大鹅的博客

下载 App 、安装后，注册账号，然后登录进入 App，找到类似“添加账号”的按钮。然后 App 上会出现扫描框 ，扫描 aws 页面上的二维码，然后在 aws 上填入连续的二次验证码。此时，所配置用户组内的 IAM User 再登录时，如果没有开启 MFA，则只能先去开启 MFA，才能执行其它操作。设置iam 权限，让所有未设置 MFA 的 IAM User，登录后只能先设置 MFA，才能做其它操作。点击json选项卡，使用文档中提供的policy内容，替换editor中的内容。2 、设置用户组权限。

【代码】s3 python脚本批量删除文件夹下全部的文件（删除版本和全部版本）

A账号：GA加速器归属账号 只部署GA服务B账号： 实际后端资源归属账号 部署相关后端资源。

具体的sql 字段需要修改成自己的 可以先检索全表 查看字段 方便搜索。官方文档参考,建一个分区查询表。

1.需要自定义cdn缓存策略这里的策略也是先复制之前的cdn策略哈 最后复制完了 全部新增这两条标头keyCloudFront-Viewer-CountryCloudFront-Viewer-City2.然后新增cdn函数，应用你写的这个函数function handler(event) { var request = event.request; var response = event.response; // 获取用户的 IP 地址 var user

bin/bash# 定义安全组ID-宁夏 VPC:NX-NHRY-PRD-VPC vpc-xxx# 从文件中读取IP地址到数组# 循环遍历内网 IP 列表。

开始测试效果。

如果这里填入的规则只有规则组的其中1个，那么永黑只会对这个规则生效，其他规则是只会根据配置生效，但是不会永黑。此刻，可以选择测试下规则是否生效，测试前确认保护资源绑定无误。使用cloudshell 或者其他终端。有一定延迟性，大概会延迟1-2分钟。弗吉尼亚北部 us-east-1。确认创建 等待所有资源创建完成。测试添加ip set 正常后。执行脚本 等待被block。根据需求创建不同的规则。

参考方案（有坑）， 所以产生了这篇博客： 点击跳转必须存在一个rate速率规则，后面的方案堆栈要用关联cdn资源1.公开s3桶调用：https://actwill-cloudformation-template.s3.amazonaws.com/waf-block-rate-ip/waf_block_rate_ip_20231208.template2.也可以手动选择复制保存2. 新建堆栈等待创建完成，查看相关参数资源找一个终端,这里我使用cloudshell使用我编写的脚本进行

1.2.

保证压缩后也是这样的层级，上传才能被识别到。来到python同级目录下打包压缩。保证这样的目录层级才能被识别到。发现新的报错 上面的问题已解决。

可以看到我1会话使用的无验证方式，产生消息（只支持vpc下开启）测试效果打开2个会话（新会话需要重新声明环境变量）2会话窗口使用sasl验证连接集群，消费消息。上述的端点地址：在控制台客户端信息查看。1.创建topic 2.生产 3.消费。测试连接集群和操作集群。

选择大于8g内存的机器，配置对应网络信息，保证和源和目标库能正常通讯，即涉及到的各个安全组放行。支持直接选择本地区的rds资源，或者也可以使用自定义主机账密的方式连接，当然要保证有对应权限。新建和源库 一样数据库引擎版本的目标库 开放对应的安全组（保证dms的复制实例可以连通）勾选开始前的任务评测，或者启动可能失败，需要提前配置好iam 的相关配置，创建完成，记得测试连通性（即复制实例到对应的RDS的安全组和网络可达）需要修改源库的这个参数，否则会任务报错。必须要有个规则，否则会报错，选默认的即可。

确认是可用状态，才能开始操作。

登录到对应账号即可，其实就是IAM Identity Center 会帮你在对应的账号创建对应IAM角色 然后你使用sso的账号去代入到对应账号的IAM。开启之后可以分配成员账户为IAM Identity Center的委托管理者，即其他账号也能管理这服务控制台。第一步，创建登陆的实体 用户 ，组可以简化我们重复的步骤，给组配权限，再给用户分配对应的组。这个就是登录地址 使用刚创建的用户登录即可。略过，非常简单创建即可，忘记密码重置即可。委托管理员能干的事情。

