Perguntas[amazon-ec2](server)

Tenho um Windows Server (EC2) na AWS. Tentei instalá-lo usando Certify The Web e Lets Encrypt.

• O site funciona bem em http usando seu domínio
• Eu o instalei no site padrão do IIS.
• Abri a porta 443 na AWS e no Firewall do Windows
• Todos os recursos que usam https falham
• https://www.sslshopper.com/ssl-checker.htmlnão encontra o certificado

Estou apenas tentando testar antes de comprar um certificado decente.

O que eu perdi?

O cliente está conectado, mas não há conexão com a Internet.

Configurações EC2:

Alterar verificação de origem/destino - Parado

Grupo de segurança:

Regras de entrada

Regras de saída:

ip asaída

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq state UP group default qlen 1000
    link/ether 0a:ff:cd:eb:b7:33 brd ff:ff:ff:ff:ff:ff
    inet 172.31.19.143/20 metric 100 brd 172.31.31.255 scope global dynamic ens5
       valid_lft 1926sec preferred_lft 1926sec
    inet6 fe80::8ff:cdff:feeb:b733/64 scope link
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::24ec:9277:58c2:c0da/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

iptables-savesaída:

# Generated by iptables-save v1.8.10 (nf_tables) on Fri Jun 21 02:08:53 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [7640:598644]
-A POSTROUTING -s 0.0.0.0/2 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

sysctl net.ipv4.ip_forwarddá

net.ipv4.ip_forward = 1

configuração do servidor:

port 1194
proto udp
dev tun
ca ca.crt
cert myservername.crt
key myservername.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
compress lz4-v2
push "compress lz4-v2"
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1

Configuração do cliente:

client
dev tun
proto udp
remote ec2-...amazonaws.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
key-direction 1
cipher AES-256-CBC
verb 3

sudo iptables -t nat -L -v

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 162 packets, 18513 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  any    eth0    0.0.0.0/2            anywhere
    0     0 MASQUERADE  all  --  any    eth0    ip-10-8-0-0.ec2.internal/24  anywhere

tracert 8.8.8.8vai com todos os tempos limite

Tracing route to dns.google [8.8.8.8]
over a maximum of 30 hops:

  1    11 ms    10 ms    14 ms  10.8.0.1
  2     *        *        *     Request timed out.
 30     *        *        *     Request timed out.

Alguma idéia do que verificar?

Estamos executando um ambiente Docker multicontêiner do Elastic Beanstalk no Amazon Linux 1, que foi obsoleto e precisa ser migrado para o Amazon Linux 2.

A documentação apresenta duas opções para fazer isso:

• Migração para ECS em execução no Amazon Linux 2
• Migrando para Docker em execução no Amazon Linux 2

Pelo que entendi, eles recomendam a primeira opção, pois a plataforma ECS é mais parecida com a plataforma atual do AL1.

Estou me perguntando, no entanto, quais são as diferenças práticas entre essas duas opções. Qual é o papel do ECS nisso, quais vantagens ele tem sobre o Docker puro?

No ECS, implantamos com Dockerrun.aws.json, que geramos a partir de docker-compose.yml com container-transform. Isso funciona, mas seria bom se pudéssemos pular essa transformação. Com a segunda opção, sem ECS, seria possível implantar um arquivo docker-compose.yml diretamente?

Usamos uma única instância, sem balanceador de carga (mas queremos manter a opção aberta para o futuro).

Alguém já fez essa migração, com qualquer uma das opções, e pode fornecer alguns insights sobre o processo?

Fiz esta pergunta no ano passado e ela não obteve respostas ou votos positivos, por isso foi excluída pelo bot da comunidade. Estou postando novamente, pois tenho que fazer a migração agora, e fui orientado a fazê-lo.

Enquanto isso, o Amazon Linux 2023 foi lançado, mas a questão permanece basicamente a mesma (plataforma Docker ou plataforma ECS?).

O FAQ do Red Hat Universal Base Image (UBI) afirma que

8. Os aplicativos construídos em UBI terão acesso ao mesmo conteúdo que as imagens construídas em uma imagem base não UBI?

Sim, mas o acesso a conteúdo não UBI requer uma assinatura da Red Hat e torna os contêineres construídos com conteúdo não UBI não redistribuíveis.

