sakana三大雲平台工具容器升級小記 - 使用 openSUSE Leap 15.2 Container
三大雲平台工具容器升級小記 - 使用 openSUSE Leap 15.2 Container
OS: container with openSUSE Leap 15.2
上次升級是 2020/5/31 , 這次會來升級的原因是
使用 openSUSE Leap 15.2
升級 gcloud 版本
升級 azure-cli 版本
升級 aws cli 版本
先整理結果
升級前
OS: openSUSE Leap 15.1
awscli: aws-cli/2.0.17 Python/3.7.3
gcloud: Google Cloud SDK 290.0.1
azure-cli: 2.6.0
升級後
OS: openSUSE Leap 15.2
awscli: aws-cli/2.0.36 Python/3.7.3
gcloud: Google Cloud SDK 303.0.0
azure-cli: 2.9.1
AWS CLI v2 安裝文件
GCP Cloud SDK 版本
這次的做法還是會透過 docker build 指令來進行
我有比較過 docker build 以及使用現有的 docker image 修改後再使用 docker commit 建立的 image 大小還是很有差異的
Dockerfile 的部分我是拿之前 openSUSE Leap 15.1 來修改
修改細節
Update time
使用 openSUSE Leap 15.2
修改 pip3 安裝 boto 而非 boto3
Google SDK 版本還有下載的檔案路徑以及檔案名稱
列出 diff 的結果給大家參考
> diff opensuseLeap152_ansible_20200802_Dockerfile opensuseLeap151_ansible_20200531_Dockerfile
1,2c1,2
< # openSUSE Leap 15.2 with ansible, azure-cli, aws cli, gcloud
< FROM opensuse/leap:15.2
---
> # openSUSE Leap 15.1 with ansible, azure-cli
> FROM opensuse/leap:15.1
6c6
< # update: 20200802
---
> # update: 20200509
12c12
< # Install python3-pip, upgrade pip, ansible[azure], boto
---
> # Install python3-pip, upgrade pip, ansible[azure], boto3
16c16
< pip3 install boto
---
> pip3 install boto3
64c64
< # Install google cloud SDK 303.0.0
---
> # Install google cloud SDK 290.0.1
66,67c66,67
< RUN wget https://dl.google.com/dl/cloudsdk/channels/rapid/downloads/google-cloud-sdk-303.0.0-linux-x86_64.tar.gz && \
< tar zxvf google-cloud-sdk-303.0.0-linux-x86_64.tar.gz && \
---
> RUN wget https://dl.google.com/dl/cloudsdk/channels/rapid/downloads/google-cloud-sdk-290.0.1-linux-x86_64.tar.gz && \
> tar zxvf google-cloud-sdk-290.0.1-linux-x86_64.tar.gz && \
Dockerfile 內容如下
我檔案的名稱取名爲 opensuseLeap152_ansible_20200802_Dockerfile
# openSUSE Leap 15.2 with ansible, azure-cli, aws cli, gcloud
FROM opensuse/leap:15.2
# Author
# MAINTAINER 已經棄用, 之後要使用 LABEL 方式
# update: 20200802
LABEL maintainer="sakana@cycu.org.tw"
# Set LANG for UTF-8 - for Chinese
ENV LANG C.UTF-8
# Install python3-pip, upgrade pip, ansible[azure], boto
RUN zypper install -y python3-pip && \
pip3 install --upgrade pip && \
pip3 install ansible[azure] && \
pip3 install boto
# Install openssh, set ls alias
RUN zypper install -y openssh
RUN echo "alias ls='ls --color=tty'" >> /root/.bashrc
# Install wget, download azure_rm.py, set permission
RUN zypper install -y wget
# azure_rm.py no need to download
# Starting with Ansible 2.8, Ansible provides an Azure dynamic-inventory plug-in
# https://docs.ansible.com/ansible/latest/plugins/inventory/azure_rm.html
# old azure_rm.py URL https://raw.githubusercontent.com/ansible/ansible/devel/contrib/inventory/azure_rm.py
#
# Create working directory in /root
RUN mkdir /root/.azure && \
mkdir /root/.aws && \
mkdir /root/playbook && \
mkdir -p /root/.config/gcloud && \
wget https://raw.githubusercontent.com/sakanamax/LearnAnsible/master/template/ansible.cfg && \
