AWS CloudTrail事件建立事件資料存放區

 

如何建立CloudTrail 管理或資料事件的事件資料庫

以下將說明如何使用CluodTrail建立資料存放區

登入 AWS Management Console 並開啟 CloudTrail 主控台，在導覽窗格中，選擇 Lake 下方的事件資料存放區

選擇 Create event data store (建立事件資料存放區)

1.在設定事件資料存放區頁面上的一般詳細資訊中，輸入事件資料存放區的名稱。名稱為必填。

選擇想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。

這裡使用一年可延長保留定價

以下為可用的選項：

• 一年可延長保留定價 – 如果預期每月擷取的事件資料少於 25 TB，並需要長達 10 年的彈性保留期，則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。366 天之後，延長保留將按 pay-as-you-go 價格提供。此為預設選項。

  • 預設保留期：366 天

  • 最長保留期：3,653 天

• 七年保留定價 – 如果預期每月擷取的事件資料超過 25 TB，並需要長達 7 年的彈性保留期，則建議使用此選項。保留已包含在擷取定價中，無須額外付費。

  • 預設保留期：2,557天

  • 最長保留期：2,557天

2.根據下圖，可視需求是否啟用 Lake query federation以及新增標籤。

之後點選下一步繼續操作

3.

1.在 [選擇事件] 頁面上，這裡選擇AWS 事件

2.然後選擇CloudTrail事件。對於CloudTrail 事件，須至少選擇一個事件類型。

3.根據預設，管理事件已選取。可以將管理事件和資料事件新增到事件資料存放區中。

4.根據需求，選擇複製追蹤事件，可將之前所發生的事件同步過來。

4.根據下圖，可選擇需要同步的事件範圍，擷取事件指的是建立好存放區後，就會開始紀錄事件。

5.選擇要記錄的API活動，這裡必須選擇讀取與寫入。

6.若要將現有追蹤事件複製到事件資料存放區，請執行下列操作。

CloudTrail 只會複製 S3 儲存體內帶有CloudTrail前綴的事件而不會檢查其他 AWS 服務的前綴。如果要複製其他前置詞中包含的 CloudTrail 事件，請選擇 [輸入 S3]URI，然後選擇 [瀏覽 S3] 以瀏覽至首碼。

選擇複製事件的時間範圍，CloudTrail 在嘗試複製追蹤事件之前，會先檢查字首和記錄檔名稱，以確認名稱包含在所選開始日期與結束日期之間的日期。可以選擇 Relative range (相對範圍) 或 Absolute range (絕對範圍)。

這裡推薦選擇 [建立新角色] 以建立新IAM角色。在 [輸入IAM角色名稱] 中，輸入角色的名稱。 CloudTrail 會自動為這個新角色建立必要的權限。

如果選擇「相對範圍」，可以選擇複製過去 6 個月、1 年、2 年、7 年或自訂範圍內記錄的事件。 CloudTrail 複製所選期間內記錄的事件。

如果選擇「絕對範圍」，則可以選擇特定的開始和結束日期。 CloudTrail 複製所選開始日期和結束日期之間發生的事件。

選擇下一步以檢閱設定好的選項

7.在 Review and create (檢閱和建立) 頁面上，檢閱選擇。選擇 Edit (編輯) 以對區段進行變更。當準備建立事件資料存放區時，請選擇 Create event data store (建立事件資料存放區)。

8.新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

從此開始，事件資料存放區將擷取與其進階事件選取器相符的事件 (如果保持選取擷取事件選項)。建立事件資料存放區之前發生的事件，不會儲存在事件資料存放區中，除非選擇複製現有追蹤事件。

參考資料:

使用主控台為 CloudTrail事件建立事件資料存放區

阿里雲CDN資源包

阿里雲CDN資源包

關於阿里雲CDN資源包使用順序及生時間

1.      CDN資源包 非中國地區及亞太1的使用優先順序?

A: 不看資源包類型，都是自動看到期時間（ 先過期的先抵扣 ）

2.      購買資源包後多久才會生效?

