M. Glatki's questions

我使用 CloudFormation 向我的 VPC 添加了一个 VPC 终端节点，并允许使用 s3。路由在 AWS 控制台中可见，但在 EC2 实例的本地路由表中不可见：

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.29.4.129    0.0.0.0         UG    0      0        0 eth0
169.254.169.254 0.0.0.0         255.255.255.255 UH    0      0        0 eth0
172.29.4.128    0.0.0.0         255.255.255.128 U     0      0        0 eth0

如何验证 VPC 中的 EC2 实例实际使用 S3 的 VPC 终端节点，而不是可用的互联网连接？

我在分配有 Iam 角色的 EC2 实例上运行 Ansible。我正在运行这个剧本：

$ cat s3.yaml
---
- hosts: localhost
  remote_user: ec2-user
  tasks:
    - name: download ec2.py from s3
      s3:
        bucket: mybucket
        object: /ec2.py
        dest: /tmp/ec2.py
        mode: get

使用 -vvv 运行它会提供以下错误消息：

fatal: [localhost]: FAILED! => {
    "changed": false, 
    "failed": true, 
    "invocation": {
        "module_args": {
            "aws_access_key": null, 
            "aws_secret_key": null, 
            "bucket": "mybucket", 
            "dest": "/tmp/ec2.py", 
            "ec2_url": null, 
            "encrypt": true, 
            "expiry": "600", 
            "headers": null, 
            "marker": null, 
            "max_keys": "1000", 
            "metadata": null, 
            "mode": "get", 
            "object": "/ec2.py", 
            "overwrite": "always", 
            "permission": [
                "private"
            ], 
            "prefix": null, 
            "profile": null, 
            "region": null, 
            "retries": 0, 
            "rgw": false, 
            "s3_url": null, 
            "security_token": null, 
            "src": null, 
            "validate_certs": true, 
            "version": null
        }, 
        "module_name": "s3"
    }, 
    "msg": "Source bucket cannot be found"
}

根据文档，带有 boto 的 Ansible 应该能够获得 EC2 实例角色。

到目前为止，我有：

• 尝试了文档，这意味着它应该可以正常工作。
• 已验证我的 boto 版本是否足够新（boto 2.42）
• 已验证 EC2 实例角色具有正确的权限（aws s3 cp s3://mybucket/ec2.py /tmp/ec2.py工作正常）
• 已验证 EC2 实例凭证可通过curl http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access

这个已回答的问题和文档表明这是可能的。

我可以在不直接将实例凭据提供给 boto/ansible 的情况下完成此操作吗？如果是，如何。文档似乎有点缺乏。

我目前正在以无主模式运行 Puppet。我正在使用r10k进行模块和环境部署。

简化版：r10k 控制存储库有两个分支：测试和生产。生产中的更改将自动分发到生产服务器。对某些登台服务器的测试进行了更改。

现在，如果我在测试中进行更改，有时我也必须更改 r10k 控制存储库。一个常见的例子是Puppetfile，目前在生产中看起来像这样：

forge 'forge.puppetlabs.com'

# Forge modules
mod 'puppetlabs/stdlib'
mod 'puppetlabs/concat'
mod 'saz/ssh'

# Custom modules
mod 'ownmodule1',
        :git => 'https://git.example.org/configuration/ownmodule1.git',
        :ref => 'production'
mod 'ownmodule2',
        :git => 'https://git.example.org/configuration/ownmodule2.git',
        :ref => 'production'

自定义模块的配置在测试分支上可能如下所示：

mod 'ownmodule1',
        :git => 'https://git.example.org/configuration/ownmodule1.git',
        :ref => 'testing'
mod 'ownmodule2',
        :git => 'https://git.example.org/configuration/ownmodule2.git',
        :ref => 'testing'

现在，测试中的提交可能如下所示：

+mod 'ownmodule3,
+        :git => 'https://git.example.org/configuration/ownmodule3.git',
+        :ref => 'testing'

如果我将其合并到production并且不小心，ownmodule3将与testing分支一起添加到production中，这可能是致命的。当所有测试都成功时，这也可以防止自动合并。

如何修改我的存储库或工作流程以防止意外合并分支特定更改？