Início / user-265350

M. Glatki's questions

Martin Hope
M. Glatki
Asked: 2016-12-29 01:52:15 +0800 CST
  • 18

Adicionei um VPC endpoint ao meu VPC usando o CloudFormation e permiti o uso do s3. As rotas são visíveis no console AWS, mas não nas tabelas de roteamento local das instâncias do EC2:

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.29.4.129    0.0.0.0         UG    0      0        0 eth0
169.254.169.254 0.0.0.0         255.255.255.255 UH    0      0        0 eth0
172.29.4.128    0.0.0.0         255.255.255.128 U     0      0        0 eth0

Como verifico se as instâncias do EC2 no VPC realmente usam o VPC endpoint para S3, e não a conexão de internet disponível?

routing amazon-ec2 amazon-s3 amazon-web-services amazon-vpc
Martin Hope
M. Glatki
Asked: 2016-12-08 02:24:54 +0800 CST
  • 3

Estou executando o Ansible em uma instância do EC2 com uma função Iam atribuída. Estou executando este manual:

$ cat s3.yaml
---
- hosts: localhost
  remote_user: ec2-user
  tasks:
    - name: download ec2.py from s3
      s3:
        bucket: mybucket
        object: /ec2.py
        dest: /tmp/ec2.py
        mode: get

Executá-lo com -vvv fornece esta mensagem de erro:

fatal: [localhost]: FAILED! => {
    "changed": false, 
    "failed": true, 
    "invocation": {
        "module_args": {
            "aws_access_key": null, 
            "aws_secret_key": null, 
            "bucket": "mybucket", 
            "dest": "/tmp/ec2.py", 
            "ec2_url": null, 
            "encrypt": true, 
            "expiry": "600", 
            "headers": null, 
            "marker": null, 
            "max_keys": "1000", 
            "metadata": null, 
            "mode": "get", 
            "object": "/ec2.py", 
            "overwrite": "always", 
            "permission": [
                "private"
            ], 
            "prefix": null, 
            "profile": null, 
            "region": null, 
            "retries": 0, 
            "rgw": false, 
            "s3_url": null, 
            "security_token": null, 
            "src": null, 
            "validate_certs": true, 
            "version": null
        }, 
        "module_name": "s3"
    }, 
    "msg": "Source bucket cannot be found"
}

De acordo com a documentação, o Ansible com boto deve ser capaz de assumir a função de instância do EC2.

Até agora eu tenho:

  • Tentei a documentação, o que implica que deve funcionar.
  • Verifiquei que minha versão do boto é nova o suficiente (boto 2.42)
  • Verificado se a função da instância do EC2 tem as permissões corretas ( aws s3 cp s3://mybucket/ec2.py /tmp/ec2.pyfunciona bem)
  • Verificou se as credenciais da instância do EC2 estão disponíveis por meio decurl http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access

Esta pergunta respondida e a documentação indicam que é possível.

Posso fazer isso sem disponibilizar as credenciais da instância diretamente para o boto/ansible? Se sim, como. A documentação parece um pouco carente.

amazon-ec2 amazon-web-services ansible ansible-playbook amazon-iam
Martin Hope
M. Glatki
Asked: 2016-07-08 00:35:57 +0800 CST
  • 4

No momento, estou executando o Puppet no modo sem mestre. Estou usando o r10k para implantação de módulo e ambiente.

Versão simplificada: O repositório de controle r10k possui duas ramificações: teste e produção . As alterações na produção serão distribuídas automaticamente para os servidores de produção. Mudanças nos testes para alguns servidores de teste.

Agora, se estou alterando as coisas no teste, às vezes também preciso alterar o repositório de controle r10k. Um exemplo comum seria o Puppetfile, que atualmente se parece com isso na produção :

forge 'forge.puppetlabs.com'

# Forge modules
mod 'puppetlabs/stdlib'
mod 'puppetlabs/concat'
mod 'saz/ssh'

# Custom modules
mod 'ownmodule1',
        :git => 'https://git.example.org/configuration/ownmodule1.git',
        :ref => 'production'
mod 'ownmodule2',
        :git => 'https://git.example.org/configuration/ownmodule2.git',
        :ref => 'production'

A configuração dos módulos personalizados pode ser semelhante a esta na ramificação de teste :

mod 'ownmodule1',
        :git => 'https://git.example.org/configuration/ownmodule1.git',
        :ref => 'testing'
mod 'ownmodule2',
        :git => 'https://git.example.org/configuration/ownmodule2.git',
        :ref => 'testing'

Agora, um commit em testing pode ficar assim:

+mod 'ownmodule3,
+        :git => 'https://git.example.org/configuration/ownmodule3.git',
+        :ref => 'testing'

Se eu mesclar isso com a produção e não for cuidadoso, ownmodule3 será adicionado à produção com o ramo de teste , o que pode ser fatal. Isso também evita a mesclagem automatizada quando todos os testes são bem-sucedidos.

Como posso modificar meus repositórios ou fluxo de trabalho para evitar a mesclagem acidental de alterações específicas da ramificação?

puppet git puppet-agent r10k