A: 約莫 3~4 個小時延遲，開始抵扣

補充: 非中國地區也包含亞太1

CDN資源包查看流程

1.切入帳號後搜尋CDN

2.找到資源包後點擊使用明細，能看到資源包名稱、地區、狀態、容量、購買及到期時間等

3.購買資源包後觀察3-4小時候啟用

(購買當下)

(購買後4小時)

參考資料:
[1] https://www.alibabacloud.com/help/zh/cdn/product-overview/rules-for-applying-resource-plans
[2] https://www.alibabacloud.com/help/zh/cdn/product-overview/resource-plan-overview?spm=a2c63.p38356.0.0.3679103cWs1d01

使用騰訊雲 HTTPDNS 發送 HTTPS 請求出現SSL錯誤

 

騰訊雲行動解析 HTTPDNS 是透過將行動 App 及桌面應用的預設網域解析方式，取代為透過 HTTP 協定進行網域解析，以規避由電信商 Local DNS 服務異常所導致的用戶網路存取異常。

可參考這篇說明：騰訊雲的移動解析 HTTPDNS 服務如何運作？

 

《SSL錯誤原因》

當客戶端使用 HTTPDNS 解析網域名稱時，請求 URL 中的host 會被替換成 HTTPDNS 解析出來的 IP，導致伺服器取得到的網域名稱為解析後的IP，而不是原本請求 URL 的 IP，導致無法找到符合的證書，只能傳回預設的憑證或不返回，所以會出現 SSL/TLS 錯誤。

 

《解決方法》

非SNI場景

從 HTTP Header 取得真實域名，即使請求 URL 使用了解析後的 IP 位址，HTTP Header 仍然應該設定為原始域名，以確保 SSL 驗證通過。

 

SIN場景

SNI（Server Name Indication）是為了解決一個伺服器使用多個網域和憑證的 SSL/TLS 擴充功能。運作原理：

●    在連接到伺服器建立 SSL 連線之前先傳送要存取網站的網域名稱（Hostname）。

●    伺服器根據這個網域傳回一個合適的憑證。

可以使用 HTTPDNS iOS SDK 提供的 MSDKDnsHttpMessageTools 攔截 NSURLSession 中的請求。 

 

參考資料：

行動解析 HTTPDNS 應用場景https://cloud.tencent.com/document/product/379/3520

行動解析 HTTPDNS IOS SDK HTTPS（非 SNI）場景https://cloud.tencent.com/document/product/379/77757

行動解析 HTTPDNS IOS SDK HTTPS（SNI）場景https://cloud.tencent.com/document/product/379/77759

AWS 首次在新的區域開主機會比較慢或者需要稍後再嘗試

 有時開機器通常會收到以下的告警提示。

請留意這是否為第一次在該region開機器，因為某些region需要經過額外的驗證能夠正確的部屬服務，因此，在開機器後再請留意信箱是否會收到以下信件，這個信件會自動產生，會告知使用者已開始在該region中部署工作負載，因此才會收到特定郵件通知。

通常信件也會提醒告知，如果新region仍然還有問題，再請透過信件給予的信箱聯絡AWS團隊。

來源資料:https://repost.aws/questions/QUyYhUlakZSSCa4gZ3wv_feg/your-request-for-accessing-aws-resources-has-been-validated

阿里雲帳號因DDOS無法創建網路型負載平衡

 阿里雲帳號因DDOS無法新建-網路型負載平衡 NLB的問題

在創建網路型附載平衡NLB時，出現以下錯誤提示

經工單向原廠確認後可能原因為：

因帳號下的業務受到大量DDoS攻擊，攻擊量已超出所選防護方案的能力上限，並影響其他用戶，故基於服務條款進行限制。

如需請原廠開啟下單功能，可填寫以下資訊提供給原廠進行評估:

