Dustin Oprea's questions

截至几个月前，Terraform 在将状态推送到后端（位于 S3 中）时，将有 10% 的时间失败。我必须清理掉留下的残渣，再次运行它，它就会过去。在这之前几年，它运行良好。提供者版本没有改变。环境没有改变。关于可能导致/加剧这种情况的任何想法？

module.task-definition.aws_ecs_task_definition.task-definition-default: Destroying... [id=workflow-api-production]
module.task-definition.aws_ecs_task_definition.task-definition-default: Destruction complete after 0s
module.task-definition.aws_ecs_task_definition.task-definition-default: Creating...
module.task-definition.aws_ecs_task_definition.task-definition-default: Creation complete after 0s [id=workflow-api-production]
module.load-balancer.module.service.aws_ecs_service.default: Modifying... [id=arn:aws:ecs:us-east-1:326764833890:service/internal-webserver-ssl/production-workflow-api]
module.load-balancer.module.service.aws_ecs_service.default: Modifications complete after 1s [id=arn:aws:ecs:us-east-1:326764833890:service/internal-webserver-ssl/production-workflow-api]
╷
│ Error: Failed to save state
│ 
│ Error saving state: failed to upload state: operation error S3: PutObject, failed to rewind transport stream for retry, request stream is not seekable
╵
╷
│ Error: Failed to persist state to backend
│ 
│ The error shown above has prevented Terraform from writing the updated state to the configured backend. To allow for recovery, the state has been written to the file "errored.tfstate" in the
│ current working directory.
│ 
│ Running "terraform apply" again at this point will create a forked state, making it harder to recover.
│ 
│ To retry writing this state, use the following command:
│     terraform state push errored.tfstate

我的 Terraform Git 存储库最终出现一些不可调和的数据错误，我无法推送最近的更改。我将我的提交导出到一个补丁，重新克隆，应用补丁，然后意识到我只是吹走了我所有的本地状态。我使用 AWS CLI 同步整个状态文件树，将其复制到/作为我想要应用的路径的 .terraform/terraform.tfstate，运行 init，现在出现版本错误。

这与最初生成状态文件的运行环境完全相同。这也是唯一应用更改的机器，因此一切都应该保持同步（不是说它与眼前的问题有关，但一旦我们解决了这个问题，它就不会引起任何其他问题）。

我试过运行的命令：

$ terraform init
$ terraform init -upgrade
$ terraform init -upgrade -migrate-state

不可避免的，坚定不移的输出：

Initializing the backend...
╷
│ Error: Failed to load state: Terraform 1.3.9 does not support state version 4, please update.

我似乎无法在任何地方找到任何关于如何从远程状态恢复的帖子或评论，但我猜几乎每个人都必须在某个时候从远程状态恢复。我无法理解。

从远程恢复的过程应该是什么？如果环境、项目配置和项目状态没有改变，为什么我会出现版本问题？

谢谢。任何帮助表示赞赏。

从任何其他环境连接到它都没有问题（本地工作正常，就像从云端一样），并且安全组目前是完全开放的。托管在 AWS 中的实际PostgreSQL实例没有问题。这只是极光的事情。我创建了几个具有不同配置的实例。SSL 身份验证已关闭，并且 SSL 本身配置为可选。

“抱歉，我们遇到错误，无法完成您的请求。”

订阅列表（aws sns list-subscriptions-by-topic；UI 也是）显示一个可能已取消订阅的订阅的“已删除”。

{
    "Subscriptions": [
        {
            "SubscriptionArn": "Deleted",
            "Owner": "326764833890",
            "Protocol": "email",
            "Endpoint": "[email protected]",
            "TopicArn": "arn:aws:sns:us-east-1:326764833890:my-sns"
        },
        {
            "SubscriptionArn": "arn:aws:sns:us-east-1:326764833890:my-sns:65d23ee0-57e1-4ba5-86e7-2913bef8c9bf",
            "Owner": "326764833890",
            "Protocol": "email",
            "Endpoint": "[email protected]",
            "TopicArn": "arn:aws:sns:us-east-1:326764833890:my-sns"
        }
    ]
}

所以，没有什么可以用来删除的。通过 UI 删除时，它会显示错误，抱怨 ARN 只是一部分而不是六部分。

我有一个 BIND9 服务器。我可以从一个系统查询并远程登录到它。当从同一子网/VLAN 上的另一个系统尝试此操作时，它根本不会响应。它的行为就像数据包被丢弃一样。

只需一个简单的 telnet，我就可以看到，tcpdump正在从该系统接收数据包，但我不明白为什么服务器从不响应。我已经重新启动了非工作客户端系统。为了尽量减少干扰，我还禁用了该客户端的本地 iptables。

作为参考，BIND9 服务器的 ACL 是“any”并且 iptables 允许来自任何来源的 53 上的 UDP/TCP。iptables 在非工作客户端系统上完全禁用（通过 UFW）。

服务器是 Ubuntu 16.04 。工作客户端系统是 17.04 。非工作客户端系统是 14.04 。

想法？

我在基于 TFS 2015 的部署期间运行 PowerShell 脚本。它不会运行，因为 PS 认为它需要用户交互，但是，当我将命令和参数复制并粘贴到 PS 控制台并直接调用它时，它完全按预期工作（没有用户输入）。

有什么建议么？谢谢。

这是顶部。由于许可原因，我无法包含更多内容：

[CmdletBinding()]
param(
    [ValidateNotNullOrEmpty()]
    [String]
    $LocalDataPath, # .