mv /ansible.cfg /root && \
wget https://raw.githubusercontent.com/sakanamax/LearnAnsible/master/template/hosts && \
mv /hosts /root
#### Azure ####
# Install azure-cli
RUN zypper install -y curl && \
rpm --import https://packages.microsoft.com/keys/microsoft.asc && \
zypper addrepo --name 'Azure CLI' --check https://packages.microsoft.com/yumrepos/azure-cli azure-cli && \
zypper install --from azure-cli -y azure-cli
#install vim tar gzip jq unzip less bind-utils iputils groff
RUN zypper install -y vim tar gzip jq unzip less bind-utils iputils groff
RUN echo "set encoding=utf8" > /root/.vimrc
#### AWS ####
# Install awscli v1
#RUN pip3 install awscli
#RUN echo "source /usr/bin/aws_bash_completer" >> /root/.bashrc
# Install awscli v2
RUN curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip" && \
unzip awscliv2.zip && \
/aws/install
RUN echo "complete -C '/usr/local/bin/aws_completer' aws" >> /root/.bashrc
#### GCP ####
# Install google cloud SDK 303.0.0
ENV CLOUDSDK_CORE_DISABLE_PROMPTS 1
RUN wget https://dl.google.com/dl/cloudsdk/channels/rapid/downloads/google-cloud-sdk-303.0.0-linux-x86_64.tar.gz && \
tar zxvf google-cloud-sdk-303.0.0-linux-x86_64.tar.gz && \
/google-cloud-sdk/install.sh && \
echo "if [ -f '/google-cloud-sdk/path.bash.inc' ]; then . '/google-cloud-sdk/path.bash.inc'; fi" >> /root/.bashrc && \
echo "if [ -f '/google-cloud-sdk/completion.bash.inc' ]; then . '/google-cloud-sdk/completion.bash.inc'; fi" >> /root/.bashrc
使用 docker build 指令建立 image
> docker build -t sakana/ansible_opensuse152:20200802 -f ./opensuseLeap152_ansible_20200802_Dockerfile .
使用 -f 指定 Dockerfile 名稱
最後是 ” . “ 目前的目錄
測試 container image
> docker run -v ~/.aws:/root/.aws -v ~/.azure:/root/.azure -v ~/.config/gcloud:/root/.config/gcloud -it sakana/ansible_opensuse152:20200802 /bin/bash
測試結果 OK, 建立 tag
觀察資訊
> docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
sakana/ansible_opensuse152 20200802 d1bb9da2d2e1 14 seconds ago 1.66GB
opensuse/leap 15.2 b02baf32bb00 4 days ago 105MB
sakana/ansible_opensuse151 latest 0fcb15bb33a0 2 months ago 1.78GB
建立 tag
> docker tag d1bb9da2d2e1 sakana/ansible_opensuse152:latest
登入 docker
> docker login
上傳 image
> docker push sakana/ansible_opensuse152:20200802
> docker push sakana/ansible_opensuse152:latest
完工, 以後使用就用
> docker run -v ~/.aws:/root/.aws -v ~/.azure:/root/.azure -v ~/.config/gcloud:/root/.config/gcloud -it sakana/ansible_opensuse152 /bin/bash
~ enjoy it
Reference:
https://sakananote2.blogspot.com/2020/05/aws-cli-v2-with-opensuse-leap-151.html
http://sakananote2.blogspot.com/2020/01/python-3-with-opensuse-leap-151.html
http://sakananote2.blogspot.com/2019/07/with-opensuse-leap-15-container.html
http://sakananote2.blogspot.com/2019/05/ansible-azure-cli-awscli-gcloud-with.html
http://sakananote2.blogspot.com/2019/11/with-opensuse-leap-151-container.html
Aug 1st, 2020
使用 AWS WAF v2 Web ACL 限制存取小記
使用 AWS WAF v2 Web ACL 限制存取小記
有時候在業務上會碰到一些超量存取的狀況,
