问题[amazon-ec2](server)

客户端已连接，但没有互联网连接。

EC2 设置：

更改源/目标检查 -已停止

安全组：

入境规则

出站规则：

ip a输出

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc mq state UP group default qlen 1000
    link/ether 0a:ff:cd:eb:b7:33 brd ff:ff:ff:ff:ff:ff
    inet 172.31.19.143/20 metric 100 brd 172.31.31.255 scope global dynamic ens5
       valid_lft 1926sec preferred_lft 1926sec
    inet6 fe80::8ff:cdff:feeb:b733/64 scope link
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::24ec:9277:58c2:c0da/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

iptables-save输出：

# Generated by iptables-save v1.8.10 (nf_tables) on Fri Jun 21 02:08:53 2024
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [7640:598644]
-A POSTROUTING -s 0.0.0.0/2 -o eth0 -j MASQUERADE
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
COMMIT

sysctl net.ipv4.ip_forward给出

net.ipv4.ip_forward = 1

服务器配置：

port 1194
proto udp
dev tun
ca ca.crt
cert myservername.crt
key myservername.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
compress lz4-v2
push "compress lz4-v2"
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1

客户端配置：

client
dev tun
proto udp
remote ec2-...amazonaws.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
key-direction 1
cipher AES-256-CBC
verb 3

sudo iptables -t nat -L -v

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 162 packets, 18513 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  any    eth0    0.0.0.0/2            anywhere
    0     0 MASQUERADE  all  --  any    eth0    ip-10-8-0-0.ec2.internal/24  anywhere

tracert 8.8.8.8与所有超时一起

Tracing route to dns.google [8.8.8.8]
over a maximum of 30 hops:

  1    11 ms    10 ms    14 ms  10.8.0.1
  2     *        *        *     Request timed out.
 30     *        *        *     Request timed out.

有什么想法要检查什么吗？

我们在 Amazon Linux 1 上运行 Elastic Beanstalk 多容器 Docker 环境，该环境已被弃用，需要迁移到 Amazon Linux 2。

该文档提供了两种执行此操作的选项：

• 迁移到在 Amazon Linux 2 上运行的 ECS
• 迁移到在 Amazon Linux 2 上运行的 Docker

据我了解，他们推荐第一个选项，因为 ECS 平台与 AL1 上的当前平台更相似。

然而，我想知道这两个选项之间的实际差异是什么。ECS 在这方面到底扮演什么角色，与纯 Docker 相比有什么优势？

在 ECS 上，我们使用 Dockerrun.aws.json 进行部署，该文件是通过容器转换从 docker-compose.yml 生成的。这可行，但如果我们可以跳过该转换，那就太好了。使用第二种方案，在没有ECS的情况下，是否可以直接部署docker-compose.yml文件？

我们使用单个实例，没有负载均衡器（但希望为将来保留该选项）。

有没有人通过这两种选择完成了此迁移，并且可以提供有关该过程的一些见解？

我去年问过这个问题，但没有得到任何答案或点赞，所以它被社区机器人删除了。我再次发布它，因为我现在必须进行迁移，并且有人建议我这样做。

与此同时，Amazon Linux 2023 已经发布，但问题基本保持不变（Docker 平台还是 ECS 平台？）。

红帽通用基础镜像 (UBI)常见问题解答声称

8. 基于 UBI 构建的应用程序是否可以访问与基于非 UBI 基础镜像构建的镜像相同的内容？

是的，但访问非 UBI 内容需要红帽订阅，并且使用非 UBI 内容构建的容器不可再分发。

当我在已注册、订阅的主机上启动 UBI 容器时，可用 RPM 存储库的列表会有所不同，具体取决于我是从 RHEL ISO（本例中为 VirtualBox VM）创建主机还是从 RHEL AMI 启动 EC2 实例。EC2 实例上的 UBI 容器无权访问全套 RPM 软件包存储库。

例如：

RHEL8 EC2 实例上的 UBI8 容器

[ec2-user@ip-WWW-XXX-YYY-ZZZ ~]$ podman run --rm -it ubi7 yum repolist all | wc -l
41

RHEL8 VirtualBox VM 上的 UBI8 容器

[neirbowj@rhel8 ~]$ podman run --rm -it ubi8 yum repolist all | wc -l
427

这是为什么？如何修改 EC2 环境，以便可以从 UBI 容器内访问全套 RPM 软件包存储库？

使用t2.micro/t3.micro和进行测试Ubuntu 22.04.3 LTS。起初我以为这是存储限制，但我增加到了 30GB。

重现它的步骤：

• 创建实例
• 执行 和 的更新和apt升级apt-get
• 安装 pipsudo apt install python3-pip
• pip install sentence-transformers

当到达这一步时它崩溃了：

Downloading nvidia_cudnn_cu12-8.9.2.26-py3-none-manylinux1_x86_64.whl.metadata (1.6 kB)
Collecting nvidia-cublas-cu12==12.1.3.1 (from torch>=1.6.0->sentence-transformers)
  Downloading nvidia_cublas_cu12-12.1.3.1-py3-none-manylinux1_x86_64.whl (410.6 MB)
     ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╸ 410.6/410.6 MB 67.4 MB/s eta 0:00:01Killed

日志错误：

Out of memory: Killed process 1211 (python) total-vm:1024532kB, anon-rss:456116kB, file-rss:2772kB, shmem-rss:0kB, UID:1000 pgtables:1492kB oom_score_adj:0
[  226.612189] Out of memory: Killed process 2067 (python) total-vm:996224kB, anon-rss:450684kB, file-rss:2560kB, shmem-rss:0kB, UID:1000 pgtables:1516kB oom_score_adj:0