Terraform 将打印出其修改的文件的名称（如果有）。在这种情况下，您的配置文件已正确格式化，因此 Terraform 将不会返回任何文件名。这里我们使用 aws-linux-2022 作为执行环境。配置aws aksk 认证，保证有相关权限创建资源。可以测试下，添加多余的空格，这行命令会帮你格式化。1.aws configure方式。会让你输入yes ，确认创建动作。2.配置aksk env方式。这里我故意加一个字母测试。

示例：AmazonEC2ContainerRegistryReadOnly。官方托管策略选择合适即可。

然后使用aws-cli配置aksk访问集群。

eventbridge 事件总线类似与整个事件的一个目录集合，但是要注意一点：`单、多账户下都不支持跨区域传输事件` ！！！用cloudformation快速实现对iam的监控告警

国内eks创建nlb + nginx-ingress-controller 部署时会pull不到镜像。

（还支持同账号不同区域，不同账号的同一或不同区域互通）

ssh测试 ：（可以通过同一vpc，有公网的机器ssh 密钥文件的方式登录私网机器）查看私网机器出网ip 即为nat网关地址。记得安全组放开，以及子网的acl策略。

1.nlb配置添加显示源ip字段#添加配置（保留访问源ip）externalTrafficPolicy: Local此配置，在后端“多副本数”业务时会导致负载不均衡，但是若须配置白名单，则为必须前提！！示例：kind: ServiceapiVersion: v1metadata: name: ingress-nginx namespace: ingress-nginx labels: app.kubernetes.io/name: ingress-nginx a

两种方式添加多个弹性ip前提知晓：不同的实例类型对应不同的‘网络接口数量’和‘单网卡的辅助ip数量’！1.单个网络接口（单网卡）增加辅助ip方式，绑定多个弹性ip1 添加辅助ip保存后，需要稍等几分钟，服务器响应比较慢。成功后，创建弹性ip 绑定 即可。2 ####1.弹性ip关联 2.选择实例关联3.选择对应的内网ip绑定成功后，继续等待服务器响应，查看实例状态2.添加多个网络接口（多网卡），单独绑定弹性ip推荐:费用比方式略高，但是压力平分在每个网卡上，较稳定对应可用区添

生产集群升级kube-proxy组件计划目的：1.13.7 --> 1.16.8附件：点我下载kube-proxy-1.16.8.yaml0.更新前再次确认工作（删除" resource-container= "字段）kubectl get daemonset kube-proxy --namespace kube-system -o yaml | grep 'resource-container='如何有输出，edit删除kubectl edit daemonset kube-prox

EKS实现自动扩容的方式有很多种本文就是利用asg的负载监控机制来实现扩容效果的，废话不多说上图- 前提要求：一个eks集群，一个（子管理或者托管）的节点组如图1.ASG管理页面编辑对应的asgASG功能强大，能够通过web页面管理你的节点组，数量：min,max 删除保护，扩容机制等等配置通知模块，随时知晓asg动态2.设置对应的节点数量（慎重，可能重载现有的节点组）先设置删除保护，便利后面恢复节点3.添加负载监控扩容机制（可以选择只扩展不缩减保证服务不中断）4.

EKS创建常见报错creating CloudFormation stack "eksctl-test-eks-01-nodegroup-eks-test-node-1.16": ValidationError: 1 validation error detected: Value 'eksctl-test-eks-01-nodegroup-eks-test-node-1.16' at 'stackName' failed to satisfy constraint: Member must sati

前置条件当然你需要先申请一个aws账号（必备：信用卡）创建集群方式选择本文章使用的第二种web创建方式1.eksctl命令行方式创建，首先需要安装aws-cli及eksctl，然后需要配置好账号信息，使用命令创建集群等资源第一步：aws-cli安装方法 （配置账密信息）相关配置文件命令行配置user-config信息 aws configure vim ~/.aws/credentials #静态修改vim ~/.aws/config #静态修改第二步：eksctl安装方法