Quando eu inicio um contêiner UBI em um host registrado e inscrito, a lista de repositórios RPM disponíveis é diferente dependendo se eu criei o host a partir de um RHEL ISO (VirtualBox VM, neste caso) ou lancei uma instância EC2 a partir de um RHEL AMI. O contêiner UBI na instância EC2 não tem acesso ao conjunto completo de repositórios de pacotes RPM.

Por exemplo:

Contêiner UBI8 em uma instância RHEL8 EC2

[ec2-user@ip-WWW-XXX-YYY-ZZZ ~]$ podman run --rm -it ubi7 yum repolist all | wc -l
41

Contêiner UBI8 em uma VM RHEL8 VirtualBox

[neirbowj@rhel8 ~]$ podman run --rm -it ubi8 yum repolist all | wc -l
427

Por que isso acontece e como posso modificar o ambiente EC2 para poder acessar o conjunto completo de repositórios de pacotes RPM de dentro de um contêiner UBI?

Testado com t2.micro/ t3.microe Ubuntu 22.04.3 LTS. A princípio pensei que fosse um limite de armazenamento, mas aumentei para 30GB.

As etapas para reproduzi-lo:

• Crie a instância
• Executar atualização e upgrade de apteapt-get
• Instale o pip comsudo apt install python3-pip
• pip install sentence-transformers

Ele trava quando chega a esta etapa:

Downloading nvidia_cudnn_cu12-8.9.2.26-py3-none-manylinux1_x86_64.whl.metadata (1.6 kB)
Collecting nvidia-cublas-cu12==12.1.3.1 (from torch>=1.6.0->sentence-transformers)
  Downloading nvidia_cublas_cu12-12.1.3.1-py3-none-manylinux1_x86_64.whl (410.6 MB)
     ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╸ 410.6/410.6 MB 67.4 MB/s eta 0:00:01Killed

O erro de registro:

Out of memory: Killed process 1211 (python) total-vm:1024532kB, anon-rss:456116kB, file-rss:2772kB, shmem-rss:0kB, UID:1000 pgtables:1492kB oom_score_adj:0
[  226.612189] Out of memory: Killed process 2067 (python) total-vm:996224kB, anon-rss:450684kB, file-rss:2560kB, shmem-rss:0kB, UID:1000 pgtables:1516kB oom_score_adj:0

Quero instalar o cliente FreeIPA no Amazon Linux 2023.

Infelizmente, o Amazon Linux 2023 não oferece suporte oficial ao pacote. Como solução alternativa, instalei os repositórios do Fedora e consegui instalar o pacote freeipa-client, mas durante a instalação recebo o seguinte erro ao tentar integrar o host com um OTP.

DEBUG stderr=SASL Bind failed
    Invalid credentials

2023-09-21T07:50:26Z ERROR Joining realm failed: SASL Bind failed
    Invalid credentials

Também tentei baixar e instalar diretamente por rpm os binários necessários, mas recebo este erro.

Traceback (most recent call last):
  File "/usr/sbin/ipa-client-install", line 22, in <module>
    from ipaclient.install import ipa_client_install
ImportError: cannot import name 'ipa_client_install' from 'ipaclient.install' (unknown location)

Alguém conseguiu instalar o cliente FreeIPA e integrar com sucesso o host ao domínio IPA? Você conhece outra solução alternativa que me permitirá ter recursos HBAC/RBAC do FreeIPA, mas sem o agente FreeIPA?

Tenho duas instâncias ec2 que executam aplicativos diferentes nelas, que são atendidas por meio do CloudFront. Hoje à noite, ambos ficaram sem resposta ao mesmo tempo. Qualquer tentativa de entrar em contato com os aplicativos por meio do CloudFront termina em 504.

eu tentei:

• Reiniciando as instâncias;
• Parando-os completamente, reiniciando;
• Conectando-se por meio de ssh no console - a conexão atinge o tempo limite.
• Conectando-se através do ssh usando o console AWS - ele fica preso em "Estabelecendo conexão ..."
• Reimplantando os aplicativos (através do CodeDeploy) - implantações bem-sucedidas, mas o aplicativo da Web ainda não está disponível.

