本站是个人兴趣学习笔记而非AWS官方博客,不卖产品、不卖课、不解答问题,如用于商业生产环境请自行判断风险、谨慎把握
在使用WAF保护业务系统的过程中,经常需要查询历史日志,分析特定防护对象的防护效果,查看拦截的请求,或查看访问特定URL的防护效果。这时候就需要用到WAF日志功能。
AWS WAF支持将日志输出到CloudWatch Log Groups,Kinesis,以及S3。将日志输出到CloudWatch Log Groups使用方便,但是存储成本高;将日志输出到Kinesis后可连接多种投递方式,灵活且延迟低,但技术架构稍微复杂。将WAF日志存储到S3数据湖,可实现最低低成本储存日志,通过Athena可快速方便查询。
Continue reading “使用Athena分析在S3上的WAF Log”Direct Connect是AWS的专线接入服务,主要场景:
Direct Connect涉及网络知识较多,名词和术语多,配置步骤复杂。其中一个相对很难学习的地方在于Direct Connect无法自助学习配置,当没有真实专线连接的时候,Direct Connect云端界面无法完全模拟所有操作,因此给动手实验带来很大的困难。针对这个问题,本文将Direct Connect主要配置流程和方法进行梳理,并辅以截图进行讲解。
Continue reading “Direct Connect 101 & 配置说明”EKS动手实验合集请参考这里。
EKS 1.27版本 @2023-06 AWS Global区域测试通过
在之前的文章主要是介绍ELB+EC2模式下,获取客户端真实IP,可参考AWS官方知识库这篇文章。也可参考过往的blog文章的这篇文章。
在这两篇中,主要讲解是ELB+EC2场景获取真实IP地址。如果用一个表格快速概括的话,汇总如下:
Continue reading “实验十、在EKS上的ELB获取最终用户的真实IP地址”GWLB in single VPC Quickstart CloudFormation Template
关于AWS GWLB,之前构建过一个结合Transit Gateway的多VPC的GWLB方案,也就是所谓的集中式。集中式是指应用系统所在的VPC是没有GWLB Endpoint的,流量是通过Transit Gateway汇集到一个统一的VPC做流量检查。
本次构建的quickstart则是一个分布式检测架构。所谓分布式,是指整个架构不包含Transit Gateway,而应用系统VPC本身是包含GWLB Endpoint。未来增加第二个、第三个VPC时候,每个VPC都带有自己的GWLB Endpoint。所以这个架构,在只有一个VPC时候,看起来是Single VPC。如果有多个VPC,就是分布式流量检查架构。
本模版是针对是特定场景下的需求,如果是全新设计,建议按照GWLB最佳实践的架构进行组网。
本方案构建一个单VPC的网络检测方案。本文代码参考Github这里。
Continue reading “AWS Gateway Load Balancer (GWLB) in single VPC Quickstart”AWS云上的NAT/NLB/GWLB在针对长连接的场景上,存在350秒闲置超时的物理机制,且这是一个硬限制,无法通过开case提升limit的办法修改。这一限制的官方文档描述参考如下:NAT ,NLB ,GWLB 。
为了解决这一限制问题,需要同时在OS层、应用成打开keepalive设置,并且需要在服务器端和客户端分别配置。
Continue reading “使用Keepalive机制在NAT后保持长链接”在某些业务场景下,可能需要限制特定国家访问,由此可借助Route 53的按地域解析功能,也可以使用WAF的GEO规则屏蔽特定国家,或者使用CloudFront的按地区屏蔽功能。如果需要查询和确认分配给中国的IP V4地址,可使用如下方法。
Continue reading “查询中国的IP地址范围”在使用Route53提供DNS服务时候,在为根域名提供解析的场景下,有一些局限,例如根域名是不能设置cname的。为了进一步理解,我们举例如下:
Continue reading “使用 Route 53 + ALB 对域名根记录实现域名转发”有的客户希望在国内和海外采用单一域名运行,例如将域名部署在AWS全球的Route53服务上,并设置按照不同国家解析到不同Region的记录。此时,由于域名解析完全位于海外的DNS,国内的解析效果可能较差,存在解析不出来、同步延迟大等问题。如果由此将域名解析完全部署在中国区的Route53服务上,对国内用户体验良好,但是对海外用户又有解析失败概率提高的可能。
由此可采取授权子域名解析的办法。请看如下详细解释。
Continue reading “通过子域名授权的方式实现海外和国内分别使用Route53服务解析的方案”本文描述了如何对Workspaces的外部网络访问行为进行限制,例如用户希望关闭单个桌面的互联网访问,而不影响其他桌面访问互联网的场景。
Workspaces的网络管控能力分两种场景:
Continue reading “通过修改NAT Gateway所在子网的NACL实现限制Workspaces的外网访问”AWS Client VPN是用于海外员工访问海外AWS云上资源的主要方式。之前做过配置手册和效果演示视频两个素材,请点击这以上链接跳转。
AWS Client VPN按照连接的用户数和时长收费。AWS Client VPN默认24小时断开,并且此参数不支持在AWS控制台上调整。Anyway,此参数可以使用配置文件调整。方法如下。
Continue reading “海外区使用AWS Client VPN设置超时时间主动断开服务”Continue reading “AWS Network Firewall (NFW) Demo”AWS Network Firewall 是一项新推出的 AWS 托管服务,可使您轻松地为所有 Amazon Virtual Private Cloud (VPC) 部署必要的网络保护。您只需单击几下鼠标就可以设置此服务,它随着网络流量而自动缩放,因此无需担心基础设施的部署和管理问题。AWS Network Firewall 适用于要检查和筛选 Amazon VPC 进出流量或 Amazon VPC 之间流量的客户。
AWS官网
之前写过Blog和视频谈到了在内网环境的Storage Gateway的激活,在2021年Storage Gatway升级后,内网的激活流程和向导作出了改进,激活更为方便。
此外,如果安全上有需求要求所有流量在内网不能出现在公网,可以搭配专线或Site-to-site VPN,然后将所有流量发送到Interface类型的VPC Endpoint,即可实现所有流量处于内网的私密状态。
Continue reading “为IDC或私有VPC内的Storage Gateway使用VPC Endpoint访问S3”视频有配音,请注意音量。
Continue reading “GWLB系列附录1: 部署Checkpoint防火墙”