我正在通过CloudFormation模板启动一个EC2实例,但是,指定的实例t2.micro需要一个VPC。 如何在CloudFormation模板中指定VPC? 这是我的模板: { "Description" : "Single Instance", "Resources" : { "EC2Instance" : { "Type" : "AWS::EC2::Instance", "Properties" : { "ImageId" : "ami-b73b63a0", "InstanceType" : "t2.micro", "KeyName" : "my-key", "Tags" : [ { "Key" : "Name", "Value" : "test" } ] } } } }
我的公司在AWS上运行的商业Web服务使用通配符SSL证书(适用于* .example.com)。 多个合作伙伴拥有子域名,并且需要SSL( https://partner1.example.com,https : //partner2.example.com等),并且我们为其提供HTML或JSON响应。 我们的生产网站有一个面向networking的ELB,安装了我们的SSL证书。 ELB平衡并终止SSL到我们VPC中的一组生产服务器实例。 我们的networking应用程序知道如何根据子域名提供正确的合作伙伴HTML / JSON。 我想尽可能简单地复制这个testing环境(例如QA,Staging,Demo)。 但是testing和生产环境不能是相同的服务器实例; 我需要知道,如果我搞砸我们的testing环境,我不会杀死生产。 理想情况下,处理生产stream量的相同ELB可能以某种方式将stream量路由到我的testing服务器,也许如果他们使用已知的IP地址或DNS子域名? 我纠正这是不可能的吗? 我想我可以在每个testing环境中设置一个带有SSL证书的ELB,每个“平衡”到一个服务器,但是这看起来过于复杂,我猜也是昂贵的。 所有实例,生产和testing都在我们的VPC中运行。 但是目前只有生产集群在ELB上设置了SSL(终止SSL),并直接将HTTP请求传递给实例本身。 testing服务器接受HTTP。 我设置了公共弹性IP和DNS名称(staging.example.com,qa.example.com,demo.example.com)…但它们不受SSL的保护。 testing服务器实例上几乎没有关键或客户数据,并且它们是安全的,并且正确地进行了修补,因为任何面向Web的服务器应该是(我希望!!)。 不过,我希望SSL不仅可以提高安全性,还可以使我的testing环境尽可能与我的生产环境相匹配。 除了我们的登台服务器之外,其他环境都由Apache命名的虚拟主机configuration中的单个实例(例如,同一台服务器上的demo和qa)支持。 所以,为了testing,很多网站,但只有less数服务器。 有没有办法让我的通配符SSL证书只能安装在我的负载平衡器上(或者可能还有一个),或者是一些其他的configuration,使我能够根据IP检测HTTP请求并将其路由到正确的testing服务器域名(甚至HTTP头)? 我知道这是一个复杂的问题。 我很了解AWS,安全和networking,但我仍然试图找出路由,甚至在VPC环境中的内部DNS,所以可能对我的select一无所知。
我目前在Amazon VPC上设置了几个子网。 例如,我有一个数据库服务器的子网,一个用于web服务器,另一个用于负载均衡器。 我尽量限制对这些子网的访问。 现在我们使用相同的一组规则创buildACL和安全组,并将它们分配给子网/实例。 使用其中之一可以吗? 你喜欢用哪一个? 或者我错过了一些需要创build和维护这两者的东西?
AWS有一个新的准系统VPS产品,Lightsail,这是一种EC2-Lite,非常轻便,只有几个固定大小的实例类,简化的定价和很less的select,还有它自己的非常简约控制台,正如我在讨论Lightsail和EC2有什么区别? 。 关于这项服务的一切都是简化的,它与AWS有些分离,但不是真的。 这是您的AWS账户的一部分,如果您注册,并… Amazon Lightsail可以查看并连接到其他AWS资源,例如Amazon RDS数据库或Amazon Aurora。 在此页面上,您可以尝试使用AWS VPC与Lightsail VPC进行对等。 例如,您可能希望将您的数据层与应用程序分开。 https://lightsail.aws.amazon.com/ls/webapp/account 注意悲观主义。 “你可以尝试同伴。” 就好像他们预料到这个问题一样。 顺便说一句,Lightsail实例确实具有通常的EC2元数据端点,实际上是在“隐形”VPC中的t2实例,在AWS控制台中无法看到。 而且我也遇到了这个麻烦,因为尽pipe他们有一些限制(比如在互联网绑定的带宽上有一个令人惊讶的合理的限制),但确实有一些有趣的用例。 那么,您如何启用您现有的VPC呢? 这是一个checkbox。 没有选项,只需点击“启用VPC对等”。 您的VPC对等连接失败。 您可以尝试再次启用对等。 如果您仍然无法使用Lightsail资源同步您的VPC,请联系客户支持。 我在几个小时的时间里再次尝试了数次,仍然…没有骰子,没有诊断输出,没有任何东西。 检查一些显而易见的事情,如validation区域中现有VPC的CIDR块是否与我的testingLightsail实例所在的VPC的CIDR块发生冲突,并尝试在login时尝试对等VPC根用户,而不是一个IAM用户,什么都没有变成什么…我甚至在第二个(现有的)AWS账户上尝试过,而且在那里也不工作。 同样的错误。 为什么这不起作用? 在尝试从Lightsail设置VPC对等之前,我还需要在AWS上做些什么吗? 另外,如果我在该地区有多个VPC,我该如何select隐藏的Lightsail VPC将与哪一个对应? 似乎没有什么文档说明这与Lightsail明显的devise理念相一致 – 它有很less的select,所以很less需要文档。
我们正在尝试在us-west-1上使用VPC扩展我们的可靠性设置。 'a'和'b'AZs工作正常,但是当我尝试在'c'上创build子网时,它只是失败并显示消息: Value (us-west-1c) for parameter availabilityZone is invalid. Subnets can currently only be created in the following availability zones: us-west-1b, us-west-1a. 这是一个短暂的失败还是在那个区域只有两个VPC启用的AZ? 如果是后者,有没有一个列表,每个地区有多less个AZ是VPC支持的?
