2021年05月_shenghuiping2001

12月 11月 10月 09月 08月 07月 06月 05月 04月 03月 02月 01月

原创 aws SLB 监控负载均衡 - 访问日志access log

今天被要求设置ALB 的访问日志，结果设置的时候，总是报错，结果查了文档：https://docs.amazonaws.cn/elasticloadbalancing/latest/application/load-balancer-access-logs.html发现s3 的权限设置要加下面这么一段：{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {...

2021-05-24 16:58:02 1096

原创 aws S3 对部分文件-文件夹的public access访问控制

今天实验了aws S3 上对bucket 上面部分文件夹，或者文件进行public access 的设置：1：先了解“can be public access” 和public 的区别：(先把下面的block public access 给disable 就可以看到: Objects can be public)2: 继续向下面看权限：如果是public access: everyone 进入这个也设置成write and read, 那么权限就变成： public了：3：关于部分文.

2021-05-23 10:15:46 964

原创 aws S3 仅仅允许https 登入 not http 登入

方法：可以先去aws s3 的策略生成器下面先生成：AWS Policy Generator可以在permission 下面加入如下策略： (注意生成的策略，需要改成aws - > aws-cn)改好之后，可以测试一下，https 是可以的，但是http 是不行的。{ "Id": "Policy1621578773057", "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1621...

2021-05-21 18:01:29 619

原创 AWS S3 服务器端加密 SSE-KMS 后， S3 中文件访问不了

今天做了实验，实现了aws 服务器端的两种加密方式，sse-s3 对 S3 中的文件访问没有任何影响，但是sse-kms 加密后，URL 访问不了了：1：先创建一个kms:(熟悉KMS 可以把操作用户也加进去)2： S3 的属性中用这个KMS 加密：3：访问s3, 就会出现如下的报错：4：如果改成SSE-s3 的加密，就可以访问s3 上面的文件啦。出现这个问题的原因是因为：通过浏览器来访问对象时，所发出的get请求并不是通过AWS SigV4签名之后发出的，所以这些请

2021-05-15 22:09:43 1164 2

原创 aws S3 access log 的设置

1: 关于aws S3 的access log 的设置：（下面显示不在同一个region 会报错，可以建一个在同一个region 的bucket）2: 建好bucket 后，可以设置一个文件夹，这个文件夹不一定要存在，如果没有s3 会自动创建：（但是最后要写 " / "）3: 写好后，一定要配一个life-cycle: (apply all object in the bucket)设定一个过期时间，就可以实现几天前的delete....

2021-05-14 17:54:54 614

原创 AWS public IP 重启后改变

今天给客户加密disk 后重启，发现他们的public 变了，以前的public IP 找不到了，一开始找原因，开了case, 到系统cloud trail 里发现，这个ip 根本就不是Elastic IP1: 查找方法：（可以看到下图的resource name 里面有生成的ip）.2: 如果这个Elastic IP 被绑定到一个instance 里面，可以看如下的查找：（右下角有instance ID）.3: 如果是查找其它的操作，也可以同样方法，查找 addtag 的记录:..

2021-05-13 23:42:01 1588

原创 AWS EC2 里面安装docker

1: 按照aws 的官方文档，安装docker:Docker 基本知识Amazon ECS - Amazon ECS2: 安装好以后，运行docker:docker run -it --name=test hello-world发现报错：AH00558: apache2: Could not reliably determine the server’s fully qualified domain name, using 172.17.0.2. Set the ‘ServerName...

2021-05-12 18:00:44 1104

原创 aws auto-scaling 自动扩展: 与加密卷一起使用所需的 CMK 密钥策略

今天aws 给ecs 中ec2实例实现auto-scaling 的时候，没有成功，后来开了case, 发现auto-scaling 的镜像AMI 是加密的，这个加密的kms 是没有对auto-scaling 的权限的，下面一起来看一下：1：先去aws auto scaling 的启动配置上看一下：2：可以选择上面的"create launch configuration" 创建新的，也可以从已有的copy: 如下：3：点击上面的copy 后，可以看到如下的界面：（要特别注意，选.

2021-05-11 21:25:43 329

原创 aws ECS 的ec2 加入到auto-scaling

今天把ec2 加入到auto-scaling 组里：1：为了防止instance stop 被terminate 掉，可以先加一层保护：（change termination protection）2: 然后再点上面的" attach to auto scaling group", 就可以加入到auto-scaling group 里面了：3: 然后选中这个instance ，点右边的action, 可以点击：" set scale-in protection" , 保护在auto-.

2021-05-11 11:20:44 366

原创 AWS ECS -ec2 disk 加密

今天客户要求把ECS 关联的ec2 的disk 加密：先看一下操作步骤：1.登录ECS控制台页面，选择您的集群cnawsXXXXX，然后选中“ECS instances”，在该页面中您会看到当前的两台EC2实例，选中其中一台，然后点击“Actions”，并选则“Drain instances”来排干实例[1]。上述操作会将您选中的EC2实例中的task排干、并重新调度到另外一台EC2实例中。2.在通过ECS控制台查看、确认实例被DRAINING后，您可以操作实例、为实例的EBS卷做加密。.

2021-05-10 16:26:55 344

原创 AWS 脚本输出EC2, RDS 的信息

在有些时候，客户又很多账号，每个账号下面又有很多ec2 / RDS / S3 等，要列出他们的属性，可以参考一下的命令：EC2:aws ec2 describe-instances --query "Reservations[*].Instances[*].[Tags[?Key=='Name']|[0].Value,InstanceId,InstanceType,Platform,State.Name,PrivateIpAddress,PublicIpAddress,Placement.Availa

2021-05-04 14:46:03 514

原创 aliyun RDS 导入SQL 文件

1：先创建一个RDS：2：创建一个账号：3：创建一个数据库：4：创建号数据库后，再点击右上角的"登入数据库"，输入刚才的账号密码，然后：点击：导入数据：参考：(9条消息) 阿里云RDS新建数据库与导入_zyb2017的博客-CSDN博客出现：如下log, 表示成功：5：下面在aliyun 的ECS 上面进行连接RDS 测试：6: 出现如上的: （using password: No）表示没有认识到password,下面再次输入后，就出现如下成.

2021-05-03 15:12:52 940