Last updated
Μάθετε τι είναι ένα VPC και για τα στοιχεία του στο:
Το Amazon EC2 χρησιμοποιείται για την εκκίνηση εικονικών διακομιστών. Επιτρέπει τη διαμόρφωση της ασφάλειας και της δικτύωσης και τη διαχείριση της αποθήκευσης. Η ευελιξία του Amazon EC2 είναι εμφανής στη δυνατότητά του να κλιμακώνει τους πόρους τόσο προς τα πάνω όσο και προς τα κάτω, προσαρμόζοντας αποτελεσματικά σε μεταβολές απαιτήσεων ή άνοδο στη δημοφιλία. Αυτό το χαρακτηριστικό μειώνει την ανάγκη για ακριβείς προβλέψεις κίνησης.
Ενδιαφέροντα πράγματα για απαρίθμηση στο EC2:
Εικονικές Μηχανές
Κλειδιά SSH
Δεδομένα Χρήστη
Υπάρχοντες EC2s/AMIs/Snapshots
Δικτύωση
Δίκτυα
Υποδίκτυα
Δημόσιες IP
Ανοιχτές θύρες
Ενσωματωμένες συνδέσεις με άλλα δίκτυα έξω από το AWS
Η χρήση ρόλων για τη χορήγηση δικαιωμάτων σε εφαρμογές που εκτελούνται σε παραδείγματα EC2 απαιτεί λίγη επιπλέον διαμόρφωση. Μια εφαρμογή που εκτελείται σε ένα παράδειγμα EC2 είναι αφαιρεμένη από το AWS από το εικονικοποιημένο λειτουργικό σύστημα. Λόγω αυτής της επιπλέον διαχωριστικής διαδικασίας, χρειάζεστε ένα επιπλέον βήμα για να αναθέσετε ένα ρόλο AWS και τα συναφή δικαιώματά του σε ένα παράδειγμα EC2 και να τα καταστήσετε διαθέσιμα στις εφαρμογές του.
Αυτό το επιπλέον βήμα είναι η δημιουργία ενός προφίλ εικόνας που είναι συνδεδεμένο με το παράδειγμα. Το προφίλ εικόνας περιέχει το ρόλο και μπορεί να παρέχει τα προσωρινά διαπιστευτήρια του ρόλου σε μια εφαρμογή που εκτελείται στο παράδειγμα. Αυτά τα προσωρινά διαπιστευτήρια μπορούν στη συνέχεια να χρησιμοποιηθούν στις κλήσεις API της εφαρμογής για πρόσβαση σε πόρους και για τον περιορισμό της πρόσβασης μόνο σε εκείνους τους πόρους που καθορίζει ο ρόλος. Σημειώστε ότι μόνο ένας ρόλος μπορεί να ανατεθεί σε ένα παράδειγμα EC2 τη φορά, και όλες οι εφαρμογές στο παράδειγμα μοιράζονται τον ίδιο ρόλο και τα δικαιώματα.
Τα μεταδεδομένα του AWS EC2 είναι πληροφορίες σχετικά με ένα παράδειγμα Amazon Elastic Compute Cloud (EC2) που είναι διαθέσιμες στο παράδειγμα κατά τη διάρκεια εκτέλεσης. Αυτά τα μεταδεδομένα χρησιμοποιούνται για να παρέχουν πληροφορίες σχετικά με το παράδειγμα, όπως το αναγνωριστικό παραδείγματος, η ζώνη διαθεσιμότητας στην οποία λειτουργεί, ο ρόλος IAM που σχετίζεται με το παράδειγμα και το όνομα κεντρικού υπολογιστή του παραδείγματος.
Στην ακόλουθη σελίδα μπορείτε να ελέγξετε πώς να καταχραστείτε τα δικαιώματα EC2 για ανύψωση προνομίων:
Τα EBS της Amazon (Elastic Block Store) είναι βασικά στατικά αντίγραφα ασφαλείας των όγκων AWS EBS. Με άλλα λόγια, είναι αντίγραφα των δίσκων που είναι συνδεδεμένοι σε μια Παρουσία EC2 σε ένα συγκεκριμένο χρονικό σημείο. Τα αντίγραφα EBS μπορούν να αντιγραφούν σε διαφορετικές περιοχές και λογαριασμούς, ή ακόμη και να ληφθούν και να εκτελεστούν τοπικά.
Τα αντίγραφα μπορεί να περιέχουν ευαίσθητες πληροφορίες όπως κώδικα πηγαίου κώδικα ή κλειδιά API, επομένως, αν έχετε την ευκαιρία, συνιστάται να το ελέγξετε.