1.經營業務說明，為什麼大量引來DDoS攻擊

2.業務架構，會有哪些資產暴露在公網，會被DDoS攻擊

3.說明近一個月每一個被黑洞的IP，上面的業務，以及在業務架構所處之角色

4.說明近一個月是否有釋放黑洞狀態的按量實例

5.詳細說明如何避免繼續產生大量對外暴露的資產被攻擊，會進行怎樣的安全改進，以及說明為什麼這麼改進能產生效果

6.除了阿里雲是否有用其他服務商雲端產品或IDC機房，有多少攻擊，怎麼做的安全防護?

以上資訊提供後，後續皆須每日更新最新動態，說明此IP架設業務，以及在業務架構中所處角色。直到帳號下最後一個IP黑洞狀態解除一個月。在此期間，如果透過其他帳號繞過限制，或釋放黑洞狀態的按量資產，或黑洞狀態的伺服器更換、解綁、增加IP類產品，或再次大流量持續被DDoS，意味著對帳號的限制解除評估流程會被取消。

每日黑洞IP情況說明請依以下格式提交：

IP：

內網IP（若有）：

實例名：

實例標號：

運行的業務：

業務架構中角色：

以上流程，有可能可解決購買服務的問題，但因流程繁瑣，也無法保證可有效解決，所以建議移轉調整至備援，避免影響到後續的業務。

參考資料:

DDoS原生防护服务条款

安全违规行为类型说明

云平台安全规则

阿里雲負載平衡 SLB – ALB、NLB、CLB 的差別

 

負載平衡（Load Balancing）就是當龐大的流量進入時，透過負載平衡器將流量分散導入多個伺服器間分配流量，避免單一伺服器負載過高。

 

以咖啡店為概念：

櫃台共有三個結帳台，但沒人引導怎麼排隊，顧客全部卡在同一結帳台前；

若有服務人員（Load Balancer）引導顧客，則可將隊伍平衡分散至不同結帳台，提高消化訂單的效率、及降低單一櫃台負荷過重發生錯誤的風險。

「Load Balancing」與「Load Balancer」

● Load Balancing：負載平衡，指的是平衡負載這個動作。

● Load Balancer：負載平衡器，指的是在主機群前端執行負載平衡的設備本身及其相關設定。

 

阿里雲負載平衡（Server Load Balancer，SLB）目前有三種不同類型：

應用型負載平衡ALB（Application Load Balancer）

主要應用在7層的負載平衡，聚焦HTTP、HTTPS和QUIC應用層協定的負載平衡服務

網路型負載平衡NLB（Network Load Balancer）

主要應用在4層的負載平衡，聚焦TCP、UDP和TCPSSL面向網路層協定的負載平衡服務

傳統型負載平衡CLB（原SLB）（Classic Load Balancer）

與NLB同樣也是應用在4層的負載平衡

 

差異比較：

NLB：4層平衡負載，彈性自動伸縮

ALB：7層平衡負載，彈性自動伸縮

CLB：4層平衡負載，需預估吞吐量

※面對目前雲端環境的演進及客戶需求的變化，大多雲端業者都即將或已經淘汰傳統負載平衡服務，只留用ALB及NLB

 

 

參考資料：

OSI 網路7層概念

https://www.techbang.com/posts/15859-network-architecture-2-arpanet-history-and-introduction-to-mac-ip-dns-concepts-review?page=5&related_post=true

 

開發者社群 - 阿里雲負載平衡SLB版本CLB、ALB和NLB有什麼區別如何選擇？

https://developer.aliyun.com/article/1048503

阿里雲負載平衡 SLB 產品介紹

https://cn.aliyun.com/product/slb?from_alibabacloud=&spm=a2c6h.12873639.article-detail.7.1e885ebcXtX1vW&source=5176.11533457&userCode=r3yteowb

 

阿里雲負載平衡文檔

https://help.aliyun.com/zh/slb/?spm=a2c4g.11186623.0.0.682363c8j6AUr2

 

 

阿里雲實例被DDOS攻擊防護黑洞?

