我有一个Web应用程序,利用它的一些configuration(数据库证书,API密钥等)的环境variables。 我目前正在使用Elastic Beanstalk进行部署,并且可以在AWS中轻松设置这些,这很好,因为我的代码库中没有这些敏感数据。 不过,我正在考虑从Elastic Beanstalk进行切换,这样我可以利用我的web实例更灵活一点,自然我正在考虑使用CodeDeploy部署(从我的Codeship CI设置)。 CodeDeploy非常简单,我已经将它与Codeship集成在一起,但我注意到没有像Elastic Beanstalk那样使用CodeDeploy设置环境variables的内置function。 有没有人有这个过程的最佳做法?
当我进入EB实例时,我可以连接到RDS实例。 但是,一旦进入Docker(我已经通过在Docker下运行bashtesting过了),我无法连接到它。 但是,我可以访问更广泛的互联网。 我可以ping google.com成功。 我如何连接到这个RDS实例?
我有一个问题是这个问题的延伸: AWS安全组不足以作为防火墙的例子? 。 最初,这个问题的答案对我来说是有意义的,而且我正在假定作为AWS安全组的防火墙对于我的应用程序基础架构来说已经足够好了(具有公共/专用子网+互联网网关+ NAT设备的AWS VPC +弹性负载平衡器)。 但是,今天早上,当我醒来检查我的服务器日志,我看到我收到了约。 一千个垃圾邮件GET请求过夜到不存在的path,从而导致从我的服务器404响应。 请求不断,并没有停止的迹象。 请求的IP地址是不同的,但在一个特定的范围内。 因此,我更新了Elastic Load Balancer上的networkingACL入站规则,并添加了一个拒绝对该范围内的IP地址的访问。 在这一点上,请求停止击中我的应用程序服务器。 我不知道攻击者是否试图阻止我,或者这只是标准的垃圾邮件。 自从我的系统上线以来,在过去的几个星期里,我每隔几小时就会收到类似这样的请求,但这些请求的数量/频率是我从未见过的。 我对服务器操作相对较新。 我很高兴能够阻止攻击继续加载我的应用程序服务器,但是我想知道是否有一个Web应用程序防火墙(实现为WAF三明治:Load Balancer-WAF-Load Balancer)如果整个情况都会照顾好我的话。 由于我是这个领域的新手,当我在这里阅读不同WAF产品的产品营销详情时,我的答案并不清楚: https ://aws.amazon.com/marketplace/search/results/ref=srh_navgno_search_box?page = 1&searchTerms = web +应用程序+防火墙 。 我真的在寻求实用的build议,以确定我是否需要在我的基础架构中使用WAF(即,我实际上不能依赖AWS安全组来保护我的系统免受垃圾邮件/ DDOS的攻击),以及我在产品中需要的基本function。 提前致谢! PS我的应用程序不是build立在SQL上,所以我不担心SQL注入攻击。
我刚开始尝试AWS。 我在RDS上有一个Postgres微型实例,我在c4.large上运行一个爬虫。 当我只有一个蜘蛛(一个线程),我得到大约10个写入IOPS。 但是如果部署了两个蜘蛛(2个线程),我只能得到大约7个写入IOPS。 如果我理解正确,因为我已经分配了20GB,那么最大IOPS总计应该是60IOPS。 我附上了下面的监测。 当只有一个蜘蛛被部署时: 当第二只蜘蛛被部署在旁边时: 请注意,从平均10次写入IOPS降低到平均7次写入IOPS。 任何帮助都感激不尽。
我们正在使用OpsWorks将基于Laravel的应用程序部署到AWS。 我们已经通过OpsWorks控制台定义了环境variables,并且Apache可以正确地看到它们。 但是,在运行诸如artisan命令的CLI任务时,它们不会被设置。 我知道这是由于在Apache的虚拟主机configuration文件中设置了环境variables。 我想我可以通过运行一个能够回应这些variables的部署钩子来解决这个问题,并将它们附加到/etc/environment ,但是这种方式不起作用(即使这样做也是令人难以置信的)。 有没有其他办法可以做到这一点? OpsWorks是否允许这个特定的要求? 谢谢。
我背后是一个基于URL的应用程序防火墙,目前使用s3cmd工具来访问亚马逊的S3服务。 做了一些search,要求我把s3.amazonaws.com列入白名单,但是我看到s3cmd使用了一个自定义的URL,这个URL是s3:// [bucket-name]。 在这种情况下,将白名单amazonaws.com仍然工作,还是有什么需要被列入白名单?