Ένα AMI χρησιμοποιείται για την εκκίνηση μιας παρουσίας EC2, ενώ ένα Αντίγραφο EC2 χρησιμοποιείται για την δημιουργία αντιγράφων ασφαλείας και την ανάκτηση δεδομένων που αποθηκεύονται σε έναν όγκο EBS. Ενώ ένα Αντίγραφο EC2 μπορεί να χρησιμοποιηθεί για τη δημιουργία ενός νέου AMI, δεν είναι το ίδιο με ένα AMI και δεν περιλαμβάνει πληροφορίες σχετικά με το λειτουργικό σύστημα, τον εξυπηρετητή εφαρμογών ή άλλο λογισμικό που απαιτείται για την εκτέλεση μιας εφαρμογής.
Στην ακόλουθη σελίδα μπορείτε να ελέγξετε πώς να καταχραστείτε τα δικαιώματα EBS για ανύψωση προνομίων:
Το Amazon Simple Systems Manager (SSM) επιτρέπει την απομακρυσμένη διαχείριση ομάδων παρουσιών EC2 για να καθιστά τις διαχειρίσεις τους πολύ πιο εύκολες. Κάθε μια από αυτές τις παρουσίες πρέπει να εκτελεί την υπηρεσία SSM Agent καθώς η υπηρεσία θα είναι αυτή που θα λαμβάνει τις ενέργειες και θα τις εκτελεί από το AWS API.
Το SSM Agent καθιστά δυνατή την ενημέρωση, διαχείριση και ρύθμιση αυτών των πόρων από τον Systems Manager. Το πρόγραμμα επεξεργάζεται αιτήσεις από την υπηρεσία Systems Manager στο AWS Cloud, και στη συνέχεια τις εκτελεί όπως προβλέπεται στο αίτημα.
Το SSM Agent έρχεται προεγκατεστημένο σε μερικά AMIs ή πρέπει να εγκατασταθεί χειροκίνητα στις παρουσίες. Επίσης, ο ρόλος IAM που χρησιμοποιείται μέσα στην παρουσία πρέπει να έχει την πολιτική AmazonEC2RoleforSSM προσαρτημένη για να μπορεί να επικοινωνεί.
Μπορείτε να ελέγξετε σε μια EC2 έκδοση εάν το Systems Manager τρέχει απλά εκτελώντας:
Στην ακόλουθη σελίδα μπορείτε να ελέγξετε πώς να καταχραστείτε τα δικαιώματα SSM για ανύψωση δικαιωμάτων:
Η Elastic Load Balancing (ELB) είναι μια υπηρεσία ισορροπίας φορτίου για τις αναπτύξεις του Amazon Web Services (AWS). Το ELB αυτόματα διανέμει την εισερχόμενη κίνηση της εφαρμογής και κλιμακώνει τους πόρους για να ανταποκριθεί στις απαιτήσεις της κίνησης.
Το AWS Nitro είναι μια σουίτα καινοτόμων τεχνολογιών που αποτελούν τη βασική πλατφόρμα για τις περιπτώσεις AWS EC2. Εισήχθη από την Amazon για να ενισχύσει την ασφάλεια, την απόδοση και την αξιοπιστία, το Nitro εκμεταλλεύεται προσαρμοσμένα υλικά εξαρτήματα και ένα ελαφρύ υποσύστημα. Αφαιρεί μεγάλο μέρος της παραδοσιακής λειτουργικότητας εικονικοποίησης σε αφιερωμένο υλικό και λογισμικό, ελαχιστοποιώντας την επιφάνεια επίθεσης και βελτιώνοντας την αποδοτικότητα πόρων. Με τη μεταφορά λειτουργιών εικονικοποίησης, το Nitro επιτρέπει στις περιπτώσεις EC2 να παρέχουν απόδοση κοντά στο μεταλλικό υλικό, κάτι που το καθιστά ιδιαίτερα ωφέλιμο για εφαρμογές με μεγάλες απαιτήσεις πόρων. Επιπλέον, το Nitro Security Chip εξασφαλίζει ειδικά την ασφάλεια του υλικού και του firmware, ενισχύοντας περαιτέρω τη στιβαρή του αρχιτεκτονική.
Βρείτε περισσότερες πληροφορίες και πώς να το απαριθμήσετε από:
Ένα VPN επιτρέπει τη σύνδεση του δικτύου στον τόπο (site-to-site VPN) ή των φορητών υπολογιστών των εργαζομένων (Client VPN) με ένα AWS VPC έτσι ώστε οι υπηρεσίες να μπορούν να προσπελαστούν χωρίς την ανάγκη να εκτεθούν στο διαδίκτυο.
