amazon-web-services - 阅读文档时遇到的 AWS PrivateLink + CloudFormation 设置问题-6ren

amazon-web-services - 阅读文档时遇到的 AWS PrivateLink + CloudFormation 设置问题

转载作者：行者123 更新时间：2023-12-03 07:12:06

26

4

我在做什么

我正在尝试这样做:

Launch tasks in a private subnet and make sure you have AWS PrivateLink endpoints configured in your VPC, for the services you need (ECR for image pull authentication, S3 for image layers, and AWS Secrets Manager for secrets).

我对此的理解是，AWS 服务充当“VPC 端点服务”，我所需要做的就是设置一个“接口(interface) VPC 端点”，使我的服务成为“服务使用者”，如下所述:https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html

我尝试在 CloudFormation 中实现这一点，但阅读文档后我遇到了一些问题。

我的问题

问题 1

documentation 解释了如何创建接口(interface) VPC 终端节点，这非常棒。但它还说:“要为接口(interface)端点打开私有(private) DNS，请选中“启用 DNS 名称”复选框。”和“此选项默认打开”

但是在这里:https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html#cfn-ec2-vpcendpoint-privatednsenabled

它说:“默认值:假”。是哪个？

问题 2

我需要启用 3 个服务名称。那么...我需要重复3次吗？我的 YAML 重复 AWS::EC2::VPCEndpoint 3 次，如下所示。这真的正确吗？看起来太长/冗长了。

privateVPCEndpoint1:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.ecr.dkr
      PrivateDnsEnabled: True
      # "If this parameter is not specified, we attach a default policy that allows full access to the service."
      # PolicyDocument:
      SecurityGroupIds:
        - !Ref ECSSecurityGroupDownloadRedisContainer
      SubnetIds:
        - !Ref privateSubnet1
        - !Ref privateSubnet2
      VpcEndpointType: Interface
      VpcId: !Ref VPC
  privateVPCEndpoint2:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.ecr.api
      PrivateDnsEnabled: True
      SecurityGroupIds:
        - !Ref ECSSecurityGroupDownloadRedisContainer
      SubnetIds:
        - !Ref privateSubnet1
        - !Ref privateSubnet2
      VpcEndpointType: Interface
      VpcId: !Ref VPC
  privateVPCEndpoint3:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.ecr.s3
      PrivateDnsEnabled: True
      SecurityGroupIds:
        - !Ref ECSSecurityGroupDownloadRedisContainer
      SubnetIds:
        - !Ref privateSubnet1
        - !Ref privateSubnet2
      VpcEndpointType: Interface
      VpcId: !Ref VPC

问题 3

For Security group, select the security groups to associate with the endpoint network interfaces.

我是否使用通过 NetworkConfiguration/AwsvpcConfiguration/SecurityGroups 附加到我的 ECS 服务的 ECSSecurityGroupDownloadRedisContainer 安全组？如果是，我是否需要关联 ECSSecurityGroupDownloadRedisContainer(允许 443 上的流量)和 ECSSecurityGroupRedis(允许 6379 上的流量)？我认为答案是肯定的 + 只有 ECSSecurityGroupDownloadRedisContainer 但我真的不知道。

问题 4

下载容器后，我能否以某种方式禁用端口 443 上对 ECS 的访问？我只需要访问Redis的6379；对我来说，其他任何事情似乎都是安全责任。

背景:我为什么要这样做

我尝试创建 ECS 集群 + 服务 + 任务，但收到错误:

(CannotPullContainerError:检查图像已重试 5 次:无法解析引用“docker.io/library/redis:latest”:无法执行请求:Head https://registry-1。 docker.io/v2/library/redis/manifests/latest:调用 tcp 34.231.251.252:443:i/o 超时)

研究让我看到了这篇文章:Aws ecs fargate ResourceInitializationError: unable to pull secrets or registry auth

今年 3 月份 AWS 员工 nathan peck 给出的权威答案:https://stackoverflow.com/a/66802973

他们提出了以下三种解决方案之一:

