首先 ,我使用这些作为基础指南: http : //docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ami-create-standard.html http://reduktor.net/2014/09/autoscale- EC2-实例-AD-AWS / 其次 ,我们的地区不支持AWS目录服务 脚本 我期待为我们拥有的一套应用程序服务器创build一个“基本AMI”。 我可能需要部署一个或多个基于此映像的新服务器。 这些实例最初是从EC2 Windows Server 2008 R2 Datacenter base AMI(由Amazon创build)创build的, 应用程序本身是静态的,授权是完全可再分发的,并且configuration不需要在一台机器上改变。 唯一不同于一台机器的是主机名和networkingconfiguration。 networkingconfiguration是由EC2处理的, 所以主机名实际上是唯一需要从一次实例改变到另一次实例的事情 这些机器是Active Directory的一部分,并且具有应用于机器的特定OU组策略规则。 他们都将join同一个OU。 目标: 我的目标是有一个基地的AMI。 当这个AMI启动时,它自动join域OR已经join到域中。 从计算机REQUIRE域帐户运行的应用程序运行Windows服务。 所以我不能有没有join到域的图像。 我有一个想法(明天会testing): 创build一个默认/通用主机名“server-xy”,join域并创build我的AMI。 closures源虚拟机,然后从AMI进行部署。 一旦启动,将其重命名为最终的主机名“server-02”。 然后从AMI部署另一个,重新命名,冲洗并重复 – 声音可行? 编辑:这不起作用,因为重命名它在域级别使原始主机名无效。 好像我想做什么可能是不可行的。
我在AWS VPC-A 172.31.0.016和VPC-B 172.17.0.0/24上有2个VPC 我创build了一个VPC对等,我可以从VPC-A到达VPC-B上运行的所有服务,反之亦然。 现在我在VPC-B创build了一个地址为172.17.0.0/16的法兰绒虚拟networking etcdctl set /coreos.com/network/config '{ "Network": "10.17.0.0/16", "Backend": {"Type": "aws-vpc"} }' aws-vpc后端正在工作,因为路由出现在VPC-B路由表中,而VPC中的机器可以访问在法networking上托pipe的服务,但是我无法从VPC-A到达172.17.0.0/16主机。 VPC-A路由表: $ aws ec2 describe-route-tables –route-table-id rtb-f6e7e59d —————————————————————————————————— | DescribeRouteTables | +—————————————————————————————————-+ || RouteTables || |+————————————————+————————————————-+| || RouteTableId | VpcId || |+————————————————+————————————————-+| || rtb-f6e7e59d | vpc-ffe7e594 || |+————————————————+————————————————-+| ||| Associations ||| ||+————-+—————————————————+——————————+|| ||| Main | RouteTableAssociationId | RouteTableId […]
请注意,这也已发布在http://thread.gmane.org/gmane.comp.web.haproxy/27737 我们正在尝试configuration这个架构: ELB使用预先configuration的证书终止SSL。 (这是一个要求,因为只有受限制的人才能访问最终用户证书) ELB使用SSL连接到HAproxy后端(也是要求) ELB按照http://amzn.to/1YajEG3中的说明发送代理标头 HAproxy在443中侦听SSL HAProxy用于做一些HTTP转换(修改标题等)。 一旦ELBconfiguration为SSL +代理协议,我们尝试通过在HTTPS前端的绑定中添加accept-proxy来configurationHAProxy: frontend https-in mode http # Note, I truncated this line because the maillist 80 chars limitations bind :443 accept-proxy ssl crt \ /var/vcap/jobs/haproxy/config/cert.pem \ no-sslv3 ciphers … … 但它失败了: Received something which does not look like a PROXY protocol header 。 疑难解答我发现ELB发送SSLstream的PROXY头INSIDE。 例如,我运行openssl作为服务器: $ openssl […]
我正在使用Cloudfront和一个使用KMSencryption对象的S3来源。 发送S3存储桶中的对象的GET请求时出现以下错误。 Requests specifying Server Side Encryption with AWS KMS managed keys require AWS Signature Version 4. 我认为Cloudfront在使用AWS签名版本4时足够聪明,但可能不是? 看起来这是新S3地区的问题 。 亚马逊最近增加了对这些新地区的支持 ,但是我不认为他们已经用KMSencryption的对象解决了这个问题。 有没有人有这方面的经验,并知道是否有办法让Cloudfront的原产地访问标识使用签名V4?
