我们希望在端口21上使用TCP健康状况检查,以便在具有弹性IP的EC2实例上运行的一对FTP服务器的Route 53故障切换。 问题是,我们有一个安全组中的FTP服务器,它只允许来自CIDR块的小白名单的连接(FTP足够糟糕,但是广泛的FTP是可怕的)。 安全组正在阻止来自Route 53的运行状况检查程序的连接。 我知道有很多方法可以查询当前的健康检查者列表,理论上你可以相应地更新你的安全组,但是这看起来很不方便。 所以我甚至尝试通过PHPbuild立一个小的HTTP状态页面,这将连接到端口21(理论上甚至可以传输文件,以确保一切正常)。 我想我可以让路线53打到这个状态页面(不幸的是必须向世界开放,但是这比远离FTP服务器更好)。 由于我不知道EC2实例的IP地址,所以我正在configuration安全组以允许来自安全组内的所有主机的连接。 但显然,如果您尝试连接到弹性IP地址,则安全组设置不会转换(哪种types是有道理的,但是会让我的方法超出窗口)。 所以我开始用尽想法。 任何人有一个很好的方法来处理一个限制CIDR块访问的实例的TCP健康检查的一般问题?
背景 我的网站已经使用CloudFlare与Let's Encrypt成功一年或两年。 这些网站是在EC2上托pipe的,它们具有有效的让我们为根,www和所有使用的子域encryption证书。 该网站由Wordpress运行。 我在做什么 作为学习练习,我决定将我的一个域名wildphotography.co.nz更改为Route53和CloudFront。 它并没有好转。 问题 使用CloudFront从CloudFlare迁移到Route53后,我无法查看我的网站。 详情如下。 我期望的最终状态是Route53是我的DNS服务器,CloudFront是我的CDN。 请注意,我已经恢复到CloudFlare,因为我需要我的网站在线。 我有Route53作为我的DNS服务器3-4小时,我可以看到它是解决R53。 问题的细节 在我设置好之后,就是我在浏览器中看到的问题 由于Route53设置,域的请求被发送到CloudFront。 CloudFront提供的证书用于* .cloudfront.net域。 因此,不匹配。 我相信我理解这个问题,但是我无法解决如何解决这个问题。 如果我转到Cloudfront URL(d1b5f3w2vf82yc.cloudfront.net),则会出现此错误。 当然,去这个URL通常不会有帮助。 这是一个SSL诊断 这是我的CloudFront设置。 请注意,在我更改了一些较小的内容后,我进行了截图,这就是为什么它显示“正在进行”。 我让它在我testing之前传播。 首先是CloudFront概述 CloudFront原始设置 CloudFront根行为 请注意,我在我的Nginx Web服务器上从http转发到https,所以我不打扰CloudFront执行此操作。 这给了我日志中的额外信息,对诊断有用。 Route53设置 我删除了一些与电子邮件无关的logging。 请注意,www和非www域都是指向CloudFront分配的别名logging。 它不会接受一个别名 – 我甚至不知道这是否是一个有效的组合。 我试过了 我创build了一个新的子域,origin.wildphotography.co.nz,这是www.wildphotography.co.nz的一个cname。 我相信这是必要的,所以CloudFront可以find原始服务器的IP。 我尝试过CNAME,别名,而不是别名,各种各样的东西。 一件奇怪的事情是,当它与R53 / CloudFrontbuild立起来时,一些请求正在通过CloudFront。 不多,但一些。 任何想法,将不胜感激。 我怀疑我的Route53设置不正确。
在AWS控制台中,我可以将IAM用户分配给其权限由相关策略定义的组。 IAM中的凭证报告似乎只报告IAM每个用户的一些基本属性及其最后login时间(从各个字段(如password_last_used和access_key_1_last_used_date )推断出来)。 但它没有告诉我组或angular色级别的信息。 有什么办法可以监视任何尝试,成功或以其他方式更改这些权限?
