本文更新于2023年9月。
AWS Global全球区域的CloudFront在2022年8月正式宣布了HTTP3协议的支持。参考AWS官网链接。
那么HTTP3和QUIC是什么,又如何使用呢?
Continue reading “开启 AWS CloudFront CDN加速服务的HTTP3/QUIC协议支持”Author: pcman
实验十、在EKS上的ELB获取最终用户的真实IP地址
EKS动手实验合集请参考这里。
EKS 1.27版本 @2023-06 AWS Global区域测试通过
一、背景
1、没有EKS而是使用EC2场景下获取客户端真实IP地址
在之前的文章主要是介绍ELB+EC2模式下,获取客户端真实IP,可参考AWS官方知识库这篇文章。也可参考过往的blog文章的这篇文章。
在这两篇中,主要讲解是ELB+EC2场景获取真实IP地址。如果用一个表格快速概括的话,汇总如下:
Continue reading “实验十、在EKS上的ELB获取最终用户的真实IP地址”升级EKS托管节点组的AMI到最新版镜像
EKS节点EC2推荐采用Managed Node托管节点组,其使用的操作系统AMI清单参考这里:
https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/eks-linux-ami-versions.html
由于操作系统需要定期升级更新,因此对EKS节点升级可通过刷新Node Group对应的AMI来进行版本升级。
Continue reading “升级EKS托管节点组的AMI到最新版镜像”AWS Aurora PostgreSQL 12 上使用PostGIS扩展
本文档根据AWS官方文档整理而成,在中国区宁夏区域Aurora PostgreSQL 12.11版本,机型为db.r6g.large集群上测试,并使用SQL Workbench/J 128.3 (Build 2022-07-03) 作为客户端测试通过。
Continue reading “AWS Aurora PostgreSQL 12 上使用PostGIS扩展”如何查询AWS Workspaces某个云桌面的使用总时长
一、背景
为了更好的统计云桌面使用率,管理员需要调查本账户内所有云桌面在某个时间范围内的运行时长,此时可通过CloudWatch查询统计数据。
Continue reading “如何查询AWS Workspaces某个云桌面的使用总时长”AWS Gateway Load Balancer (GWLB) in single VPC Quickstart
GWLB in single VPC Quickstart CloudFormation Template
一、架构说明
1、GWLB简介
关于AWS GWLB,之前构建过一个结合Transit Gateway的多VPC的GWLB方案,也就是所谓的集中式。集中式是指应用系统所在的VPC是没有GWLB Endpoint的,流量是通过Transit Gateway汇集到一个统一的VPC做流量检查。
本次构建的quickstart则是一个分布式检测架构。所谓分布式,是指整个架构不包含Transit Gateway,而应用系统VPC本身是包含GWLB Endpoint。未来增加第二个、第三个VPC时候,每个VPC都带有自己的GWLB Endpoint。所以这个架构,在只有一个VPC时候,看起来是Single VPC。如果有多个VPC,就是分布式流量检查架构。
本模版是针对是特定场景下的需求,如果是全新设计,建议按照GWLB最佳实践的架构进行组网。
本方案构建一个单VPC的网络检测方案。本文代码参考Github这里。
Continue reading “AWS Gateway Load Balancer (GWLB) in single VPC Quickstart”使用Keepalive机制在NAT后保持长链接
一、背景
1、NAT的长链接的局限
AWS云上的NAT/NLB/GWLB在针对长连接的场景上,存在350秒闲置超时的物理机制,且这是一个硬限制,无法通过开case提升limit的办法修改。这一限制的官方文档描述参考如下:NAT ,NLB ,GWLB 。
为了解决这一限制问题,需要同时在OS层、应用成打开keepalive设置,并且需要在服务器端和客户端分别配置。
Continue reading “使用Keepalive机制在NAT后保持长链接”查询中国的IP地址范围
在某些业务场景下,可能需要限制特定国家访问,由此可借助Route 53的按地域解析功能,也可以使用WAF的GEO规则屏蔽特定国家,或者使用CloudFront的按地区屏蔽功能。如果需要查询和确认分配给中国的IP V4地址,可使用如下方法。