我们目前将Google作为OpenID身份提供商用于我们的networking平台。 我们需要摆脱它。 我发现亚马逊Cognito(我们已经使用EC2 / S3和其他)。 我发现这里well_known: https://cognito-idp.us-east-1.amazonaws.com/us-east-1_UxUwcIy3y/.well-known/openid-configuration ://cognito-idp.us-east-1.amazonaws.com/us-east-1_UxUwcIy3y/.well-known/openid-configuration 然后我提取了https://cognito-idp.us-east-1.amazonaws.com/us-east-1_UxUwcIy3y的authorization_endpoint。 然而,无论我传递给它什么,包括response_type , scope , client_id , redirect_uri ,它总是给我: {"code":"BadRequest","message":"The server did not understand the operation that was requested.","type":"client"} 没有其他的信息。 似乎没有任何关于此function的公开文档。 我试图做什么甚至可能(使Cognito的行为像谷歌OpenID的IDP)? 有没有人有什么文件传递给authorization_endpoint。 据我所知,Amazon Cognito Mobile SDK提供了一种在应用程序中embeddedSSO的方法,但也许不可能像我这样直接执行此操作。 我已经设置了一个用户池。
如何让多个SFTP用户使用S3FS和OpenSSH? 一切正常,除了SFTP用户没有权限写入他们的Chrooted主目录: remote open("/some_file"): Permission denied build立 我有一个运行Amazon Linux的Amazon EC2实例。 我已经安装了S3FS并安装了一个S3存储桶。 我还configuration了OpenSSH以允许SFTP用户访问装载的S3 Bucket /s3_mounted_folder/user_folder/的Chrooted Home目录。 我已经成功地在非S3挂载的目录上使用SFTP连接。 我已经成功地使用S3存储桶,通过SSH在EC2实例上以root用户身份创build和下载文件。 我的SFTP用户可以成功从/s3_mounted_folder/user_folder/目录下载文件。 问题是SFTP用户不能put文件放到S3挂载的文件夹中。 问题…我想 我只能使用相同的用户:组和相同的权限来configuration所有文件夹( /s3_mounted_folder/和/s3_mounted_folder/user_folder/ ),因此我无法赋予用户写入其主目录的/s3_mounted_folder/user_folder/ ( /s3_mounted_folder/user_folder/ )。 如果我使用用户或组挂载存储桶并赋予写权限,则OpenSSH SFTP不会让用户连接,因为它认为用户权限configuration错误(例如: drwxr-xr-x 1 root root与drwxrwxr-x 1 root usergroup )。 S3FS命令 下面是在这两种模式下启动S3FS的两个不同命令(其中用户501和组501是SFTP用户和组): root用户权限( drwxr-xr-x 1 root root ): sudo s3fs nwd-sftp /sftp/ -o iam_role=sftp-server -o allow_other -o umask=022 sftp用户权限( […]
我试图设置我的应用程序,这是在EB上托pipe一个工作,将运行一些基本的cron作业,为应用程序消耗的数据提供一个RDS数据库。 我首先部署了这个cron.yaml : version: 1 cron: – name: "count" url: "/api/dostuff" schedule: "* * * * *" – name: "fetch" url: "/api/dootherstuff" schedule: "*/10 * * * *" 这给了我一个有严重健康问题的工人 100.0 % of the requests are erroring with HTTP 4xx. login到我的工作者ec2实例我注意到这在我的access_log 127.0.0.1 (-) – – [23/May/2016:08:54:13 +0000] "POST /api/dostuff HTTP/1.1" 404 207 "-" "aws-sqsd/2.3" 显然,它没有find端点。 我的印象是,工作人员与我的主要应用程序接口,并试图进行调查。 […]