 

阿里雲DDoS防護簡介

1. 黑洞策略

黑洞策略是一種防護措施，當DDoS攻擊流量超過防護閾值時，阿里雲會暫時隔離該IP地址，丟棄所有流量，以保護平台和其他用戶。這導致該實例在一段時間內無法訪問，一般持續30分鐘到24小時，具體時間取決於攻擊流量何時減少到安全範圍。

2. DDoS高防與普通防護的差異

• 防護等級：普通防護提供基礎的防護，適用於小規模攻擊；高防則適用於大型攻擊，提供更高的閾值和更強的防護能力。

• 防護範圍：普通防護針對阿里雲內部資源，高防則可以保護外部資源，適用於全球範圍。

• 成本：普通防護免費提供，高防則需要額外付費，但提供更穩定和強大的防護。

選擇哪種防護取決於業務的重要性、預算及可能面臨的攻擊風險。

Q&A

Q1:我要如何知道自己的資產是否有被DDOS攻擊並進入黑洞?

A:

Q2:我的實例被黑洞了，我現在要怎麼知道我的服務何時能恢復?
A:登入流量安全產品控制台。

1. 在左側導覽列，按一下資產中心。
2. 在頂部功能表列左上角處，選擇資產所在地域。
3. 在資產中心頁面上方，查看DDoS攻擊防護說明。
4. DDoS攻擊防護說明中的目前解除黑洞時間表示目前地域下資產的黑洞時長。

雲端伺服器ECS進入黑洞後，阿里雲會將流向該IP的資料包全部丟棄，您將無法透過公網存取到該IP。您可以先預估黑洞自動解除時間，等待到期後再自動解除。如果業務緊急，

也可以透過更換ECS實例的公網IP或將業務遷移到其他ECS實例，

Q3:我沒有買DDoS高防，那我的機器被攻擊該怎麼辦?

A:阿里雲有為部份產品提供免費的DDoS防禦能力，當DDoS攻擊超過其防禦能力後，雲端產品會進入黑洞狀態(下圖為部分地區基礎防護規格以及黑洞閾值示例，完整版請參考下方資料1)

參考資料:

1.DDoS基礎防護黑洞閾值

2.查看黑洞時長

3.進入黑洞後如何快速恢復業務?

GCP LOG/ GCP Firewall Logs開啟

 

GCP LOG/ GCP Firewall Logs開啟

 

Logs(日誌)是拿來監控系統和應用活動的工具，除了可以分析用戶系統性能，主要也用來監測故障或者發生異常實系統的活動狀況記錄，以利排除故障和確保安全性。

 負載平衡logs開啟查看

搜索”網絡服務” >>> 選擇查看的負載平衡 >>> 可在右側查看到負載平衡當前LOGS開啟狀態之情況，進行設置。

建議配置負載平衡時就可開啟LOGS紀錄，以便利於往後維護與Debug。

GCP Firewall Logs(紀錄防火牆活動)開啟查看

搜索” 網絡安全”  >>> 點選左側”VCP網絡”  >>> 點選”VCP防火牆” >>> 可在右側日志處看見當前開啟狀態之情況，進行設置。

網段計算與計算機分享

 

1. 什麼是網段計算？

網段計算是一種透過子網劃分來管理IP位址空間的方法。它可以幫助網路管理員有效地組織網路，確保每個設備都有一個唯一的IP位址，並且不同的子網可以互相隔離。

2. 基本概念

• IP位址：在網路中的每個設備都需要一個唯一的IP位址來進行通訊。IP位址有IPv4和IPv6兩種類型，但這裡主要討論IPv4。
• 子網遮罩：子網遮罩用來區分IP位址的網路部分和主機部分。子網遮罩的長度決定了可以劃分的子網數量以及每個子網中的主機數量。
• CIDR表示法：CIDR（無類別域間路由）表示法是一種用來表示IP位址及其子網遮罩的簡略形式，例如192.168.1.0/24。