我疯了,因为这应该很容易,尤其是当遵循亚马逊文档。 我一直在使用这个从亚马逊的参考 。 只是试图更改AWS EC2实例用来parsing域名的DNS服务器。 编辑/ etc / sysconfig / network-scripts / ifcfg-eth0,设置PEERDNS = no,添加DNS1 = 10.0.0.11,保存,重启,不掷骰子:仍然可以在/etc/resolve.conf中看到10.0.0.2名称服务器, ping到内部服务器的FQDN(server.mycorp.company.com)将失败,因为它需要我们的内部DNS服务器来parsing名称。 如果我手动编辑resolv.conf并更改nameserver行以反映我们的DNS服务器10.0.0.11,ping工作。 据我所知,服务器正在运行最新的Amazon Linux AMI 2017.03。 完成/ etc / sysconfig / networking-scripts / ifcfg-eth0: DEVICE=eth0 BOOTPROTO=dhcp ONBOOT=yes TYPE=Ethernet USERCTL=yes PEERDNS=no DHCPV6C=yes DHCPV6C_OPTIONS=-nw PERSISTENT_DHCLIENT=yes RES_OPTIONS="timeout:2 attempts:5" DHCP_ARP_CHECK=no DNS1=10.0.0.11 * IP地址已经改变,以保护无辜
我有一个EC2 Ubuntu主机,我有一个用户帐户,负责在不同的时间运行不同的任务。 每个任务都需要由相应的IAMangular色表示的特定权限(我称之为“个人档案angular色”)。 这个想法是授予这个用户在需要时承担这些angular色的权限。 现在, ~/.aws/credentialsconfiguration如下所示: [default] aws_access_key_id = XXX aws_secret_access_key = YYY [profile1] role_arn = arn:aws:iam::XXXXXXXXXX:role/role-for-profile1 source_profile = default [profile2] role_arn = arn:aws:iam::XXXXXXXXXX:role/role-for-profile2 source_profile = default … [profileN] role_arn = arn:aws:iam::XXXXXXXXXX:role/role-for-profileN source_profile = default defaultconfiguration文件中的用户具有一个权限:承担以role-for-profile开始的任何angular色。 JSON策略如下所示: { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1494333413000", "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::XXXXXXXXXX:role/role-for-profile*" ] […]
我们正在开始将我们的基础架构从VMware迁移到AWS。 VMware允许您打开与虚拟机的控制台连接,查看屏幕上没有RDP的情况。 这基本上就像直接login到机器一样,就好像它是真实的,而且你在它之前。 这对于我们需要持续会话的一些内部应用程序特别有用,并且执行屏幕抓取和OCR等操作。 他们还自动生成击键和鼠标移动。 我想知道是否可以在AWS中使用VMware中的控制台会话。 我发现远程接近可能工作的唯一方法是在其上安装VNC,这会引发其他安全风险,因此这不是一种select。 任何人遇到这个,有任何想法? 仅供参考:我们的机器目前是Windows 7和Server 2012
我的理解是,一个新的RDS实例将根据需要从快照中“分页”,如此处所述的EC2卷。 这是目前造成我痛苦:我正在一个新的testing实例上运行一个大的查询; 运行需要10-15分钟,但最后一个小时才能运行。 这个实例具有1,000GB的存储容量,所以3000 IOPS,但是在控制台中我看到<100 IOPS(有时甚至小于20读取IOPS)。 通常我会使用mysqldump进行完整的数据库备份并将其发送到/dev/null – 但需要12-18个小时。 我过去曾经在多个表上做过表扫描查询,希望这些IO能够并行发生。 有谁知道更好的方法来预热音量?
我已经在Windows Server 2012R2镜像上使用了4个10GB GP2 EBS卷和RAID0,如下所示: http ://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/raid-config.html我使用的实例types是R3。大 当爆发池满的时候,我期待看到4 * 3000(12K IOPS),但是我一直只能达到7480 IOPS。 没关系。 之后,我将实例types更改为R4.large,它应该使用更新版本的CPU(broadwell而不是Ivy Bridge),而且最可能更快。 我保持一切相同,相同的磁盘,相同的操作系统,相同的testing:性能比R3.large大约6480 IOPS。 这里有什么问题? 为什么更近一代的同一个实例组(R-“强化记忆”)performance比以前更差?
每个构build工件都是39MB,每次提交构build时,都会向代码pipe道S3存储桶添加另一个39MB工件。 有没有办法自动删除旧的工件?
我想上传一个Web应用程序的公共图像到一个服务,如AWS S3或Google云平台。 这将是公众形象,如用户个人资料图片,主页图片…所以没有一点私人桶(我猜)。 在AWS或Google云平台上有没有办法阻止用户进行某种DDOS攻击并杀死我的预算? 一种比率限制? 或者像“每天100美元之后我想拦截我的存钱桶并停止收费”。 ?