2023年1月31日 星期二

安全組與網絡ACL介紹及兩者間差異比較

安全組

安全組充當虛擬防火牆,控制允許到達和離開與其關聯的資源的流量。 例如,在將安全組與 EC2 實例關聯后,它將控制該實例的入站和出站流量。它允許你控制哪些流量可以流入計算機,以及哪些流量可以流出。 安全組就是這樣一個防火牆,它可以被關聯到 VPC 內的實例(如 EC2)。 關聯后,這台 EC2 就有了類似 Windows 中那樣的防火牆。 所以可以認為安全組就是實例的防火牆

對於每個安全組,你都可以添加若干入站規則和出站規則。

入站規則

入站規則描述了什麼樣的流量可以流入實例,例如下方的入站規則允許任意一個IP位址通過 HTTPS 協定訪問實例。
源IP協議類型埠號描述
0.0.0.0/0TCP443允許從所有 IPv4 位址進行入站 HTTPS 訪問
源 0.0.0.0/0 表示任意一個 IP 位址,即允許來自所有 IP 位址的流量進入。 HTTPS 運行在 TCP 協定的 443 埠之上,據此設置協定類型和埠號。 下圖表示了該入站規則。

出站規則

出站規則描述了什麼樣的流量可以流出實例,例如下方的出站規則允許實例將流量發送到任何地方。

目的地 IP協議類型埠號描述
0.0.0.0/0TCPAll允許所有的出站 IPv4 流量
和入站規則一樣,0.0.0.0/0 表示任意一個IP位址,即允許流量流出到任何地方。 由於用戶端通常會使用一個隨機的埠接收伺服器的回應,因此該出站規則的埠範圍是 All,這樣才能覆蓋用戶端所有的隨機埠。 下圖表示了該出站規則。



需要注意的是,目的地不僅可以是IP位址,也可以是另一個安全組

連接跟蹤

安全組使用連接跟蹤來跟蹤有關進出實例的流量的資訊。 安全組將基於流量的連接狀態應用規則以確定允許還是拒絕流量。 有了這種方法,安全組就具有狀態。 這意味著無論出站安全組規則如何都允許對入站流量的回應流出實例,反之亦然。

連接跟蹤有助於簡化請求回應模式的出入站規則配置。 請求回應模式常見於網路傳輸協定(如 HTTP),用戶端向伺服器發起一個請求,伺服器將回應返回給客戶端,請求回應總是成對出現。 借助安全組的連接跟蹤特性,可以實現如下兩個效果。

入站跟蹤
如果從源發來的請求流量通過了入站規則進入實例,則隨後的回應流量在出站時會忽略出站規則直接流出。

出站跟蹤
如果從實例發出的請求流量通過了出站規則流出實例,則隨後的回應流量在入站時會忽略入站規則直接流入。
未跟蹤的連接

並不是所有的連接都會被跟蹤(有狀態)。 如果有一個安全組規則允許所有通信(0.0.0.0/0 或 ::/0)的 TCP 或 UDP 流,而另一個方向上存在一個對應的規則允許所有埠(0-65535)的所有回應通信(0.0.0.0/0 或 ::/0),則不會跟蹤該通信流。 下邊的例子展示了其中的一些規律。

入站規則

源IP協議類型埠號
203.0.113.1/32TCP22(SSH)
0.0.0.0/0TCP80(HTTP)
::/0TCP80(HTTP)
0.0.0.0/0ICMPAll

出站規則

目的地 IP協議類型埠號
0.0.0.0/0AllAll
::/0AllAll
  • 1.將會跟蹤埠 22(SSH)上流入和流出實例的 TCP 流量,因為入站規則只允許來自 203.0.113.1/32 的流量,而不是所有 IP 位址(0.0.0.0/0)。
  • 2.不會跟蹤埠 80(HTTP)上流入和流出實例的 TCP 流量,因為入站和出站規則都允許所有流量(0.0.0.0/0 或 ::/0)。
  • 3.無論規則如何,始終跟蹤ICMP流量,因為不是TCP或UDP協定。
  • 4.如果您從安全組刪除出站規則,則將跟蹤往返於實例上的所有流量,包括埠 80(HTTP)上的流量,因為出站規則不再允許所有IP位址。


網路 ACL

網路訪問控制清單(ACL)是 VPC 的一個可選安全層,可用作防火牆來控制進出一個或多個子網的流量。 你可以設置網路 ACL,使其規則與你的安全組相似,以便為你的 VPC 添加額外安全層。
網路 ACL 和安全組極為相似,都可作為防火牆控制流量的進出,且工作在子網級別。 因此可以認為網路 ACL 是子網防火牆

