由于某些原因，AWS中国区并没有VPN服务。但是为了便于开发管理，我们仍然希望将办公室与AWS的VPC打通。经过一个周末的摸索与AWS的支持，成功实现了双向打通。 基础设施： AWS中国区VPC，至少一个Public的Subnet； 公司有固定IP，我们是中国联通的企业光纤； 有一台支持ipsec的路由器，或者是一台闲置的PC安装Centos7（一个网卡就可以）。这里我们采用的是后者。 模拟环境说明： AWS...

Continue reading »

利用 IAM Policy、以及 EC2 ResourceTag 限制權限，像是只有 DBA 可以針對 DB 機器做動作。不過搞了半天， 整理以下 … 需求：用 ResourceTag 限制特定的 Actions 這個例子是 設定讓 DBA 可以 : 在 EC2 Console 看到所有 EC2 DBA 只能針對 ResourceTag Component=DB 做以下動作： 開機 Start 關機 Stop 重開機 Reboot 允許更改 EC2 Instance Type 一開始我是這樣設定的, 有兩段 St...

Continue reading »

AWS ELB 是利用 EC2 + Auto-Scale Group / Launch Configuration 實作的。之前 觀察 Cloudtrail 更加應證此現象。而每一個 ELB 後面有多少台 EC2 可以從 ENI 的數量看得出來。但是 EC2 的數量卻跟 ELB 後面的 Backend 數量不成比例。整理觀察到的現象 … Backend 數量與 ELB ASG 機器數 以下是我們公司服務的幾個例子： ELB A: 約數十台, 數種角色 (t2, c4), 從 ENI 可以發現有 4 張 E...

Continue reading »

整理 AWS Security Groups 和 Network ACLs 的差異，特別是 rule 的 stateful 與 stateless 的差異。主要參考自下表： 摘錄自 Security in Your VPC Security Groups 針對 EC2 Instance 使用. 通常是針對一群一樣的角色, 像是 Web, DB, Batch, Log … Rules of Security Group: 只能設定 Allow 規則, 預設全部都是 Deny Rule 之間沒有次序 每一條 Rule 都是狀態性 (Stateful) Rule ...

Continue reading »

整理 EC2 Instance Lifecycle 和常遇到的 Troubleshooting. 名詞解釋 Instance store-backed: 關機資料就刪除了 Instance EBS-backed: 關機資料還在 EC2 Instance Lifecycle 下圖是 EC2 Instance State 的狀態流程圖，兩種 EBS-backed and Store-backed 的流程： 圖片來源：Instance Lifecycle Actions Instance Launch 透過 AMI 建立新的 EC2 Instance. 開始跑的狀態是 pending. ...

Continue reading »