使用公共(public) IP 地址将任务启动到公共(public)子网中，以便它们可以使用互联网网关与 ECR 和其他支持服务进行通信
在私有(private)子网中启动任务，该子网具有配置为通过公有子网中的 NAT 网关路由出站流量的 VPC 路由表。这样 NAT 网关就可以代表任务打开与 ECR 的连接。
在私有(private)子网中启动任务，并确保您在 VPC 中配置了 AWS PrivateLink 终端节点，以提供您所需的服务(用于镜像拉取身份验证的 ECR、用于镜像层的 S3 以及用于 key 的 AWS Secrets Manager)。

如您所知，redis 在端口 6379 上运行，而不是端口 443。我对这些解决方案的想法:

选项 1 非常危险!我永远不应该被迫将我的数据库实例暴露给公共(public)互联网。所以就这样了。
选项 2 是我开始实现的，然后我意识到这涉及公开并允许我的子网 + 路由表 + 等中端口 443 上的流量。当我只想使用端口 443 @ 容器启动。
选项 3 似乎是正确的选择。

这就是我的旅程。

最佳答案

我让这个工作了。一些答案如下。

对于问题 1:

The documentation explains how to create the Interface VPC Endpoints, which is great. But it also says: "To turn on private DNS for the interface endpoint, for Enable DNS Name, select the check box." and "This option is turned on by default"

But over here: https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html#cfn-ec2-vpcendpoint-privatednsenabled

It says: "Default: false". Which is it?

我不知道答案。我所知道的是，您绝对应该打开私有(private) DNS。而默认 DNS 类似于: ec2.us-east-1.amazonaws.com ；特定于端点的区域或区域 DNS 主机名更长且更复杂。更多信息:https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint

对于问题 2:不!我只需要重复两次。工作答案:

privateVPCEndpoint1:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.ecr.dkr
      PrivateDnsEnabled: True
      # "If this parameter is not specified, we attach a default policy that allows full access to the service."
      # PolicyDocument:
      #   Version: 2012-10-17
      #   Statement:
      #     - Effect: Allow
      #       Principal: '*'
      #       Action:
      #         - ''
      #       Resource:
      #         - ''
      SecurityGroupIds:
        - !Ref ECSSecurityGroupDownloadRedisContainer
      SubnetIds:
        - !Ref privateSubnet1
        - !Ref privateSubnet2
      VpcEndpointType: Interface
      VpcId: !Ref VPC
  privateVPCEndpoint2:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: !Sub com.amazonaws.${AWS::Region}.ecr.api
      PrivateDnsEnabled: True
      SecurityGroupIds:
        - !Ref ECSSecurityGroupDownloadRedisContainer
      SubnetIds:
        - !Ref privateSubnet1
        - !Ref privateSubnet2
      VpcEndpointType: Interface
      VpcId: !Ref VPC

对于问题 3:

这正是你应该做的，我似乎是正确的。

对于问题 4:

没有。如果现有容器出现故障，那么我将不得不启动一个新容器。发生这种情况时，我需要访问端口 443。您无法像这样切换防火墙/安全组的访问级别。

关于amazon-web-services - 阅读文档时遇到的 AWS PrivateLink + CloudFormation 设置问题，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/68685640/

26

4

0

文章推荐： awk - 使用 awk 交换由给定字符串分隔的两组单词)