有一个问题,一个实例变得没有响应,并被迫重启。 重新启动后,我可以ping服务器,但不能SSH到服务器。 最终,我创build了一个新实例,并将卷连接到新实例。 不过,我想确保当我重新启动这个实例时,我不会遇到同样的问题。 看着控制台日志,我看到: [2.968537] EXT4-fs(xvda1):INFO:只读文件系统需要恢复 [2.972324] EXT4-fs(xvda1):写入访问将在恢复期间启用 [3.095607] EXT4-fs(xvda1):只读fs上的孤立清理 [3.354696] EXT4-fs(xvda1):删除了40个孤立的inode [3.358010] EXT4-fs(xvda1):恢复完成 [3.465864] EXT4-fs(xvda1):安装了有序数据模式的文件系统。 选项:(null) 我的sshd_config文件有两个默认的UsePAM设置为no和PasswordAuthentication设置为yes。 我不认为这跟它有什么关系。 我的/ etc / fstab文件被设置为:LABEL = cloudimg-rootfs / ext4 defaults,discard 0 0 / dev / xvdb / mnt auto默认值,nobootwait,comment = cloudconfig 0 2 / dev / xvdg / hd3 auto noatime 0 0 / dev / […]
我正在使用AWS EC2 Linux m3.xlarge运行一个名为“智能信息检索系统”的程序,该程序执行许多到/来自磁盘的I / O操作。 我曾尝试在笔记本电脑和其他集群上运行相同的程序,性能比AWS EC2高10倍,即使实例规格要好得多。 可以解释这种行为的唯一解释是,如果AWS提供单个文件系统来存储所有数据和索引文件,而内部则来自文件的块存储在散布在群集中的不同辅助磁盘上。 它在AWS EC2中以这种方式工作吗?
我有以下情况: 1 – 一个堡垒(NAT)的实例,我用它作为网关来转发ssh访问所有我的私人实例(使用iptables)[私有IP:10.10.1.10公共IP:200.147.160.24] 2 – 在我的堡垒实例(使用互联网网关)相同vpc (但不在同一子网下)的公共实例[私有IP:10.10.9.23公共IP:186.192.90.5] 我想通过在堡垒(1)中的iptables向前访问我的公共实例(2),但我可以。 它导致超时。 (所有其他转发到私人实例的作品)。 这是有趣的,因为: – 如果我通过使用公共IP直接ssh公共实例工作正常。 如果我SSH入堡垒,然后ssh使用其私有IP的公共实例,它也可以正常工作。 这是我在我的堡垒中使用的iptables规则: iptables -t nat -A PREROUTING -d 0.0.0.0/0 -p tcp –dport 1500 -j DNAT –to-destination 10.10.9.23:22 这工作: ssh [email protected] 这工作(内部堡垒(1)): ssh [email protected] 这不起作用(超时): ssh -p 1500 [email protected] 所有使用的端口都在安全组中打开。 公共ips不是真实的,只是例如 任何想法表示赞赏。
我有一个工作,从数据库获取数据,运行一些代码,并将结果上传到S3存储桶。 代码运行大约需要1分钟,结果文件大约为10MB。 EC2实例和S3存储桶都位于us-west-1中。 我一次在多个EC2 m3.large实例上运行此作业的单独实例。 通过多达约175个实例,上传时间不到一秒钟。 这不是很多的同时请求; 也许高达5 /秒。 在将其增加到200个实例之后不久,上传需要40-60秒,有时甚至更长。 看起来,这不应该是一个不寻常的数据发送到S3,并且个别机器似乎没有问题(CPU 40-50%)。 什么可能导致这个? 我可以达到networking带宽限制吗? 如果是这样,我怎么知道? 这些文件是用一个唯一的ID命名的,所以我试着反转ID来分散键(如https://cloudnative.io/blog/2015/01/aws-s3-performance-tuning/所述)。 这并没有改变行为。