мастеру.

    4.
    Открыли все по минимуму, что еще открыть неясно, но ничего не работает? Включите flow logs (читаем документацию AWS) на подсетях, в которых вы запускаете ваши инстансы, детализация - отказ в доступе.
    Смотрим, куда ваши машины хотят лезть, проверяем что за порты и открываем в случае необходимости, и так до победного, пока все не заработает
    Ответ написан
    Комментировать
  • Доступ к объекту s3 по ссылке?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    docs.aws.amazon.com/powershell/latest/reference/in...
    он же aws s3 presign s3://bucket/object

    Настраивать права дополнительно нет необходимости, так осуществляется доступ к объекту в приватном бакете.
    Ответ написан
    Комментировать
  • AWS: Как передавать большие файлы (например, конфиги) в USERDATA при создании LaunchConfiguration?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    1. AMI
    Все плюсы и минусы вам расписали.
    2. S3 bucket
    Поддерживает шифрование, в том числе и клиентским(вашим) ключом - вы можете свободно положить в приватный бакет всю необходимую секретную информацию и простым aws s3 cp в юзердате всё получить.
    Обновление сертификатов и конфигов, соответственно, просто перезаливкой в бакет и пересозданием инстансов ASG
    Это вместо некоего веб хранилища.
    3. SSM parameters
    Можно перед развертыванием ASG инициализировать параметры вашего окружения, вплоть до сертификатов в зашифрованных ключах SSM и при развертывании забирать значения из SSM
    Более сложно чем бакет, поскольку предназначается для кросс-датацентрового обмена секретами.

    В вашем случае наилучшим решением будет s3 бакет, а самым простым и быстрым в реализации - AMI
    Для того чтоюы не передавать access key и secret key для работы с амазоном в юзердате - используйте aws instance profile с нужными инстансу политиками.
    Ответ написан
    Комментировать
  • Достаточно ли надёжны security groups?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Если есть сомнения в безопасности - значит надо настраивать дополнительный уровень :D
    AWS предоставляет два уровня безопасности в VPC :
    Network ACL и Security Groups
    Первые служат для ограничения доступа между подсетями, вторые - между сетевыми интерфейсами в VPC
    Несмотря на то, что Между ними есть довольно сильная разница в поведении\применении (описана в таблице docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC... ) выполняют они примерно одну и ту же функцию.
    Как дополнительная возможность безопасности(рекомендуемая AWS в вышеуказанной статье) - внутренний firewall вашей OS может закрыть link-local( 169.254.x.x) и трафик на первые 4 адреса вашего VPC (внутренний функционал AWS, этот трафик даже не отслеживается с помошью flow logs, не то что контролируется).

    Однако же, рекомендуется firewall внутри инстанса все же настраивать соответственно вашим правилам.
    Безопасности мало не бывает, а для того чтобы правила на всех слоях безопаности соответствовали - используйте IAAC.

    Ах да, ответ на вопрос : Достаточно надёжны.
    Ответ написан
    Комментировать
  • Самый простой путь к настройке VPN к AWS VPC?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Лучше описать вашу "более сложную топологию" и проблемы с которыми столкнулись.
    Как правило, если в дефолт VPC у вас все завелось, то при поднятии VPN хоста в паблик подсети вашего VPC доступ внутрь VPC работать будет. Проблемы могут быть в маршрутизации, доступе(SecurityGroup\NetworkACL) и других особенностях организации вашего VPC.

    Если у вас внутри вашего VPC только linux хосты - лучше не исполmзуйте VPN для администрирования. Рекомендованное решение - бастион.
    Для доступа ваших пользователей внутрь VPC пока только VPN.
    Ответ написан
    3 комментария
  • VPC Amazon Cloud, с чего начать или какие есть альтернативы? Как рассчитать стоимость?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    lightsail, как можно догадаться по названию, это упрощенный(легкий) интерфейс над вычислительными - Elastic Compute Cloud (EC2) сервисами. И немного более дешевый в связи с тем, что контроля вам дают мало. Однако он сразу реализует некоторые паттерны и наборы сервисов для быстрого старта. Это - путь стартапов.
    Lightsail, насколько я помню, запускается в "VPC по умолчанию" которым управляет AWS и где все сервера живут в публичной подсети, что небезопасно.

    Та схема которую вы хотите, наверное, реализуется lightsail-ом, но для большего контроля все таки рекомендуется организовать свой VPC (Virtual Private Cloud) - компонент сетевых сервисов AWS.
    В вашем случае потребуется что-то вроде(для оценки стоимости) :

    1. Балансировщик :
    - ALB\ELB сервис (отдельный прайсинг). HA сервиса обеспечивает AWS
    или
    - два инстанса нужного вам балансировщика (Nginx, HAProxy и другие). HA и прочая обеспечиваете вы.