文章推荐： apache-spark - RDD、分区和节点之间的关系

文章推荐： amazon-web-services - 将 Secrets Manager 参数引用到 secret 字符串

Python Pandas 阅读
我正在尝试读取一个大型日志文件，该文件已使用不同的分隔符(遗留更改)进行了解析。此代码有效 import os, subprocess, time, re import pandas as pd f
Pascal(免费或快速)阅读
我试图理解在 Linux 下以 Turbo 模式(特别是 fpc -Mtp -vw)编译的 Free Pascal 中看到的有点神奇的行为。代码来自 Jack Crenshaw 的“让我们构建一个编译
阅读 R 中的表格？
我有一个具有以下结构的 txt 文件: NAME DATA1 DATA2 a 10 1,2,3 b 6 8,9 c 2
Pascal(免费或快速)阅读
我试图理解在 Linux 下以 Turbo 模式(特别是 fpc -Mtp -vw)编译的 Free Pascal 中看到的有点神奇的行为。代码来自 Jack Crenshaw 的“让我们构建一个编译
java - 阅读、理解和修复该代码
public class Bug1 { private String s; public void Bug1(){ s = "hello"; } public Stri
C#多线程文件IO(阅读)
我们有这样一种情况，我们的应用程序需要处理一系列文件，而不是同步执行此功能，我们希望采用多线程将工作负载分配给不同的线程。每一项工作是: 1.以只读方式打开文件 2.处理文件中的数据 3.将处理后的
c++ - 阅读(？)转义字符
我正在尝试读取 .php 文件并替换十六进制字符。php文件格式如下: 问题是它弄乱了转义字符 (\") 到目前为止我的代码: while(i=48 && str[i+2]=97 && str[i+
c# - 阅读 HTML？
我正在用 C# 开发一个程序，我需要一些帮助。我正在尝试创建一个数组或项目列表，显示在某个网站上。我想要做的是阅读 anchor 文本，它是 href。例如，这是 HTML:
android - 阅读/写作偏好是一项昂贵的操作吗？
我有一个偏好设置，它控制我的应用程序是否在用户单击按钮时播放声音(这种情况经常发生，想想计算器)。每次用户单击按钮时，都会调用以下方法: private void playButtonClickSou
ios - 阅读/查看标签末尾的更多信息
我正在尝试在我的标签末尾创建一个阅读更多按钮。我希望它默认显示 3 行。我正在用 swift 而不是 objective c 编写代码。只有当用户点击标签的阅读更多部分时，标签才会展开。它的外观和工作
c++ - 阅读/理解第三方代码
当您获得第三方库(c、c++)、开源(LGPL 说)但没有很好的文档时，了解它以便能够集成到您的应用程序中的最佳方法是什么？该库通常有一些示例程序，我最终使用 gdb 浏览了代码。还有其他建议/最佳
c - 阅读;线程安全与否？
同时从 2 个或更多不同线程对同一个文件描述符使用 pread 是否有问题？最佳答案 pread 本身是线程安全的，因为它不在 list of unsafe functions 上.所以调用它是安全
python - 阅读 Pandas 数据框时跳过包含特定值的特定行
当您使用命令 pd.read_csv 读取 csv 时，如何跳过连续包含特定值的行？如果在第 50、55 行，第一列的值为 100，那么我想在读取 csv 文件时跳过这些行。我如何将这些命令放入像 p
c# - 阅读 T4 文件的内容我缺少什么？
我迫切需要在 C# 中使用 T4 生成 HTML 输出。我正在使用 Runtime-T4-Files 并选择“TextTemplatingFilePreprocessor”而不是“TextTempl
sap - ERP 阅读/练习什么？
今年夏天我在实习期间一直在学习 ERP 应用程序。由于我是一名即将毕业的程序员，我希望有一个可靠的软件分支可以帮助我完成工作，直到我确定下一步该做什么(直到我对大局有一个很好的了解)。到现在为止，我刚
scala - 阅读 Parquet 时是否有可能保持列顺序？
将包含列(例如“a”、“b”)的数据帧保存为 parquet，然后在稍后的时间点读取 parquet 不会提供相同的列顺序(可能是“b”、“a”fe)文件保存为。不幸的是，我无法弄清楚订单是如何受到
Swift - 阅读 Google 表格
我正在开发一个使用谷歌表格作为数据库的应用程序，但我不知道如何让 Swift 从谷歌表格中读取。我浏览了 API 网站和一些问题，但刚开始我需要一些帮助。到目前为止，我有；私有(private)让范
java - 阅读 Swing 是否值得？
我打算阅读swing concept，如果值得一读，请推荐一些学习 Material 最佳答案自 AWT 崩溃以来，Java 的 GUI 工具包太多了。即使是 Swing 也被评论家严重低估，但他们
j - 阅读 J 代码的最佳策略
我已经使用 J 几个月了，我发现阅读不熟悉的代码(例如，不是我自己写的)是该语言最具挑战性的方面之一，尤其是在默认情况下。过了一会儿，我想出了这个策略: 1)将代码段复制到word文档中 2)从(1)
iphone - 阅读 iPhone 短信？
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它，visit the help center 。已关

首页

博学

6Ren·AI

商城