    [ValidateNotNullOrEmpty()]
    [String]
    $ApiEndpointUrlPrefix, # http://hostname/ReportServer

    [ValidateNotNullOrEmpty()]
    [String]
    $DataSourceUrlRelPath = "Data Sources",

    [ValidateNotNullOrEmpty()]
    [String]
    $DatasetUrlRelPath = "Datasets",

    [ValidateNotNullOrEmpty()]
    [String]
    $ReportUrlRelPath = "Reports",

    [ValidateNotNullOrEmpty()]
    [String]
    $RootUrlAbsPath = "/Root"
)

在 TFS 2015 中，构建定义中的“发布”任务可以推送到 TFS 服务器或文件共享/UNC 路径。不幸的是，如果您使用文件共享，已删除的构建不会自动修剪。但是，当您使用“服务器”选项时，我无法确定 TFS 托管已发布构建的位置。

我没有直接访问 TFS 服务器的权限，只有代理主机。但是，我有一个沙盒环境，其本地 TFS 管理员似乎也没有公开此路径可能所在的任何配置。

有没有人比我有更多的信息？这些构建托管在 TFS 中的什么位置？这是在哪里配置的？

我试图找出内置模块在文件系统中的托管位置。我本以为这是一件容易的事，但我运气不佳。大多数/所有 Google 结果都是关于获取当前脚本的路径或添加搜索路径。我正在硬盘驱动器中搜索名称中的名词，但没有成功。一般来说，我搜索了一般的“ps1”文件，但没有成功。我也搜索了“程序文件”目录和“Windows”目录。

我正在使用 ISE 来查找可以搜索其名词的脚本，但内置的似乎无用 - 通用命名（结果太多），而专有的可能位于非通用的某个地方（据我所知，有一个安装过程可能已更新的搜索路径）。

有任何想法吗？谢谢。

当我为内部 CA 构建自签名证书时，我是否应该使颁发者 DN 与请求中的 DN 匹配，它们是否应该不同，或者其中一个没有约定？

假设请求或 X509 证书中的主题和扩展信息都受到保护，我是否正确？

这个签名只是嵌入在 ASN.1 编码中的另一个元素？

有没有办法测量通过长时间运行的可执行文件（不使用设备，也没有/etc/fstab添加条目）挂载的基于 FUSE 的挂载的性能？

我最近重新部署了 IA 和普通证书。有没有办法检查活动域是否有 IA 证书可用？

我有一个网站在 AppEngine 上以一个域名运行，SSL 按预期工作。但是，我切换到另一个域名，我无法让 SSL 工作。

当我去上传证书时，它提示我输入“PEM 编码的 X.509”证书文件和“未加密的 PEM 编码的 RSA”私钥文件。

对于最后一个域，我只需插入 CRT 和私钥。此密钥在顶部显示“-----BEGIN PRIVATE KEY-----”，并不表示它是 RSA 密钥，但没关系。如果它很重要，我使用命令行生成了密钥/CSR：

openssl req -new -nodes -keyout abc.com.key -out abc.com.csr -newkey rsa:2048

但是，对于这个新域，我将提供 CRT（实际上是 CRT 和 IA 按此顺序连接）和密钥文件。密钥没有密码，它们似乎都是 PEM 格式的（标准的、编码的、ASCII 文件，对吗？）。

但是，我收到一个错误：“私钥和 SSL 证书都应该是未加密的 PEM 格式。” 上次没有发生这种情况。

另一个网站说我需要运行以下命令来生成 AppEngine 可以使用的密钥：

openssl rsa -in abc.com.key -text > abc.com.key.pem

但是，我不知道这两种格式的区别，新文件的顶部有模数、指数、素数和系数，然后是“BEGIN RSA PRIVATE KEY BLOCK”。话虽如此，我现在可以上传原始 CRT 和这个新的密钥文件。

这是我的第一个问题（我不明白我在做什么，在这里）。

我的第二个问题是 IA 证书被忽略：AppEngine 表明我只上传了一个证书（我在某处看到它应该指示两个证书）。当我分别上传 IA 和新密钥时，我收到错误：“上传的私钥与 SSL 证书不匹配。请上传匹配的密钥。”

显然，后者是更大的错误。我从 Python 收到一些 SSL 验证错误，但不是来自浏览器。

我将不胜感激有关此事的任何建议。

“ssh-keygen -F”似乎为给定的主机名返回一个主机密钥（第一次匹配？），“ssh-keyscan”似乎返回所有匹配，但顺序不清楚。

两者的具体区别是什么？