即将开启2024,一起沉浸在AWS学习的海洋!
Session Manager基础知识请参考这篇文章。本文只针对严格受限的纯内网场景编写,一些操作细节略过。
Session Manager是非常好用的EC2远程连接和管理工具,之前在这篇博客中有过系统讲解。Session Manager的使用前提是本VPC的EC2能够具备出向互联网访问,连接到本Region的Session Manager位于互联网的Endpoint。
那么对于一个完全内网的环境,没有默认路由0.0.0.0/0去往互联网或NAT Gateway,甚至没有Internet Gateway(IGW),完全是封闭的内网。此时,如何使用Session Manager?此时可通过Endpoint实现。此外,由于各种依赖条件比较多,因此编写本篇文章。
VPC Flowlog是用于采集VPC内四层网络流量的工具。其采集对象包括EC2、NLB、RDS等之间和外部网络之间的流量。VPC Flowlog是OSI模型第四层采集工具,会记录源地址、源端口、目标地址、目标端口、协议、传输数据量等信息,但不会记录OSI模型第七层定义的域名、网址等属于应用层定义的日志,也不会记录发送的数据本体。VPC Flowlog常用于排查EC2相关网络错误。
本文介绍如何开启VPC Flowlog并输出到CloudWatch用于查看VPC内流量。
Continue reading “生成VPC Flowlog并输出到CloudWatch用于分析VPC流量”当前VPC分配了10.140.0.0/20的CIDR,也就是地址范围10.140.0.3~10.140.15.254。这里扣掉了0/1/2三个系统保留地址,因此可用地址从3开始。现在希望将其扩容到10.140.0.0/16的范围。
此外,当前环境还对接了专线。那么应该如何规划变更和操作?
Continue reading “扩展VPC的CIDR注意事项”需要在EC2上使用自建DNS,且希望在VPC的DHCP上不设置DHCP Option Set,然后手工修改EC2的DNS配置。
那么会发生什么情况?
Continue reading “设置VPC DHCP参数及手工修改DNS”本文介绍在自建DNS服务器的场景下,如何将AWS相关域名的请求转发到VPC内。
Continue reading “使用Route53 Resolver将自建DNS的AWS相关域名查询请求转发到VPC内”摘要:本文介绍了如何不需要将EC2 Windows的3389端口暴露在互联网上,而是通过System Manager转发3389端口到开发者本机的方法。EC2 Windows可以一直位于内网,其安全组也无须放行任何端口,即可实现安全管理。
Continue reading “使用Session Manager Plugin插件在开发者本机创建本地转发功能用于登录位于私有子网的EC2 Windows RDP远程桌面”某些应用如SAP HANA System Replication(HSR)等,需要两个EC2分别运行在不同AZ,并且要求低于1ms的网络延迟。那么如何在AZ之间测试呢?
Continue reading “测试新加坡区域ap-southeast-1的AZ间延迟”在使用WAF保护业务系统的过程中,经常需要查询历史日志,分析特定防护对象的防护效果,查看拦截的请求,或查看访问特定URL的防护效果。这时候就需要用到WAF日志功能。
AWS WAF支持将日志输出到CloudWatch Log Groups,Kinesis,以及S3。将日志输出到CloudWatch Log Groups使用方便,但是存储成本高;将日志输出到Kinesis后可连接多种投递方式,灵活且延迟低,但技术架构稍微复杂。将WAF日志存储到S3数据湖,可实现最低低成本储存日志,通过Athena可快速方便查询。
Continue reading “使用Athena分析在S3上的WAF Log”Direct Connect是AWS的专线接入服务,主要场景:
Direct Connect涉及网络知识较多,名词和术语多,配置步骤复杂。其中一个相对很难学习的地方在于Direct Connect无法自助学习配置,当没有真实专线连接的时候,Direct Connect云端界面无法完全模拟所有操作,因此给动手实验带来很大的困难。针对这个问题,本文将Direct Connect主要配置流程和方法进行梳理,并辅以截图进行讲解。
Continue reading “Direct Connect 101 & 配置说明”EKS动手实验合集请参考这里。
EKS 1.27版本 @2023-06 AWS Global区域测试通过
在之前的文章主要是介绍ELB+EC2模式下,获取客户端真实IP,可参考AWS官方知识库这篇文章。也可参考过往的blog文章的这篇文章。
在这两篇中,主要讲解是ELB+EC2场景获取真实IP地址。如果用一个表格快速概括的话,汇总如下:
Continue reading “实验十、在EKS上的ELB获取最终用户的真实IP地址”GWLB in single VPC Quickstart CloudFormation Template
关于AWS GWLB,之前构建过一个结合Transit Gateway的多VPC的GWLB方案,也就是所谓的集中式。集中式是指应用系统所在的VPC是没有GWLB Endpoint的,流量是通过Transit Gateway汇集到一个统一的VPC做流量检查。
本次构建的quickstart则是一个分布式检测架构。所谓分布式,是指整个架构不包含Transit Gateway,而应用系统VPC本身是包含GWLB Endpoint。未来增加第二个、第三个VPC时候,每个VPC都带有自己的GWLB Endpoint。所以这个架构,在只有一个VPC时候,看起来是Single VPC。如果有多个VPC,就是分布式流量检查架构。
本模版是针对是特定场景下的需求,如果是全新设计,建议按照GWLB最佳实践的架构进行组网。
本方案构建一个单VPC的网络检测方案。本文代码参考Github这里。
Continue reading “AWS Gateway Load Balancer (GWLB) in single VPC Quickstart”AWS云上的NAT/NLB/GWLB在针对长连接的场景上,存在350秒闲置超时的物理机制,且这是一个硬限制,无法通过开case提升limit的办法修改。这一限制的官方文档描述参考如下:NAT ,NLB ,GWLB 。
为了解决这一限制问题,需要同时在OS层、应用成打开keepalive设置,并且需要在服务器端和客户端分别配置。
Continue reading “使用Keepalive机制在NAT后保持长链接”在某些业务场景下,可能需要限制特定国家访问,由此可借助Route 53的按地域解析功能,也可以使用WAF的GEO规则屏蔽特定国家,或者使用CloudFront的按地区屏蔽功能。如果需要查询和确认分配给中国的IP V4地址,可使用如下方法。
Continue reading “查询中国的IP地址范围”在使用Route53提供DNS服务时候,在为根域名提供解析的场景下,有一些局限,例如根域名是不能设置cname的。为了进一步理解,我们举例如下:
Continue reading “使用 Route 53 + ALB 对域名根记录实现域名转发”有的客户希望在国内和海外采用单一域名运行,例如将域名部署在AWS全球的Route53服务上,并设置按照不同国家解析到不同Region的记录。此时,由于域名解析完全位于海外的DNS,国内的解析效果可能较差,存在解析不出来、同步延迟大等问题。如果由此将域名解析完全部署在中国区的Route53服务上,对国内用户体验良好,但是对海外用户又有解析失败概率提高的可能。
由此可采取授权子域名解析的办法。请看如下详细解释。
Continue reading “通过子域名授权的方式实现海外和国内分别使用Route53服务解析的方案”