我一直在用AWS Elasticache阅读Redis,对安全性有些困惑。 到目前为止,似乎唯一的安全措施是创build一个只允许来自特定安全组或IP地址的Redis安全组。 有什么额外的安全我可以/应该添加? 有没有办法将Redis访问安全性设置为IAMangular色?
有没有办法将静态IP绑定到我的cloudfront发行版? 我想知道VPC是否可以做到这一点。 我需要静态IP来消除每次AWS Cloudfront IP更改时允许在防火墙中使用的问题。
我们目前正在使用一套Amazon EC2-classic服务器来托pipe我们的现场和临时环境。 我们在每个环境中都有几台Web服务器和一台后台工作服务器。 我们还有一些服务器用于构build和部署。 我们最近决定,因为我们的某些服务器偶尔会将它们移动到T2服务器types(这是我们的构build和部署服务器)。 T2types只能在VPC中启动。 所以我们build立了一个VPC,成功地让它们运行,一切都很好。 问题是,我们希望能够让我们的部署服务器能够与特定端口上的Web服务器交谈。 以前,我们在安全组中设置了这个function,所以这些Web服务器只能监听那个端口上的部署服务器,而没有其他人可以跟它通话。 现在,虽然我正在访问Web服务器来编辑其安全组,以允许通过其服务器组从VPC部署服务器上允许该端口上的stream量。 然而,亚马逊告诉我,“你不能在VPC组和非VPC组之间定义规则”。 然而,我想不出有任何其他方式可以允许从这个VPC的服务器访问。 我显然可以将我的部署服务器的公共IP硬编码到允许列表中,但是我认为如果我要停止并启动部署服务器,这可能会改变,所以这不是一个好的解决scheme。 我也可以把我所有的服务器移动到VPC,但是我宁愿避免移动所有其他服务器,包括我们的在线Web服务器,以便使其工作,因为这似乎是一个很大的工作(鉴于它不会只是一套安全规则并将其转换为VPC规则等)。 那么我怎样才能定义一个规则,说EC2-classic服务器只能通过VPC中的特定服务器连接到端口xyz上?
我正在玩AWS。 我创build了一个VPC(带有10.1.0.0./24networking)和两个附加的EC2实例。 一个EC2有10.1.0.4,第二个10.1.0.5。 我为VPC分配了一个Elastic IP,并将其关联到属于10.1.0.4 EC2实例的networking接口。 VPC是由我创build的一个自定义的。 对我来说最重要的事情之一是,公共知识产权必须保留(支付提供商要求这样做)。 问题是,从第一个EC2(10.1.0.4)我可以访问互联网,但从第二个(10.1.0.5),这是完全不可能的。 必须说,第一个EC2(.0.4)应该是WebServer,而第二个(.0.5)是数据库服务器。 我究竟做错了什么? 上面的configuration是否适合我想实现的目标? 提前感谢您的任何提示。 彼得·
我的VPC通过IPSec VPN连接到我的场所,隧道在AWS控制台上显示为UP。 事情的工作: 我可以在VPCstream量日志上看到从我的场所(子网192.168.0.0/16)到AWS VPC(10.0.0.0/16)的stream量,标记为接受。 当我使用sudo tcpdump -i eth0 icmp and icmp[icmptype]=icmp-echo做terminal上的ICMPstream量的tcp转储时,我看到ping: 06:32:13.446579 IP ip-192-168-234-254.ap-southeast-1.compute.internal > graylog: ICMP echo request, id 17473, seq 18722, length 44 。 当我使用其公有IP访问AWS实例时,我可以从任何地方获得Ping回复。 当我使用来自同一VPC中的另一个AWS实例的私有IP对AWS实例进行ping时,我可以获得ping答复。 事情不起作用: 从我的办公室到任何AWS实例(包括接收我的icmp ping的实例)ping时,无法获得ping回复。 从我的AWS实例ping我的房屋时,我无法获得ping回复。 我无法从我的AWS实例到192.168.234.254或任何其他私有IP在我的房屋做traceroute。 这些traceroute结束超时,一路星号。 我无法从我的场所到任何AWS实例执行跟踪路由。 这些traceroute结束超时,一路星号。 configuration: 子网的路由表: Destination target status propagated 10.0.0.0/16 local Active No 0.0.0.0/16 igw-f06e2d95 Active No 192.168.0.0/16 vgw-d1084e83 Active No […]