可設置拒絕規則

安全組使用白名單模式設置規則,每條規則都表示允許某種流量通過。 而網路 ACL 還支援黑名單模式,可以設置拒絕哪些流量通過。 例如下邊的入站規則:
規則編號源IP類型協議類型埠號允許/拒絕註釋
1200.0.0.0/0SSHTCP22拒絕拒絕所有 SSH 連接
*0.0.0.0/0All trafficAllAll允許允許所有連接
該入站規則表示拒絕所有 SSH 流量的流入,但是允許其餘所有流量。 由於同時存在允許拒絕兩種規則,因此允許和拒絕規則間可能會存在衝突。 例如某流量在規則 1 中被允許,但在規則 2 中被拒絕。

為了解決這種衝突,網路 ACL 按照規則編號由小到大逐個嘗試。 如果流量遇到了適用的規則,則應用該規則,並停止嘗試後續規則。



安全組與網路 ACL 的差異

網路 ACL 只比安全組多了黑名單模式,拒絕規則
安全組網路 ACL
實例級別運行子網級別運行
僅支援允許規則支援允許規則拒絕規則
有狀態:返回數據流會被自動允許,不受任何規則的影響無狀態:返回數據流必須被規則明確允許
會在決定是否允許數據流前評估所有規則在決定是否允許流量時,按順序處理規則,從編號最低的規則開始
只有在啟動實例的同時指定安全組、或稍後將安全組與實例關聯的情況下,操作才會被應用到實例自動應用於與之關聯的子網中的所有實例(因此,如果安全組規則過於寬鬆,它提供額外的防禦層)

 二者最主要的差別是安全組作用於實例(如EC2),因此每個實例都可以配置不同的安全組。而網絡ACL 作用於子網,相當於是給子網裝了一個防火牆,子網內的所有資源都會被網絡ACL 保護



2023年1月30日 星期一

如何設定AWS的NAT,VPC,EIP。

如何設定AWS的NAT


可讓您將 AWS 資源啟動到您定義的虛擬網路。這個虛擬網路與您在資料中心中操作的傳統網路非常相似,且具備使用 AWS 可擴展基礎設施的優勢


虛擬私有雲端 (VPCVPC 是虛擬網路,非常近似於您在自有資料中心內運作的傳統網路。建立 VPC 後,您可以新增子網NAT。

子網-子網是您的 VPC 中的 IP 地址範圍。子網必須位於單一可用區域。新增子網之後,您可以在 VPC 中部署 AWS 資源。


VPC基本概念

2023年1月29日 星期日

如收到AWS 維護通知?要如何處理? Amazon EC2 維護:計劃重啟的實例 [AWS 賬戶 ID:XXX12345]

如收到AWS維護通知?可如何進行處理。





Amazon EC2 Maintenance: Instance scheduled for reboot [AWS Account ID: XXX12345]


One or more of your Amazon EC2 instances associated with your AWS account (AWS Account ID: XXX) are scheduled for maintenance between 2023-02-13 06:00:00 UTC and 2023-02-13 08:00:00 UTC. During this time, the following instances in the ap-southeast-1 region will be unavailable and rebooted.


The affected instances are listed below: (受影響的實例)

i-123456789 (可在後台查詢這主機)



At any time before 2023-02-13 06:00:00 UTC, you can reschedule this maintenance or stop and start the instance through the AWS API, AWS CLI, or AWS Management Console. When rescheduling, you can pick any time up to 2023-02-27 06:00:00 UTC,

您都可以重新安排此維護或通過 AWS API、AWS CLI 或 AWS 管理控制台停止和啟動實例。 重新安排時。

AWS維護期間會自動重啟實例,如該時段有業務正在進行,則須於維護開始前這段時間,可自行先安排在業務可停機狀況下,對機器進行關機(STOP)及開機(START) 一定要STOP關機後再START。重開後實例的底層就會遷移-就可避開維護!


您可以等待維護如期進行。或者,您可以停止並啟動實例,這會將其遷移到新主機有關停止實例的更多信息,以及有關停止時實例配置更改的信息,請參閱停止和啟動實例


 at which EC2 will perform maintenance on the instance. Otherwise, you can wait for EC2 to reboot your instance during the scheduled maintenance window. For more details on how to reschedule this event as well as other alternatives to complete this maintenance see the EC2 user guide https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html#reschedule-event




You can find more information about maintenance events scheduled for your EC2 instances in the AWS Management Console 

https://console.aws.amazon.com/ec2/v2/home?region=ap-southeast-1#Events


You can also customize your event notification to include tags associated with your EC2 instances. For more information about customizing your event notifications see the EC2 user guide

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html#customizing_scheduled_event_notifications

2023年1月16日 星期一

Traceroute 連續兩跳同一IP原因?

