一、背景
在上一篇博客《使用VPC Traffic Mirror功能进行流量审计》中,我们介绍了使用VPC Traffic Mirror采集7层访问日志,不过采集架构局限在单VPC、单EC2。
那么如何构建一个跨VPC、多VPC、跨账号专门的日志采集架构?本文解答这一需求的设计。
Continue reading “使用NLB或GWLB搭建多VPC的Traffic Mirror流量采集架构”Category: Networking
使用VPC Traffic Mirror功能进行流量审计
一、背景
1、使用Traffic Mirror的场景
对于简单的网络流量采集需求,可以使用VPC Flowlog功能,之前这篇博客介绍了VPC Flowlog的使用。不过VPC Flowlog也有局限,主要是仅记录OSI模型的第四层的日志信息,也就是所谓的“五元组”,即源地址、源端口、目标地址、目标端口、协议这五要素,很多时候不能满足日志需求。
如果需求进一步增加要求如下日志能力:
- 7层流量采集,记录域名、HTTP header等
- 旁路方式,不影响流量
- 相对低成本
- 不希望使用复杂的Network Firewall或者第三方NGFW+Gateway Load Balancer方案
以上需求场景,适合使用VPC Traffic Mirror实现。
Continue reading “使用VPC Traffic Mirror功能进行流量审计”配置CloudFront及Lambda@Edge为Bedrock加速
本文基于Github上作者jief123的方案编写。Github官方文档方案采用CDK形式部署,而本文是描述如何手工部署。
Continue reading “配置CloudFront及Lambda@Edge为Bedrock加速”从专线或VPN内网通过ECR Endpoint向ECR上传镜像
本文介绍了如何从专线或VPN内网通过ECR Endpoint向ECR上传镜像。
Continue reading “从专线或VPN内网通过ECR Endpoint向ECR上传镜像”使用Workmail搭建海外企业邮件服务器
目录
- 一、背景
- 二、自有域名和解析要求
- 三、创建Workmail邮箱
- 四、创建用户并使用企业邮箱发送和接收
- 五、参考文档
测试EKS服务上Pod使用VPC CNI对网络吞吐性能的影响
EKS动手实验合集请参考这里。
一、背景
在EC2的网络优化机型上,例如c6in.8xlarge(32vCPU/64GB),其网络带宽达到50Gbps。在没有容器环境下,使用iperf2测试,其带宽可以49.7Gbps的吞吐,相当于标称值的99.4%,考虑统计差异,这个速度可认为几乎没有损耗。测试过程和方法参考这篇博客。
那么当场景来到EKS上,Pod的所有流量都是通过Node节点上的VPC CNI进行转发,此时压力测试的其中一端是非容器化的EC2,另一端是Pod容器,会发生什么情况?
Continue reading “测试EKS服务上Pod使用VPC CNI对网络吞吐性能的影响”使用iperf2测试EC2网络优化机型的内网吞吐性能
本文介绍如何测试EC2主机标称的内网性能。
Continue reading “使用iperf2测试EC2网络优化机型的内网吞吐性能”VPC公有子网和私有子网及ELB的位置推荐
VPC公有子网和私有子网是VPC基础知识,不过一般通过使用经验来学习,缺少直接的说明材料。这里以一张图介绍最佳实践。
Continue reading “VPC公有子网和私有子网及ELB的位置推荐”在高度安全的纯内网使用Session Manager登录EC2
Session Manager基础知识请参考这篇文章。本文只针对严格受限的纯内网场景编写,一些操作细节略过。
一、背景
Session Manager是非常好用的EC2远程连接和管理工具,之前在这篇博客中有过系统讲解。Session Manager的使用前提是本VPC的EC2能够具备出向互联网访问,连接到本Region的Session Manager位于互联网的Endpoint。
那么对于一个完全内网的环境,没有默认路由0.0.0.0/0去往互联网或NAT Gateway,甚至没有Internet Gateway(IGW),完全是封闭的内网。此时,如何使用Session Manager?此时可通过Endpoint实现。此外,由于各种依赖条件比较多,因此编写本篇文章。
生成VPC Flowlog并输出到CloudWatch用于分析VPC流量
一、背景
VPC Flowlog是用于采集VPC内四层网络流量的工具。其采集对象包括EC2、NLB、RDS等之间和外部网络之间的流量。VPC Flowlog是OSI模型第四层采集工具,会记录源地址、源端口、目标地址、目标端口、协议、传输数据量等信息,但不会记录OSI模型第七层定义的域名、网址等属于应用层定义的日志,也不会记录发送的数据本体。VPC Flowlog常用于排查EC2相关网络错误。
本文介绍如何开启VPC Flowlog并输出到CloudWatch用于查看VPC内流量。
Continue reading “生成VPC Flowlog并输出到CloudWatch用于分析VPC流量”扩展VPC的CIDR注意事项
一、背景
当前VPC分配了10.140.0.0/20的CIDR,也就是地址范围10.140.0.3~10.140.15.254。这里扣掉了0/1/2三个系统保留地址,因此可用地址从3开始。现在希望将其扩容到10.140.0.0/16的范围。
此外,当前环境还对接了专线。那么应该如何规划变更和操作?
Continue reading “扩展VPC的CIDR注意事项”设置VPC DHCP参数及手工修改DNS
一、背景
需要在EC2上使用自建DNS,且希望在VPC的DHCP上不设置DHCP Option Set,然后手工修改EC2的DNS配置。
那么会发生什么情况?
Continue reading “设置VPC DHCP参数及手工修改DNS”使用Route53 Resolver将自建DNS的AWS相关域名查询请求转发到VPC内
本文介绍在自建DNS服务器的场景下,如何将AWS相关域名的请求转发到VPC内。
Continue reading “使用Route53 Resolver将自建DNS的AWS相关域名查询请求转发到VPC内”使用Session Manager Plugin插件在开发者本机创建本地转发功能用于登录位于私有子网的EC2 Windows RDP远程桌面
摘要:本文介绍了如何不需要将EC2 Windows的3389端口暴露在互联网上,而是通过System Manager转发3389端口到开发者本机的方法。EC2 Windows可以一直位于内网,其安全组也无须放行任何端口,即可实现安全管理。
Continue reading “使用Session Manager Plugin插件在开发者本机创建本地转发功能用于登录位于私有子网的EC2 Windows RDP远程桌面”测试新加坡区域ap-southeast-1的AZ间延迟
一、背景
某些应用如SAP HANA System Replication(HSR)等,需要两个EC2分别运行在不同AZ,并且要求低于1ms的网络延迟。那么如何在AZ之间测试呢?
Continue reading “测试新加坡区域ap-southeast-1的AZ间延迟”