Vejo que ambos tem muito pouca CPU sendo utilizada. Um processo que executo em uma das instâncias está em execução porque vejo novas entradas de log no CloudWatch. Veja também se ambos os aplicativos da web foram iniciados com sucesso.

Não sei mais o que fazer para solucionar isso. Como posso saber se fui eu que fiz algo ou se é a Amazon que está tendo problemas?

Esta é uma nova instância do Windows Server 2022 EC2. Eu sou Administrador.

Estou tentando usar o NICE DCV. Eu o instalei, eu acho, mas não o vejo em lugar nenhum. As instruções da Amazon são para iniciá-lo a partir do MMC, mas o MMC está vazio.

Para abrir o MMC eu faço win+r>mmc.

Eu tenho duas contas da AWS e uma função em cada conta: Account-A have RoleA e Account-B have RoleB .

O RoleA assumirá o RoleB para poder se conectar em uma instância do EC2 na Conta-B por meio de ssm start-session.

Usando o RoleA, sou capaz de assumir o RoleB e descrever as instâncias em Account-B usando aws cli, mas não consigo iniciar uma sessão ssm devido ao seguinte erro:

An error occurred (AccessDeniedException) when calling the TerminateSession operation: User: arn:aws:sts::222222222222:assumed-role/RoleB/RoleB-SSM-test is not authorized to perform: ssm:TerminateSession on resource: arn:aws:ssm:us-east-1:222222222222:assumed-role/RoleB/RoleB-SSM-test-000000000000 because no identity-based policy allows the ssm:TerminateSession action

Política RoleA:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole"
               ],
               "Resource": [
                   "arn:aws:iam::222222222222:role/RoleB"
               ]
           }
       ]
   }

Política RoleB:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "ssm:DescribeSessions",
                   "ssm:GetConnectionStatus",
                   "ssm:DescribeInstanceProperties",
                   "ec2:DescribeInstances",
                   "ssm:StartSession"
               ],
               "Resource": [
                   "arn:aws:ec2:us-east-1:222222222222:instance/i-123456abc789102de",
                   "arn:aws:ssm:us-east-1:222222222222:document/SSM-SessionManagerRunShell",
                   "arn:aws:ssm:us-east-1:222222222222:document/AWS-StartSSHSession"
               ]
           },
           {
               "Sid":"",
               "Effect":"Allow",
               "Action": [
                   "ssm:TerminateSession"
               ],
               "Resource": "*",
               "Condition": {
                   "StringLike": {
                       "ssm:resourceTag/aws:ssmmessages:session-id": [
                           "AROAXXXXXXXXXXXXX"
                       ]
                   }
               }
   
           }
       ]
   }

Originalmente, a ssm:TerminateSessionpolítica in RoleB não tinha uma condição e estava junto com as outras ações, fiz essa alteração para tentar resolver esse erro, mas sem sucesso, mesma mensagem de erro.

O que estou fazendo de errado?

Qual seria a melhor maneira de conseguir tal coisa:

Eu tenho uma quantidade limitada de ips elásticos e tenho várias instâncias do EC2 para iniciar aplicativos pequenos.

Eu tenho uma ideia de ter um balanceador de carga ou uma instância do EC2 que possa rotear o tráfego para qualquer outra instância do EC2.

Por exemplo, haveria 3 instâncias:

• Instância 1 (ec2-00-00-0-01.eu-west-2.compute.amazonaws.com)
• Instância 2 (ec2-00-00-0-02.eu-west-2.compute.amazonaws.com)
• Instância 3 (ec2-00-00-0-03.eu-west-2.compute.amazonaws.com)

Eu gostaria de usar o DNS IPv4 público dessas instâncias.

Então, por exemplo, como eu poderia ter um único lugar que pudesse rotear o tráfego com base no nome de domínio.

Instância do EC2 (proxy reverso nginx) ou um balanceador de carga na AWS escutaria solicitações de domínios:

• instance1.com (encaminharia o tráfego para ec2-00-00-0-01)
• instance2.com (encaminharia o tráfego para ec2-00-00-0-02)
• instance3.com (encaminharia o tráfego para ec2-00-00-0-03)

Qual seria sua abordagem para lidar com esse cenário?