Continue reading “查询中国的IP地址范围”使用 Route 53 + ALB 对域名根记录实现域名转发
一、背景
1、Route 53不支持根域名配置CNAME
在使用Route53提供DNS服务时候,在为根域名提供解析的场景下,有一些局限,例如根域名是不能设置cname的。为了进一步理解,我们举例如下:
Continue reading “使用 Route 53 + ALB 对域名根记录实现域名转发”通过子域名授权的方式实现海外和国内分别使用Route53服务解析的方案
一、背景
1、使用单一域名按国家解析的挑战
有的客户希望在国内和海外采用单一域名运行,例如将域名部署在AWS全球的Route53服务上,并设置按照不同国家解析到不同Region的记录。此时,由于域名解析完全位于海外的DNS,国内的解析效果可能较差,存在解析不出来、同步延迟大等问题。如果由此将域名解析完全部署在中国区的Route53服务上,对国内用户体验良好,但是对海外用户又有解析失败概率提高的可能。
由此可采取授权子域名解析的办法。请看如下详细解释。
Continue reading “通过子域名授权的方式实现海外和国内分别使用Route53服务解析的方案”ECS服务相关汇总
注:本文这套操作文档是按照2022年的AWS ESC容器服务的Console体验编写,2023年新的ECS Console已经推出。截图和文字有待更新。
容器基础1:构建Apache+PHP镜像DockerFile (更新了Amazon Linux 2023模版)
容器基础2:构建容器镜像并上传到ECR (更新了AWSCLI的ECR认证)
容器基础3:复制ECR上的镜像并指定新的Tag标签
ECS 201 Workshop(一)准备工作:配置IAM和任务定义
ECS 201 Workshop(二)发布ECS服务
ECS 201 Workshop(三)弹性扩展
ECS 201 Workshop(四)通过CodeDeploy实现蓝绿发布
ECS 201 Workshop(五)使用CLI发起CodeDeploy部署新的ECS版本
构建基于 Amazon Linux 2/2023系统的Apache2+PHP 7.4/8 环境的容器Dockerfile文件
2023-08更新了Amazon Linux 2023操作系统Apache+PHP8.1的模版
一、背景
1、启动脚本问题
构建容器用于AWS ECS服务和AWS EKS服务的时候,由于容器服务的启动endpoint只能是唯一的启动进程,而且必须处于前台,因此会面临无法同时启动php-fpm和httpd的问题。为了解决这个问题,可增加一个启动服务脚本,然后让容器调用这个单一脚本。
Continue reading “构建基于 Amazon Linux 2/2023系统的Apache2+PHP 7.4/8 环境的容器Dockerfile文件”在ECS容器服务上使用EFS文件服务提供持久化存储
一、背景
EFS文件系统可以提供可靠的、持续的文件系统给多种服务,这其中也包括ECS容器服务。在容器场景上使用EFS的主要优势是可以简化管理,借助托管服务快速部署无须复杂运维,让ECS容器镜像的构建只需要关心应用程序本身,不需要将配置文件、数据文件打包到容器中。由此可实现容器的运行时和数据的分离。ECS Fargate和Fargate Spot都支持使用EFS文件系统,其中在Fargate Spot服务上搭配EFS,更可以借助EFS的持久化,避免Spot中断时候的数据持久保存问题。
Continue reading “在ECS容器服务上使用EFS文件服务提供持久化存储”在ECS Fargate使用Session Manager登录到容器内的SSH进程
一、背景
之前介绍过使用System Manager套件中的Session Manager免密钥登录EC2,可参考这篇文章。针对ECS容器服务,因为开发、调试和运维的需要,也希望能登录到容器内部的shell上进行操作。此场景可使用ECS服务的exec功能在容器上执行shell命令的功能。
本文档适用于ECS Fargate和ECS Fargate spot,并在中国区测试通过。
Continue reading “在ECS Fargate使用Session Manager登录到容器内的SSH进程”实验九、为私有NLB使用指定的、固定的内网IP地址
EKS动手实验合集请参考这里。
EKS 1.27版本 @2023-06 AWS Global区域测试通过
一、背景
在一些情况下,EKS部署的服务需要使用私有的NLB即 Internal NLB + Node Port 方式对VPC内的其他应用暴露服务,但是又不需要暴露在互联网上。
Continue reading “实验九、为私有NLB使用指定的、固定的内网IP地址”