3. 網段劃分的步驟

網段劃分主要包括以下幾個步驟：

  (1)決定所需的子網數量

首先，您需要確定要劃分的子網數量。例如，如果需要劃分成4個子網，則需要足夠的位元來表示這些子網。

  (2) 選擇合適的子網遮罩

子網遮罩的選擇依據子網的數量及每個子網中需要的主機數量來決定。例如，如果需要劃分出4個子網且每個子網可以容納最多62個主機，則可以選擇子網遮罩255.255.255.192（/26）。

  (3)計算每個子網的範圍

當你有一個網段 192.168.1.0/24 並將其劃分為 /26 子網時，可以生成 4 個子網。每個子網各自擁有 64 個 IP 位址，其中包括 1 個網路位址和 1 個廣播位址，實際可用的主機位址是 62 個。

以下是每個子網的詳細資訊：

1. 子網1：192.168.1.0/26
• 網路位址: 192.168.1.0
• 廣播位址: 192.168.1.63
• 可用IP範圍: 192.168.1.1 - 192.168.1.62
2. 子網2：192.168.1.64/26
• 網路位址: 192.168.1.64
• 廣播位址: 192.168.1.127
• 可用IP範圍: 192.168.1.65 - 192.168.1.126
3. 子網3：192.168.1.128/26
• 網路位址: 192.168.1.128
• 廣播位址: 192.168.1.191
• 可用IP範圍: 192.168.1.129 - 192.168.1.190
4. 子網4：192.168.1.192/26
• 網路位址: 192.168.1.192
• 廣播位址: 192.168.1.255
• 可用IP範圍: 192.168.1.193 - 192.168.1.254

具體劃分過程

• 原始網段：192.168.1.0/24
• 劃分後的子網遮罩：/26（255.255.255.192），每個子網有 64 個 IP 位址。

子網劃分後的結果

這 4 個子網共同覆蓋了整個 192.168.1.0 - 192.168.1.255 的 IP 位址範圍：

• 子網1 涵蓋 192.168.1.0 到 192.168.1.63
• 子網2 涵蓋 192.168.1.64 到 192.168.1.127
• 子網3 涵蓋 192.168.1.128 到 192.168.1.191
• 子網4 涵蓋 192.168.1.192 到 192.168.1.255

4. 劃分網段舉例

案例一：劃分一個 CLASS C 網段

假設您有一個 CLASS C 網段 192.168.0.0/24，並希望將其劃分成 4 個子網。這些子網的子網遮罩將是 255.255.255.192（/26），每個子網有 64 個 IP 位址，其中 62 個是可用的主機位址。

• 計算所需的子網數量：
• 子網數量：4
• 計算需要的位元數：4 = 2^2，因此需要2個位元。
• 原始網段為/24，增加2位元後變為/26，因此子網遮罩為 255.255.255.192（/26）。
• 子網1：192.168.0.0/26
• 網路位址：192.168.0.0
• 廣播位址：192.168.0.63
• 可用IP範圍：192.168.0.1 - 192.168.0.62
• 子網2：192.168.0.64/26
• 網路位址：192.168.0.64
• 廣播位址：192.168.0.127
• 可用IP範圍：192.168.0.65 - 192.168.0.126
• 子網3：192.168.0.128/26
• 網路位址：192.168.0.128
• 廣播位址：192.168.0.191
• 可用IP範圍：192.168.0.129 - 192.168.0.190
• 子網4：192.168.0.192/26
• 網路位址：192.168.0.192
• 廣播位址：192.168.0.255
• 可用IP範圍：192.168.0.193 - 192.168.0.254

案例二：劃分一個 CLASS B 網段

如果您擁有一個 CLASS B 網段 172.16.0.0/16，並且需要將其劃分成 256 個子網，那麼每個子網的子網遮罩將是 255.255.255.0（/24），每個子網有 256 個 IP 位址，其中 254 個是可用的主機位址。