有没有人有在AWS上运行Consul Agent的经验? 我有一个consul服务器集群正在运行,但想要使用AWS EB为每个Host实例部署Docker应用程序和docker consul代理(progrium / consul),以便应用程序可以使用本地主机上的consul,而不是我所有的应用程序直接回到领事服务器组。 这个页面提供了一个教科书Consulnetworking的一个很好的例子(没有引用AWS或者docker等) – https://jlordiales.me/2015/01/23/docker-consul/ 这是我的Dockerrun.aws.json { "AWSEBDockerrunVersion": "2", "authentication": { "bucket": "example-com", "key": "registry.example.com/example.json" }, "containerDefinitions": [ { … php app container defined here … "portMappings": [ { "containerPort": 80, "hostPort": 80 } ] }, { "cpu": 1000, "entryPoint": [], "environment": [ { "name": "CONSUL_JOIN", "value": "consul.example.com" }, { […]
AWS在提供公开VPN服务的VPC中提供了一个简洁的function。 我configuration了这个,并确认它的function。 我们的客户正在使用Cisco 5500系列ASA设备连接到AWS VPN服务。 AWS提供的FAQ描述了阶段1和阶段2支持以下Diffie-Hellman组: 问:你支持哪些Diffie-Hellman组? 我们在阶段1和阶段2中支持以下Diffie-Hellman(DH)组。 Phase1 DH组2,14-18,22,23,24 Phase2 DH组1,2,5,14-18,22,23,24 取自http://aws.amazon.com/vpc/faqs/ AWS为Cisco 5500 ASA设备提供示例configuration( http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Cisco_ASA.html )。 我可以证实,这确实build立了一个隧道。 但是,提供的configuration示例似乎正在使用DH组2,用于隧道build立的阶段1和阶段2,并且也使用IKEv1而不是IKEv2。 针对5500 ASA设备的9.1.x固件的Cisco发行说明build议避免使用组1和组2,实际上其他来源也build议应避免使用组5(AWS VPC不支持组1在阶段1中,所以这是相当有趣的)。 在configurationIKEv2时,出于安全原因,您应该使用组21,20,19,24,14和5.我们不推荐Diffie Hellman Group1或Group2。 例如,使用 encryptionikev2政策10 小组21 20 19 24 14 5 取自适用于iOS版本9.1x的Cisco ASA发行说明 AWS不提供最佳实践configuration,而他们的例子是“十个启动器”。 我build议对AWS示例configuration进行以下更新,但希望能够相信在将其提供给我们的客户之前,这将实现我认为达到的目标。 Ln 48 – 54改为: crypto ikev2 policy 10 encryption aes256 authentication pre-share group 24 lifetime 28800 hash […]
我最近使用AWS elastic beanstalk来迁移我的分析应用程序服务器。 一切正常,只是简单的HTTP,但我需要更多的安全性,所以我已经尝试深入AWS文档设置与我的服务器的HTTPS。 我的目标是有一个可扩展的服务器,使用负载均衡器来保护我的API调用中的所有参数。 我做了什么: 从Namecheap购买了一个域名。 在Namecheap中设置一个CNAME别名来指向我的负载均衡器的DNS 使用AWS Certificate Manager为此购买的域名创build证书 在我的beanstalk实例的networking层中添加了一个负载平衡器 为此域创build了一个Route 53托pipe区域并添加了一个logging集 现在我不知道如何使用或testing这个。 在我有一个负载平衡器之前,我只需input我的beanstalk实例在调用分析服务器时的DNS名称 curl -X GET -H“X-Parse-Application-Id:XXX-XXX-XXX-XXX”-H“Content-Type:application / json” https://my-name.us-east-1.elasticbeanstalk。 COM /parsing/class/ GameScore 但任何时候我运行这个我得到一个:curl:(51)SSL:没有替代证书主题名称匹配目标主机名称错误。 所以我想我现在可能需要在我购买的域名上开始点我的请求? 或者可能是负载平衡器? 你看到这个设置有什么问题吗? 我在这里看到一个非常类似的问题使用HTTPS设置Elastic Beanstalk应用程序 就像这个人一样,我的领域现在只是超时而已。 给出的答案对我来说没有多大意义。