当EC2底层运行环境出现故障可能在未来一段时间影响EC2运行时候,AWS会发送系统降级的通知给用户,此时账户的注册邮箱可能会收到如下邮件。如下截图。
Continue reading “EC2底层硬件降级的通知”Author: pcman
使用CloudFormation批量创建EC2并绑定EIP使用System Manager批量执行shell脚本部署应用
1、批量开机且绑定EIP的需求探讨
在某特殊场景下,批量创建EC2且需要绑定EIP。
Continue reading “使用CloudFormation批量创建EC2并绑定EIP使用System Manager批量执行shell脚本部署应用”AWS中国区使用EC2+Openwan作为路由器部署Site-to-site VPN服务手册(简版)
一、背景
之前做过两个类似主题的文档,第1贴是使用Cloudformation从零开始搭建实验环境创建出来2个VPC,然后配置VPN对接。第2贴是讲述海外AWS的托管VPN服务的配置。这部分文档讲解是按照学习和做实验的角度,对于配置环境可能过于复杂。因此这里又整理了一个简化版。
本文是个简化版文档,不搭建学习实验环境,只部署用于生产系统,使用Libreswan 3.0(Openswan 2.6的分支)部署VPN路由器。
Continue reading “AWS中国区使用EC2+Openwan作为路由器部署Site-to-site VPN服务手册(简版)”使用AWS WAF进行Captcha人机验证
一、背景
2021年的re-Invent大会发布了AWS WAF验证码功能即Captcha。Captcha是Completely Automated Public Turing test to tell Computers and Humans Apart(全自动区分计算机和人类的图灵测试)的首字母缩写,通常用于区分机器人和人类访客,以防止 Web 抓取、凭证填充和垃圾邮件等恶意活动。
Continue reading “使用AWS WAF进行Captcha人机验证”创建对所有AWS服务有只读权限的IAM User用户
在日常使用IAM User的过程中,要配置对各服务的查询权限,需要逐个添加每个服务对应的IAM Readonly Policy。
当需要配置几十个服务的时候,逐个添加很麻烦。此时可以查找名为“ReadOnlyAccess”的策略挂载到用户,即可为所有服务赋权。
Continue reading “创建对所有AWS服务有只读权限的IAM User用户”在AWS中国区域启用WAF防护Log4J漏洞
一、背景
2021年12月爆出的高危漏洞 CVE-2021-44228 和CVE-2021-45045漏洞,彻底的防护措施是升级Log4J版本到官方指定版本,临时措施是通过WAF进行一定程度的防护。建议升级到Log4J 2.17版本才可以满足安全要求。
使用WAF防护的前提:
- 中国区域和海外区域,已经使用EC2、ECS容器服务、EKS容器服务,且使用ALB作为发布点,此场景可使用WAF防护
- 海外区域,没有使用ALB发布但是使用Cloudfront CDN加速,则可使用基于Cloudfront的WAF防护
- 中国区域和海外区域的WAF都不支持直接对一个EC2的80、443、8080端口进行防护
- 不支持NLB网络负载均衡器,NLB后可嵌套接入ALB(此为2021年新发布新特性)
如果您已经配置过WAF并启用了,请参考这里的changelog确认后续更新。如果还没有启用WAF,请参考如下Step-by-step配置说明如下。
Continue reading “在AWS中国区域启用WAF防护Log4J漏洞”WordPress系统从X86更换到ARM64(Graviton2)迁移建议
一、背景
开这个blog两年了,此前一直是以普通EC2方式运行Wordpress,并使用托管的RDS运行数据库。由于PHP的跨平台特性,这次升级配置转向了AWS自研的ARM架构的Graviton 2处理器的实例。
Continue reading “WordPress系统从X86更换到ARM64(Graviton2)迁移建议”使用EC2 Userdata为丢失密钥的EC2更换密钥
一、背景
AWS云上EC2默认使用比密码认证更安全的密钥登录方式,并且默认不允许SSH密码验证。于此同时,为了提升安全性,密钥一旦创建好只允许下载一次。一旦密钥被下载过,AWS控制台上不再提下载按钮。因此保存密钥就成了一项非常重要的工作。
在一台已经登录上的EC2上,可以访问EC2的元数据来获取当前EC2使用的是哪一个密钥。
curl http://169.254.169.254/latest/meta-data/public-keys/0/openssh-key如果丢失了密钥,现有EC2将无法登录。
如果希望抢救这台EC2并更换为新的密钥,则可以采取如下的方法:
Continue reading “使用EC2 Userdata为丢失密钥的EC2更换密钥”查询在特定Region的某AWS服务IP地址段
2023年9月测试通过,可使用本文档查询EC2 Instance Connect的地址范围
一、背景
为了查询在特定Region的某AWS服务IP地址段,可参考详细文档,包含Windows Powershell说明,请参考官方文档:
https://docs.aws.amazon.com/zh_cn/general/latest/gr/aws-ip-ranges.html
Continue reading “查询在特定Region的某AWS服务IP地址段”Yum 升级时候提示 “xxx packages excluded due to repository priority protections” 的解决办法
当在Amazon Linux 2上执行 yum update 时候,提示如下信息:
[root@ip-172-31-6-95 ~]# yum update
Loaded plugins: extras_suggestions, langpacks, priorities, update-motd
234 packages excluded due to repository priority protections
No packages marked for update
[root@ip-172-31-6-95 ~]#这是由于yum组件的priority插件已经不在被使用。
Continue reading “Yum 升级时候提示 “xxx packages excluded due to repository priority protections” 的解决办法”配置托管的Site-to-site VPN服务(AWS海外区域)
请注意:不能用于搭建跨国通道。如果有跨境需求请申请合规的跨境专线。
Continue reading “配置托管的Site-to-site VPN服务(AWS海外区域)”构建Graviton2处理器的Amazon Linux 2平台的openswan 3.0软件包
一、背景
Openswan是用于构建site-to-site VPN服务的开源软件。Openswan历史较长,在主流Linux发行版上一般没有软件安装源,无法通过yum install一步执行安装。由此需要手工编译源代码,比较麻烦。
作为替代方案,可使用libreswan,这是一个从openswan 2.6版本fork出来的分支,在Amazon Linux 2(等同CentOS7)系统上有软件源,可以使用yum install libreswan安装。
However,libreswan的配置和参数与openswan有细微差别,例如不支持auth=esp等参数。由此,在与AWS托管的VPN网关对接时候,生成的配置文件还需要再做人工调整,以消除openswan和libreswan的配置差异。
由此本文将构建一个基于Graviton2处理器的Amazon Linux 2平台的openswan 3.0软件包,可用于在新的EC2上快速安装部署而无需从源代码编译。
Continue reading “构建Graviton2处理器的Amazon Linux 2平台的openswan 3.0软件包”使用Athena查询SNS发送SMS使用量报告
使用Nginx做TCP转发
本文描述如何使用Nginx作TCP转发。
Continue reading “使用Nginx做TCP转发”使用SNS服务发送SMS短信到手机(海外区域)
注意:从海外发送到中国需要特殊流程。
Continue reading “使用SNS服务发送SMS短信到手机(海外区域)”