所以今天要來測試 AWS WAF v2 Web ACL 來限制存取
情境:
使用 AWS Web ACL 對 ALB 限制存取超過一定門檻的行為
建立 ELB 以及 EC2
參考之前的筆記來建立
這邊有變化的大概就是目前 openSUSE Leap 已經出道 15.2
所以這次是使用 openSUSE Leap 15.2
查詢 image id 方式
# aws ec2 describe-images --filters "Name=name,Values=openSUSE-Leap-15.2*"
但是也是碰到找到的 image id 要先接受協議而無法非互動安裝
所以最快的方式就是先用 console 裝一個然後看他的 image id :)
我是用 ansible playbook 的方式建立 2 台 EC2
指派 default 與 ssh 的 security group
根據得到的 IP 進行連線測試
> ssh -i test-key.pem ec2-user@18.223.195.175
連入 2 台 openSUSE Leap 15.2 安裝 apache 並啟動服務, 編輯基本網頁, 建立 port 80 的 security Group, 確認可以存取
使用參考筆記的指令
建立 Load Balancer , 可以觀察 Type : application ( 所以是 ALB )
建立 Target Group, 建立 listener , 讓 ALB 可以存取到後端的 2 台 openSUSE Leap
確認 ALB 可以順利存取後端的服務
好的, 現在終於要進入本番角色 WAF 了 :)
在 AWS console 搜尋 WAF 服務, 登入 WAF 主控台
點選 Create web ACL
選取 Region
輸入 名稱
點選 Next
在 Rules: 點選 Add rules
點選 Add my own rules and rule groups
預設的 Rule type 爲 Rule builder
輸入 名稱
Type: 選取 Rate-based rule
Rate limit: 輸入要設定的門檻, 這邊輸入 1000 (1000 / 5 mins)
Action : Block
點選 Add rule
確認規則建立
點選 Next
點選 Next ( 如果沒有調整 )
點選 Next
確認相關資訊
點選 Create web ACL
接下來要來套用 WAF 到剛剛建立的 LB
點選剛剛建立的 Web ACL
點選 Associated AWS resources
點選 Add AWS resources
點選 Resource type: Application Load Balancer
選取剛剛建立的 ELB
點選 Add
觀察資訊
這樣就建立完成
接下來進行驗證, 我在外部使用 ab 指令 來進行測試
參考之前文章安裝 ab 指令 http://sakananote2.blogspot.com/2019/10/ab-apache-http-server-benchmarking-tool.html
節錄指令如下 # zypper install apache2-utils
確認 ab 版本
# ab -V
This is ApacheBench, Version 2.3 <$Revision: 1826891 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/
使用 ab 指令 打LB 900次
# ab -n 900 -c 1 http://test-elb-757822458.us-east-2.elb.amazonaws.com/index.html
This is ApacheBench, Version 2.3 <$Revision: 1826891 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/
Benchmarking test-elb-757822458.us-east-2.elb.amazonaws.com (be patient)
Completed 100 requests
Completed 200 requests
Completed 300 requests
Completed 400 requests
Completed 500 requests
Completed 600 requests
Completed 700 requests
Completed 800 requests
Completed 900 requests
Finished 900 requests
打完之後測試是否可以存取
# curl http://test-elb-757822458.us-east-2.elb.amazonaws.com/index.html
<html>This is site 2 </html>
因為沒有超過門檻 1000 / 5 mins 所以沒有問題
接下來打 1100 次
# ab -n 1100 -c 8 http://test-elb-757822458.us-east-2.elb.amazonaws.com/index.html
This is ApacheBench, Version 2.3 <$Revision: 1826891 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/
Benchmarking test-elb-757822458.us-east-2.elb.amazonaws.com (be patient)
Completed 110 requests
Completed 220 requests
Completed 330 requests
Completed 440 requests
Completed 550 requests
Completed 660 requests
Completed 770 requests
Completed 880 requests
Completed 990 requests
Completed 1100 requests
Finished 1100 requests
再次測試存取
# curl http://test-elb-757822458.us-east-2.elb.amazonaws.com/index.html
<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
</body>
</html>
這邊就會觀察到, 目前無法進行存取
同場加映: 使用 IP sets 建立白名單, 允許連線
點選 WAF 控制台的 IP sets
點選 Create IP set
