MoWo's questions

Estou solucionando problemas de uma instância AWS RDS Postgres que foi reiniciada pela AWS várias vezes nos últimos dias, muito provavelmente devido a restrições de recursos. É um banco de dados de teste que geralmente não faz muito, mas recentemente colocamos uma carga maior nele. Descobri que o volume EBS do banco de dados (200 GB gp3) esgotou seus créditos de taxa de transferência e que os tempos de reinicialização do banco de dados coincidiram muito bem com a métrica EBSByteBalance% chegando a zero. Então, quando o banco de dados é reiniciado, o volume aparentemente recebe um novo conjunto de créditos de rajada, como pode ser visto na captura de tela abaixo:

Os créditos agora caem um pouco mais devagar, pois aliviamos a carga no banco de dados, mas eles ainda estão caindo. Quando olho para as métricas atuais de taxa de transferência de leitura e gravação, elas parecem somar cerca de 5 a 7 MiB/s com picos ocasionais:

Com base nas informações encontradas aqui no armazenamento de instâncias de banco de dados do Amazon RDS, a taxa de transferência de linha de base para um volume gp3 abaixo de 400 GB deve ser de 125 MiB/s. Então, alguém pode me ajudar a explicar por que a métrica EBSByteBalance% continua diminuindo neste cenário? Obrigado!

Eu tenho uma máquina Ubuntu 20.04 com 2 interfaces ethernet com 2 endereços IP cada. É uma instância AWS EC2 e cada um dos 4 endereços IP tem um EIP anexado a ele via NAT. Ambas as interfaces se conectam à mesma sub-rede interna. A configuração fica assim:

Máquina EC2:

- eni1:

• private-IP1 -> public-IP1
• IP2 privado -> IP2 público

- eni2:

• IP3 privado -> IP3 público
• IP4 privado -> IP4 público

Todos os 4 endereços são alcançáveis ​​do lado de fora, então parece estar tudo bem. No entanto, para o tráfego de saída atualmente, sempre o IP1 privado (e, portanto, o IP1 público) é usado. Eu quero especificar que usuários SSH individuais usem endereços IP específicos, para que eles venham do IP público correspondente ao conversar com serviços na Internet, ou seja

usuário1 -> privado-IP1

usuário2 -> IP2 privado

usuário3 -> IP3 privado

user4 -> private-IP4

Qual a melhor forma de alcançar este resultado?

Temos vários servidores de back-end na forma de instâncias do EC2 com base em uma sub-rede privada na AWS VPC que precisam se comunicar com uma API de terceiros. Essa API está limitando as solicitações que podemos enviar com base no endereço IP de origem e, ao dimensionar nossa configuração, começamos a atingir os limites do IP do gateway NAT usado para todo o tráfego de saída.

Assim, quero configurar um proxy para tráfego de saída com vários EIPs anexados. Para testar, estou usando atualmente uma instância do Amazon Linux 2 com 2 ENIs com 2 EIPs anexados cada. Os servidores de back-end abrem um túnel SSH para o proxy de saída e mapeiam a API de terceiros para uma porta local, uma entrada no arquivo hosts dos servidores redireciona todo o tráfego para esse nome de host para localhost e essa configuração está funcionando bem em geral, mas o tráfego de saída do proxy está sempre usando apenas o primeiro EIP associado.

Então minha configuração fica assim:

ENI1: eth0
private IP1: 10.0.11.81
private IP2: 10.0.11.82

ENI2: eth1
private IP3: 10.0.11.52
private IP4: 10.0.11.53

original route table:
default via 10.0.11.1 dev eth0
default via 10.0.11.1 dev eth1 metric 10001
10.0.11.0/24 dev eth0 proto kernel scope link src 10.0.11.81
10.0.11.0/24 dev eth1 proto kernel scope link src 10.0.11.52
169.254.169.254 dev eth0

Agora quero poder especificar qual servidor de back-end usa qual EIP ao chamar a API por meio do proxy de saída. Minha primeira tentativa foi a seguinte:

• configurar 4 usuários diferentes no host proxy
• adicione regras iptable para cada usuário assim: iptables -t nat -m owner --uid-owner user1 -A POSTROUTING -j SNAT --to IP1etc.
• isso funciona para os 2 IPs que estão conectados ao ENI primário (ou seja, eth0 na máquina), mas não funciona para os 2 IPs associados ao segundo ENI (eth1)
• adicionar -o eth1à declaração também não funcionou

Minha próxima tentativa foi criar tabelas de roteamento personalizadas para cada endereço IP e combiná-las com as regras de política:

• crie uma tabela de rotas personalizada, ou seja, para IP3:

default via 10.0.11.1 dev eth1
10.0.11.0/24 dev eth1 proto static scope link src 10.0.11.52
169.254.169.254 dev eth1 scope link

• crie a regra iptables para marcar o tráfego originário do user3:-A OUTPUT -m owner --uid-owner 1003 -j MARK --set-xmark 0x3/0xffffffff
• crie regra para utilizar a tabela de rotas personalizada para todos os pacotes marcados com 3:32763: from all fwmark 0x3 lookup ip3
• isso novamente não funciona. pacotes são tratados de forma diferente. todos os usuários podem se comunicar com o mundo, exceto user3 no exemplo acima.

O que estou fazendo errado? Há algo trivial que estou perdendo ou toda a minha abordagem está fadada ao fracasso? Estou muito aberto a sugestões, tanto para fazer essa configuração funcionar quanto para abordagens alternativas ...

Muito obrigado antecipadamente!