我想在 Amazon Linux 2023 上安装 FreeIPA 客户端。

不幸的是，Amazon Linux 2023 并不正式支持该软件包。作为解决方法，我安装了 Fedora 存储库并设法安装了 freeipa-client 软件包，但在安装过程中，我在尝试使用 OTP 登录主机时收到以下错误。

DEBUG stderr=SASL Bind failed
    Invalid credentials

2023-09-21T07:50:26Z ERROR Joining realm failed: SASL Bind failed
    Invalid credentials

我还尝试直接下载并 rpm 安装所需的二进制文件，但出现此错误。

Traceback (most recent call last):
  File "/usr/sbin/ipa-client-install", line 22, in <module>
    from ipaclient.install import ipa_client_install
ImportError: cannot import name 'ipa_client_install' from 'ipaclient.install' (unknown location)

有没有人成功安装 FreeIPA 客户端并成功将主机登录到 IPA 域？您是否知道另一种解决方法，它允许我从 FreeIPA 获得 HBAC/RBAC 功能，但无需 FreeIPA 代理？

我有两个 ec2 实例，它们在其上运行不同的应用程序，这些应用程序通过 CloudFront 提供服务。今晚，两人同时失去了反应。任何通过 CloudFront 联系应用程序的尝试都会以 504 结束。

我尝试过：

• 重新启动实例；
• 完全停止它们，重新启动；
• 通过控制台上的 ssh 连接 - 连接超时。
• 使用 AWS 控制台通过 ssh 连接 - 它停留在“正在建立连接...”
• 重新部署应用程序（通过 CodeDeploy）- 部署成功，但 Web 应用程序仍然不可用。

我发现两者都使用了很少的 CPU。我在其中一个实例上运行的进程正在运行，因为我在 CloudWatch 中看到新的日志条目。另请参阅两个 Web 应用程序均已成功启动。

我不知道还能做什么来解决这个问题。我如何判断是我做了什么，还是亚马逊出了问题？

这是一个全新的 Windows Server 2022 EC2 实例。我是管理员。

我正在尝试使用 NICE DCV。我猜我已经安装了它，但我在任何地方都看不到它。Amazon 的说明是从 MMC 启动它，但 MMC 是空的。

要打开 MMC，我执行 win+r>mmc。

我有两个 AWS 账户，每个账户中有一个角色：Account-A有RoleA和Account-B有RoleB。

RoleA 将假定 RoleB 能够通过 连接到 Account-B 中的 EC2 实例ssm start-session。

使用 RoleA，我能够承担 RoleB 并使用 aws cli 描述 Account-B 中的实例，但由于以下错误，我无法启动 ssm 会话：

An error occurred (AccessDeniedException) when calling the TerminateSession operation: User: arn:aws:sts::222222222222:assumed-role/RoleB/RoleB-SSM-test is not authorized to perform: ssm:TerminateSession on resource: arn:aws:ssm:us-east-1:222222222222:assumed-role/RoleB/RoleB-SSM-test-000000000000 because no identity-based policy allows the ssm:TerminateSession action

RoleA策略：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sts:AssumeRole"
               ],
               "Resource": [
                   "arn:aws:iam::222222222222:role/RoleB"
               ]
           }
       ]
   }

角色B政策：

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Action": [
                   "ssm:DescribeSessions",
                   "ssm:GetConnectionStatus",
                   "ssm:DescribeInstanceProperties",
                   "ec2:DescribeInstances",
                   "ssm:StartSession"
               ],
               "Resource": [
                   "arn:aws:ec2:us-east-1:222222222222:instance/i-123456abc789102de",
                   "arn:aws:ssm:us-east-1:222222222222:document/SSM-SessionManagerRunShell",
                   "arn:aws:ssm:us-east-1:222222222222:document/AWS-StartSSHSession"
               ]
           },
           {
               "Sid":"",
               "Effect":"Allow",
               "Action": [
                   "ssm:TerminateSession"
               ],
               "Resource": "*",
               "Condition": {
                   "StringLike": {
                       "ssm:resourceTag/aws:ssmmessages:session-id": [
                           "AROAXXXXXXXXXXXXX"
                       ]
                   }
               }
   
           }
       ]
   }

最初，ssm:TerminateSessionin RoleB 策略没有条件并且与其他操作并存，我进行了此更改以尝试解决此错误，但没有成功，出现相同的错误消息。

我做错了什么？

实现此类目标的最佳方法是什么：

我的弹性 IP 数量有限，并且我有一堆 EC2 实例来启动小型应用程序。

我有一个想法，有一个负载均衡器或一个 EC2 实例，可以将流量路由到任何其他 EC2 实例。

例如将有 3 个实例：

• 实例 1 (ec2-00-00-0-01.eu-west-2.compute.amazonaws.com)
• 实例 2 (ec2-00-00-0-02.eu-west-2.compute.amazonaws.com)
• 实例 3 (ec2-00-00-0-03.eu-west-2.compute.amazonaws.com)

我想使用这些实例的公共 IPv4 DNS。

例如，我怎么能有一个可以根据域名路由流量的地方。

EC2 实例（nginx 反向代理）或 AWS 中的负载均衡器将侦听域的请求：

• instance1.com（将流量路由到 ec2-00-00-0-01）
• instance2.com（将流量路由到 ec2-00-00-0-02）
• instance3.com（将流量路由到 ec2-00-00-0-03）

处理这种情况的方法是什么？

在过去的 3 个月里，我一直将 AWS EC2 用作“普通”VPS 托管服务提供商——仅仅是因为它与其他 AWS 服务很好地集成在一起，而且价格对我来说使用预留实例并没有太大区别。

更换 EC2 实例是否有最长使用期限，或者它们是否能够“永远”运行？我不是在谈论退休。

感谢您的帮助/见解！