• 計算所需的子網數量：
• 子網數量：256
• 計算需要的位元數：256 = 2^8，因此需要8個位元。
• 原始網段為/16，增加8位元後變為/24，因此子網遮罩為 255.255.255.0（/24）。
• 子網1：172.16.0.0/24
• 網路位址：172.16.0.0
• 廣播位址：172.16.0.255
• 可用IP範圍：172.16.0.1 - 172.16.0.254
• 子網2：172.16.1.0/24
• 網路位址：172.16.1.0
• 廣播位址：172.16.1.255
• 可用IP範圍：172.16.1.1 - 172.16.1.254

案例三：劃分一個 CLASS A 網段

假設您擁有一個 CLASS A 網段 10.0.0.0/8，並希望將其劃分成 512 個子網。為了得到這麼多子網，我們需要進行以下計算：

• 計算所需的子網數量：
• 子網數量：512
• 計算需要的位元數：512 = 2^9，因此需要9個位元。
• 原始網段為/8，增加9位元後變為/17，因此子網遮罩為 255.255.128.0（/17）。

 

5. 網段計算

假設你有一個網段 192.168.70.28/27。下面是如何計算其相關屬性：

1. 網路位址：
• 子網遮罩 /27 表示前 27 位是網路位址，其餘的 5 位是主機位址。
• 將 IP 位址 192.168.70.28 和子網遮罩 255.255.255.224 用二進位進行 AND 運算。
• IP 位址：192.168.70.28 → 11000000.10101000.01000110.00011100
• 子網遮罩：255.255.255.224 → 11111111.11111111.11111111.11100000
• 網路位址 = IP 位址 AND 子網遮罩 → 11000000.10101000.01000110.00000000 = 192.168.70.0
2. 廣播位址：
• 子網遮罩 /27 表示每個子網有 32 個 IP 位址（2^5 = 32），從網路位址開始，計算出最後一個 IP 位址，即廣播位址。
• 廣播位址 = 網路位址 + 32 - 1 = 192.168.70.0 + 31 = 192.168.70.31
3. 可用 IP 位址範圍：
• 在每個子網中，第一個 IP 位址是網路位址，最後一個 IP 位址是廣播位址。可用的主機位址範圍是從網路位址的下一位到廣播位址的前一位。
• 可用 IP 範圍：192.168.70.1 - 192.168.70.30
4. 主機數量：
• 每個子網有 32 個 IP 位址，其中 2 個是保留的（網路位址和廣播位址），因此每個子網中可用的主機數量是 32 - 2 = 30 個。

對於網段 192.168.70.28/27，計算結果如下：

• 網路位址: 192.168.70.0
• 廣播位址: 192.168.70.31
• 可用 IP 範圍: 192.168.70.1 - 192.168.70.30
• 主機數量: 30

 

6. IP計算工具的使用

介紹一些常見的IP計算工具，如線上IP計算器calculator.net https://www.calculator.net/ip-subnet-calculator.html，或指令行工具（如ipcalc），以簡化網段劃分和IP範圍計算。

• 使用範例：calculator.net網站
  
  
  
  
  

7. 實務與注意事項

• 避免重疊網段：確保劃分出的子網不會與其他網段重疊，這可能會導致網路衝突和通訊問題。
• 規劃未來需求：在劃分子網時考慮到未來的擴展需求，以避免未來子網位址不足的情況。
• 保護私有IP範圍：在內部網路中使用私有IP位址，避免與公共網際網路IP位址衝突。

8. 結論

網段計算是網路管理中非常重要的一環，理解和掌握這些技巧能夠幫助您有效地管理網路資源，提高網路效能，並確保網路的穩定與安全。透過正確使用IP計算工具，您可以快速且精準地進行網段劃分，以滿足各種網路配置需求。