    2. N бэкендов нужного типа (смотрите стоимость конкретного инстанса соответствующего вашим потребностям)

    3. реплицируемые базы :
    - вы можете взять 2 инстанса нужной мощности(платите за инстансы) и настроить все сами
    или
    - взять RDS (отдельный сервис, другой прайсинг) нужной базы где HA и обслуживанием будет заниматься AWS для вас, предоставляя вам эндпойнт для подключения с серверов.

    4. Файловое хранилище. Тут интереснее
    Если у вас Windows : вам понадобятся два инстанса для обеспечения отказоустойчивости и HA
    Если у вас *nix : вы можете сделать так же как с WIndows или взять EFS (отдельный сервис, где вы платите за занятое место) который высокодоступен и может быть подключен к разным *nix инстансам одновременно.

    5. Внутренности VPC
    VPC организуется так же как и любая сеть в железном эквиваленте.
    Подсети - приватные, публичные
    Настройка роутинга для публичных подсетей, для приватных подсетей через NAT инстанс\сервис
    NAT инстанс или сервис
    VPN инстанс или бастион (для доступа к инстансам в приватной подсети)

    Вот тут вы уже можете подсчитать во сколько обойдется примерно владение только инстансами и необходимыми сервисами.
    Сколько у вас будет непредвиденных расходов на передачу данных и тп. - вы сможете увидеть только по результатам билинга за первый месяц.

    Это мое личное мнение по тому, как следовало бы сделать в вашем случае.
    Может статься, что вы не осилите (у каждого своя скорость освоения) это достаточно быстро и быстрее реализуете другую схему - это на ваш выбор
    Ответ написан
    Комментировать
  • Как грамотно работать с Amazon S3?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Определитесь, вы хотите место для хранения статики и вам без разницы будет с какой скоростью она будет отдаваться (S3) или все таки быструю доставку статического контента (CloudFront)
    docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHos... - в статье есть ссылки и описания как настроить корректно, как привязать свой домен, если понадобится, чтобы не использовать указанные вами длинные имена.
    https://calculator.s3.amazonaws.com - можно приблизительно посчитать траты на использование сервисов.
    В любом случае, как показал мой опыт, вы чего-то да не усмотрите, и будут дополнительные траты, например, на трансфер данных между, скажем, регионами и тд и тп.

    В общем случае вам надо залезть в калькулятор, посчитать приблизительную сумму, накинуть процентов 10-20 сверх, затем посмотреть на хостеров, как предложил ExcuterMaaax и определиться где вам будет :
    1. дешевле сейчас
    2. дешевле через год
    3. удобнее
    4. с расчетом на масштабируемость и надёжность.
    5. надёжнее в смысле корректности настройки серверов (в амазон s3 вы вообще серверов не касаетесь, как вы уже заметили в вопросе)
    Ответ написан
    3 комментария
  • Как подключаться к windows server по IP и порту в nodejs через сервис AWS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    При запуске инстанса (руками, через веб консоль) вам предлагалось в том числе и настроить SecurityGroup: настройки правил доступа c определенных мест по определенным портам (и делают строгое предупреждение, если вы оставляете в группе безопасности источник 0.0.0.0/0)
    Вы настроили для вашего IP адреса/подсети разрешения доступа к 8080-му порту?
    Ответ написан
    2 комментария
  • Как в AWS VPC привязатать приватный IP к машинке EC2?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    private IP не меняются до терминейта тачки.
    For instances launched in EC2-Classic, we release the private IP address when the instance is stopped or terminated. If you restart your stopped instance, it receives a new private IP address.

    For instances launched in a VPC, a private IP address remains associated with the network interface when the instance is stopped and restarted, and is released when the instance is terminated.

    docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-...

    Так же, вы можете оперировать набором secondary private IP если ваши процессы подразумевают пересоздание инстансов для апгрейда\замены: можно к определенным инстансам цеплять определенные secondary PIP. Схема выглядит немного извращённой, но видел случаи где пригождалось.
    Например к Primary PIP не привязывались когда сначала нужно было создать новый инстанс, а потом только терминейтнуть старый: primary PIP от инстанса не отвяжешь, а после создания нового Secondary PIP переезжал на новый и приложение работало уже с новым инстансом - с возможностью отката к старой версии.
    P.S. для всех кто захочет прокомментировать про Secondary PIP - я такое только видел, в работе использую Consul не считайте извращенцем, пожалуйста :D
    Ответ написан
    1 комментарий