 Traceroute 連續兩跳同一IP的原因為何?,

如下圖,是因為數據不穩定系統自動進行連接重試,只要可到達目的IP終點就代表沒有異常




AWS 建立與VPC的傳輸閘道連接時子網路之限制

AWS 建立與VPC的傳輸閘道連接時子網路之限制

 

VPC 附加至transit gateway時,必須從transit gateway用來路由流量的每個可用區域中,指定一個子網路。從可用區域中指定一個子網路,可讓流量抵達該可用區域中所有子網路的資源。

 

其中在 Subnet IDs (子網路 ID) 中,為每個可用區域選取transit gateway用來路由流量的一個子網路。您必須選擇至少一個子網路。一個可用區域只能選取一個子網路

 

 

首先找到VPC



點選左邊的傳輸閘道連接



點選右邊建立傳輸閘道連接



VPC連接的部分  下方子網路ID可以看到必須選擇至少一個子網路,一個可用區域只能選取一個子網路。





參考文檔:https://docs.aws.amazon.com/zh_tw/vpc/latest/tgw/tgw-vpc-attachments.html






2023年1月15日 星期日

GCP節費方式

 

GCP 節費方式

透過承諾使用折扣最高享57%的折扣優惠,基於資源的承諾非常適合可預測的穩定使用量。Compute Engine 允許購買以下類別的基於資源的承諾:

硬件承諾。可以為vCPU、內存、GPU、本地固態硬盤和單租戶節點等資源購買硬件承諾。如需了解詳情,請參閱購買不含附加預留的承諾使用合約和購買包含附加預留的承諾使用合約。

軟件許可承諾。可以為適用的付費操作系統(OS) 許可購買許可承諾。如需了解詳情,請參閱為許可購買承諾。

只要承諾服務的用量 1 年或者 3 年,就可以享受到最低 43 折的特別優惠。

.需綁 1 年或 3

.自行設定承諾的總 vCPU memory 各別的數量

.規格無論是 predefined 或者 custom machine 都適用 (shared core不在此行列)

.採月結形式

採用此服務的好處是

.承諾同一個地區(region)、型別(machine type) 或自訂 vCPU 與記憶體總量

.不需要特別指定機器規格的數量

.毋須任何預繳(upfront cost)

具體操作如下:

Compute Engine中,點選「承諾使用折扣」



可查看已購買的硬體、軟體的承諾使用合約,選擇"購買承諾使用合約"


設定好區域與需要的硬體規格後,即可看到預估的費用,與可減免的折扣,按下購買與確認後,就可在上圖中看到已購買的承諾使用折扣




Google Cloud Compute Engine 承諾使用折扣參考文章:

https://ikala.cloud/committed-use-discounts/






2023年1月13日 星期五

騰訊雲CDN URL新增出現錯誤訊息514

 新增CDN有https的連線,預設應該是會有support https的連線,指下列圖示功能顯示。









域名接入 CDN 後,訪問返回出現514錯誤訊息報錯,指下列圖片
















可能發生原因:CDN 控制台設置了 “IP 訪問限頻配置” 導致。 IP 訪問限頻設置針對單 IP 單節點每秒訪問次數進行了限制,若超出限制,則會直接返回514。


處理步驟:

1.登錄 CDN 控制台,在菜單欄裡選擇【域名管理】,單擊域名右側【管理】,即可進入域名配置頁面,第二欄【訪問控制】中可看到 IP 訪問限頻配置。













2.您可以根據情況,單擊【編輯】,合理設置 IP 訪問閾值。










參考文檔: 

内容分发网络 CDN 域名接入CDN后,访问返回514-故障处理 -文档中心-腾讯云 (tencent.com)


2023年1月12日 星期四

[AWS]提高 Route 53 域名數量配額提高教學

若有需求要提高域名注冊數量限制,可依以下步驟提交原廠進行申請:


步驟1

點擊進入 Support Center
















步驟2

在 AWS Support Center 頁面點選【Create case】















步驟3

點擊【Looking for service limit increases?】












步驟4

點選中間的【Service limit increase】後,下拉選擇【Route 53】及【case的緊急程度】














步驟5

下拉選擇要變更配額的項目(此案例為 Domain limit)、並填寫希望變更的配額(僅可填數字),完成後送出即可











步驟6 

提交工單後會出現剛剛申請的內容,接下來就等待原廠同意申請。









官方文檔:
https://docs.aws.amazon.com/zh_tw/Route53/latest/DeveloperGuide/DNSLimitations.html





AWS使用者許可範圍遭限制

搜尋此網誌