Πύλη Πελάτη:
Μια Πύλη Πελάτη είναι ένας πόρος που δημιουργείτε στο AWS για να αντιπροσωπεύει την πλευρά σας μιας σύνδεσης VPN.
Ουσιαστικά είναι μια φυσική συσκευή ή εφαρμογή λογισμικού στην πλευρά σας της σύνδεσης Site-to-Site VPN.
Παρέχετε πληροφορίες δρομολόγησης και τη δημόσια διεύθυνση IP της συσκευής δικτύου σας (όπως ένας δρομολογητής ή ένα τείχος προστασίας) στο AWS για να δημιουργήσετε μια Πύλη Πελάτη.
Λειτουργεί ως σημείο αναφοράς για την εγκατάσταση της σύνδεσης VPN και δεν επιφέρει επιπλέον χρεώσεις.
Εικονική Ιδιωτική Πύλη:
Μια Εικονική Ιδιωτική Πύλη (VPG) είναι ο συγκεντρωτής VPN στην πλευρά της Amazon της σύνδεσης Site-to-Site VPN.
Είναι συνδεδεμένη με το VPC σας και λειτουργεί ως στόχος για τη σύνδεση VPN σας.
Η VPG είναι το άκρο της πλευράς του AWS για τη σύνδεση VPN.
Χειρίζεται την ασφαλή επικοινωνία μεταξύ του VPC σας και του δικτύου σας στον τόπο.
Σύνδεση Site-to-Site VPN:
Μια σύνδεση Site-to-Site VPN συνδέει το δίκτυό σας στον τόπο με ένα VPC μέσω μιας ασφαλούς σήραγγας VPN IPsec.
Αυτός ο τύπος σύνδεσης απαιτεί μια Πύλη Πελάτη και μια Εικονική Ιδιωτική Πύλη.
Χρησιμοποιείται για ασφαλή, σταθερή και συνεπή επικοινωνία μεταξύ του κέντρου δεδομένων ή του δικτύου σας και του περιβάλλοντος AWS σας.
Χρησιμοποιείται συνήθως για τακτικές, μακροχρόνιες συνδέσεις και χρεώνεται με βάση τον όγκο δεδομένων που μεταφέρεται μέσω της σύνδεσης.
Άκρο Πελάτη VPN:
Ένα άκρο πελάτη VPN είναι ένας πόρος που δημιουργείτε στο AWS για να ενεργοποιήσετε και να διαχειριστείτε συνεδρίες VPN πελατών.
Χρησιμοποιείται για τη δυνατότητα σύνδεσης ατομικών συσκευών (όπως φορητοί υπολογιστές, smartphones, κλπ.) για την ασφαλή σύνδεση με πόρους AWS ή το δίκτυό σας στον τόπο.
Διαφέρει από τη σύνδεση Site-to-Site VPN στο ότι σχεδιάστηκε για ατομικούς πελάτες αντί για τη σύνδεση ολόκληρων δικτύων.
Με το Client VPN, κάθε συσκευή πελάτη χρησιμοποιεί λογισμικό πελάτη VPN για να καθιερώσει μια ασφαλή σύνδεση.
Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με τα οφέλη και τα στοιχεία των AWS VPN εδώ.
Προσωρινά Διαπιστευτήρια Τοπικά
Όταν χρησιμοποιείται το AWS VPN Client για σύνδεση σε ένα VPN, ο χρήστης συνήθως συνδέεται στο AWS για να αποκτήσει πρόσβαση στο VPN. Στη συνέχεια, κάποια διαπιστευτήρια AWS δημιουργούνται και αποθηκεύονται τοπικά για την εγκαθίδρυση της σύνδεσης VPN. Αυτά τα διαπιστευτήρια αποθηκεύονται στον φάκελο $HOME/.config/AWSVPNClient/TemporaryCredentials/<region>/temporary-credentials.txt και περιλαμβάνουν ένα AccessKey, ένα SecretKey και ένα Token.
Τα διαπιστευτήρια ανήκουν στον χρήστη arn:aws:sts::<acc-id>:assumed-role/aws-vpn-client-metrics-analytics-access-role/CognitoIdentityCredentials (TODO: ερευνήστε περισσότερα σχετικά με τα δικαιώματα αυτών των διαπιστευτηρίων).
Αρχεία διαμόρφωσης opvn
Εάν μια σύνδεση VPN εγκαθιδρύθηκε, πρέπει να αναζητήσετε αρχεία διαμόρφωσης .opvn στο σύστημα. Επιπλέον, ένας τόπος όπου θα μπορούσατε να βρείτε τις διαμορφώσεις είναι στον φάκελο $HOME/.config/AWSVPNClient/OpenVpnConfigs