輸入名稱與 IP address
點選 Create IP set
點選剛剛建立的 Web ACL
點選 Rules
點選 Add rules
點選 Add my own rules and rule groups
Rule type: 選取 IP set
輸入名稱
選取剛剛建立的 IP set
Action: 點選 Allow
點選 Add rule
將 白名單的規則 priority 向上調整
點選 Save
再次以 ab 指令進行測試, 這次就會發現不會被 WAF 阻擋了
同場加映: 用 aws 指令列出 Web ACL 內容以及目前被阻擋的 IP
列出 WAF 在單一 region 的 web acl
# aws wafv2 list-web-acls --scope REGIONAL --region us-east-2 --profile default
{
"NextMarker": "test20200801",
"WebACLs": [
{
"Name": "test20200801",
"Id": "32f779c2-1c2b-4069-a625-b7d216802012",
"Description": "",
"LockToken": "34194f29-b629-4df3-b57c-f3d0f79e7619",
"ARN": "arn:aws:wafv2:us-east-2:783127631924:regional/webacl/test20200801/35e779c2-1c2b-4089-a615-b7d217801012"
}
]
}
這邊主要需要的資訊是 Name 與 Id
列出該 Web ACL 相關資訊
# aws wafv2 get-web-acl --scope REGIONAL --id 32f779c2-1c2b-4069-a625-b7d216802012 --name test20200801 --region us-east-2 --profile default
{
"WebACL": {
"Name": "test20200801",
"Id": "32f779c2-1c2b-4069-a625-b7d216802012",
"ARN": "arn:aws:wafv2:us-east-2:783127631924:regional/webacl/test20200801/35e779c2-1c2b-4089-a615-b7d217801012",
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "test20200801",
"Priority": 0,
"Statement": {
"RateBasedStatement": {
"Limit": 1000,
"AggregateKeyType": "IP"
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test20200801"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "test20200801"
},
"Capacity": 2,
"ManagedByFirewallManager": false
},
"LockToken": "34194f29-b629-4df3-b57c-f3d0f79e7619"
}
列出目前被阻擋的 IP
# aws wafv2 get-rate-based-statement-managed-keys --scope REGIONAL --region us-east-2 --web-acl-name test20200801 --web-acl-id 32f779c2-1c2b-4069-a625-b7d216802012 --rule-name test20200801 | jq '.ManagedKeysIPV4'
{
"IPAddressVersion": "IPV4",
"Addresses": [
"210.85.244.94/32"
]
}
這邊我使用 jq 來搭配過濾 IP v4 的部分, 原本會顯示 IPv4 與 IPv6
又前進了一步
~ enjoy it
Reference:
英明的同事文件
https://sakananote2.blogspot.com/2019/04/aws-elastic-load-balancing-with.html
https://sakananote2.blogspot.com/2019/04/aws-cli-opensuse-leap-15-in-aws-ec2.html
https://awscli.amazonaws.com/v2/documentation/api/latest/reference/wafv2/list-web-acls.html
http://sakananote2.blogspot.com/2019/10/ab-apache-http-server-benchmarking-tool.html
GitLab with openSUSE Leap 15.1 in Azure 安裝小記
GitLab with openSUSE Leap 15.1 in Azure 安裝小記
OS: openSUSE Leap 15.1 in Azure
GitLab: gitlab-ee-13.1.4
上次寫 GitLab 文章竟然是 2019 年 5 月的事情了 ~ ( 其實也只有那篇 XD )
今天要來寫 GitLab 在 openSUSE Leap 的安裝, 安裝的環境在 Azure (實驗在雲端比較方便)
GitLab 官方建議規格
4 CPU / 4 GB RAM , 對應到 Azure B4MS 型別(4 vCPU / 16 GB), NT$ 6.5519 / 小時 (NT$ 4,782 / 每月)
一年前只要 2 CPU 的 ~~
可以嘗試使用 Spot 執行個體, 因為只是測試安裝, 所以用 Spot 會比較經濟
目前我的測試, 如果你用的是 Azure in open, 好像無法建立 Spot VM …. QQ
首先登入 Azure Portal
新增虛擬機器
這邊在影像的部分當然是選擇 openSUSE Leap 系列, 覺得開心的是 openSUSE Leap 15.2 已經可以在 Azure 上被選取了
在佈署的時間, 來看看 GitLab 要如何在 openSUSE 上面安裝
GitLab CE (Community Edition)
GitLab EE (Enterprise Edition)
如果仔細比對上面兩份文件, 差別只有
zypper install gitlab-ce
zypper install gitlab-ee
那到底要裝 社群版本還是企業版呢?
