背景 我已经为S3存储区添加了一个区域来托pipe我的静态网站(指向lobolabshq.com),现在我想为mattermost.lobolabshq.com做同样的工作) 我按照这里的说明为mattermost.lobolabshq.com添加了一个Alogging,当我运行dig命令并指定AWS的名称服务器时,它工作得很好: dig @ns-491.awsdns-61.com mattermost.lobolabshq.com ; <<>> DiG 9.8.3-P1 <<>> @ns-491.awsdns-61.com mattermost.lobolabshq.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55671 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: […]
当AWS实例具有公共IP时,可以打开远程powersheel会话( https://stackoverflow.com/questions/21920773/execute-powershell-script-remotely-on-amazon-ec2-instance-from-my-local电脑 )。 你可以使用NAT在私人子网上的服务器上做同样的事情吗? (而不是跳箱或堡垒服务器)
我有一个与DataDog集成的现有AWS基础架构,负责监视各种度量标准,例如SQS队列,ELB等。 我想设置一些网站和API的健康检查。 据我所知,可以通过AWS ELB健康检查来完成。 但是,我想模拟最终用户的体验,以便请求从外部发送,并通过ELB进行并应用程序。 另外,并不是所有的应用程序目前都有ELB。 我决定使用DataDog的HTTP检查。 问题是,我应该有一个单独的EC2实例只是为了安装代理? 我当然不希望将代理安装在网站所在的同一台机器上,因为它会遗漏各种networking问题。 我也考虑过使用DataDog进行监控的Route 53健康检查,但是我不认为它会很快,因为DataDog和AWS之间的通信通常比DataDog的代理报告延迟。 更新:现在我已经决定使用Route 53运行状况检查和CloudWatch警报。 DataDog负责在某个警报触发时发送通知。 如预期的那样,警报和DataDog的反应之间有一些延迟,但事实certificate这是可以接受的。 对于更深入,更严肃的分析,我也考虑过新遗物和应用洞察。 他们都似乎提供了所需的健康检查,虽然New Relic相当昂贵,Application Insights与Azue更好地整合。
我需要创build一个非常简单的IAM策略并将其授予特定的队列。 我需要授予访问权限(它应该是一个完全的访问权限)到队列只有特定的IAM用户。 因为默认情况下,所有具有策略AmazonSQSFullAccess / AdministratorAccess的 IAM用户都可以向/从队列发送/读取消息。 我已经尝试了以下政策,但没有成功 政策1 { "Version": "2012-10-17", "Id": "arn:aws:sqs:us-east-1:930XXXXXX332:task-queue/SQSDefaultPolicy", "Statement": [ { "Sid": "Sid1487598389851", "Effect": "Deny", "Principal": "*", "Action": "SQS:*", "Resource": "arn:aws:sqs:us-east-1:930XXXXXX332:task-queue", "Condition": { "ArnNotEquals": { "aws:SourceArn": "arn:aws:iam::930XXXXXX332:user/test-sqs" } } }, { "Sid": "Sid1487599825058", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::930XXXXXX332:user/test-sqs" }, "Action": "SQS:*", "Resource": "arn:aws:sqs:us-east-1:930XXXXXX332:task-queue" } ] } 政策2 (同上,但我已经尝试了另一个条件) "Condition": […]
我在两个独立的VPC中有三个实例。 我已经在VPC之间build立了对等关系,两个VPC都启用了DNSparsing和DNS主机名,对等连接启用了“允许来自对等VPC的DNSparsing”,并且两个VPC的路由表都有路由条目通过对等连接到其他VPC的地址空间。 我们称它们为实例1(驻留在VPC A中)以及实例2和3(驻留在VPC B中)… 用我目前的设置,在实例1上调用nslookup ec2-[instance2].compute-1.amazonaws.com返回实例2的10.xxx地址,实例3的amazonaws.com主机名返回10.xxx地址这和预期的一样。 但是,当我从实例2或实例3调用nslookup ec2-[instance1].compute-1.amazonaws.com ,将返回实例1的54.xxx公用地址而不是其10.xxx地址。 我错过什么或做错了什么? 我已经能够做到这一点(许多月前),我不明白为什么现在不工作。
我有我的生产EC2实例内VPC和从我们使用S3提供的S3url获取数据。 到目前为止,数据stream是通过互联网,我已经实现了VPC端点来redirectVPC内的数据stream,以使其安全并降低成本。 我configuration了我的VPC端点,但是我的安全组没有将其列在EC2选项卡的正常安全组页面中。 我必须导航到VPC选项卡,然后导航到安全组以确定端点。 VPC中的EC2安全组和安全组是否有区别? 请参阅下面的2个安全组图
在家时,我可以通过端口22上的SSH访问个人EC2实例。 在工作时,我不能。 我使用腻子SSH和我得到 networking错误:连接超时。 如果我打开端口上的安全性: 0.0.0.0/0 – 它的工作。 腻子连接,我可以使用我的EC2实例。 所以我假设这意味着它不是一个防火墙问题。 这是一个有效的假设吗? 当我点击时, http: 0.0.0.0/0并用该地址加上/ 32(或甚至/ 64,/ 24或/ 16)replace0.0.0.0/0不起作用。 对于我所有的港口来说都是如此,而不仅仅是22个港口。我宁愿不让任何港口如此开放,特别是22港口,但我不知道如何进行。
我知道ec2.py我可以通过export指定环境variables,然后调用ec2.py或使用纯文本密码(或python keyring) botoconfiguration文件。 因为无论如何,我都拥有aws钥匙和秘密的秘密,有没有办法从保险库或其他任何方式自动输出这个值来传递值ec2.py而不必再次指定它?
我期待利用现有的直连服务作为冗余互联网网关,以防止主连接断开。 我注意到,NAT网关注释指出这是不可能的,任何人都可以使用NAT实例或类似的做到这一点? 没有在AWS网站或其他地方find很多东西。
我有一个客户端向Glacier上传多个TB数据。 他们做了一个雪球,获得了65TB的数据,他们将通过上传完成剩下的25个数据。 目前他们正在使用FastGlacier直接上传到Glacier,但是这个工具是在他们唯一的Windows机器(一个完整的Mac商店)上运行的,并且不断地因排队这么多的数据而崩溃。 此外,这个程序留下了很多关于search/浏览商店的希望,以便查看冰川中的文件,你需要下载清单(4-6小时交货时间)。 为了保持一致性,我们希望上传到我们用于Snowball的S3共享中,并使用生命周期pipe理规则向Glacier进行相同的0天过渡,但是不希望为此产生大量的S3成本。 我知道S3成本是基于当月的平均使用量,但不知道如何估算。