Community Edition or Enterprise Edition ? https://about.gitlab.com/install/ce-or-ee/
上面官方文件, 簡單一句話就是, 請你裝企業版, 以免你之後要升級還有可能要停機, 但是沒有做很多的解釋與比較
藉由 GitLab Taipei 社群的幫助, 給了我一些連結來釐清相關細節, 整理如下
首先就功能來說, 有分爲
CORE
STARTER
PREMIUM
ULTIMATE
請參考 gitlab-tiers https://about.gitlab.com/blog/2018/04/20/gitlab-tiers/
所以就功能來說
CE 的版本就是只有 CORE 功能,
用 EE 版本但是你沒有 subscription 也是 CORE 功能
其他功能就是買 subscription 才有
好了, 那下一步是... 功能的差異細節是 ??
參考官方網頁
說好的 CE 與 EE 呢? 這八個格子是啥 ???
CORE, STARTER, PREMIUM, ULTIMATE
FREE, BRONZE, SILVER, GOLD
然後好像還在哪邊看過部分字眼 ?
好像是這邊 https://about.gitlab.com/pricing/
這個時候你會想, 上面 8 個, 也只符合 7 個啊 ~~ 那 CORE 去哪邊了 ???
要從 2 份官方的文件整理出來
GitLab 的使用方式有兩種
自架 GitLab ( self-hosted )
CE
100% open source , 然後只有 CORE 功能
EE
根據 subscription 來決定功能, STARTER, PREMIUM, ULTIMATE
在 GitLab 上使用
Public project
提供 GOLD 功能
Private project
根據 subscription 來決定功能, FREE, BRONZE, SILVER, GOLD
官方整理表格如下
誰設計這麼複雜的做法? 說出來, 我保證不打死他 …
GitLab.com 功能比較表 https://about.gitlab.com/pricing/gitlab-com/feature-comparison/
自架 GitLab 功能比較表 https://about.gitlab.com/pricing/self-managed/feature-comparison/
所以分界線大概就是
要 100 % open source, 日後不會用到額外功能, 可以裝 CE
不確定會不會用到額外功能, 裝 EE 或是在 GitLab.com 上面使用
我其實真的沒想到光選版本就可以讓我寫 4 頁的說明 Orz….
GitLab 也可以使用容器的方式安裝, 不過要考慮 Volume 的問題
整理這些資訊, VM 肯定裝好了 ..
使用 SSH 連線到 剛剛建立的 Azure VM
為了測試方便, 我透過 > sudo su - 切換為 root
參考 GitLab EE 安裝文件
Azure 上面預設已經裝了 curl 與 openssh, 防火牆的部分是透過 security group 來控制
GitLab上面也有 Azure 的相關說明, 可以參考 https://docs.gitlab.com/ee/install/azure/ 這邊是以Marketplace 為例
Postfix 的部分, 在 Azure 可能會受到限制, 可能要透過 SendGrid 那樣的第三方機制, 可以是之後的研究課題
可以參考這邊更改 SMTP 設定
加入 GitLab 的套件庫
# curl -sS https://packages.gitlab.com/install/repositories/gitlab/gitlab-ee/script.rpm.sh | sudo bash
接下來準備安裝 GitLab, 不過要先來處理 URL ( Domain Name ) 以及 防火牆的部分
在 Azure Portal 上面, 剛剛建立的 VM 概觀內
點選 DNS 名稱的 設定
輸入 DNS 名稱後 點選 儲存
接下來處理防火牆
在 Azure Portal 上面, 剛剛建立的 VM 網路內
點選 新增輸入連接埠規則
建立針對 port 80 / port 443 的開放
準備安裝 GitLab
# sudo EXTERNAL_URL="http://test20200711.japaneast.cloudapp.azure.com" zypper install gitlab-ee
URL 請換成自己的 Domain Name
安裝的輸出蠻可愛的
*. *.
*** ***
***** *****
.****** *******
******** ********
,,,,,,,,,***********,,,,,,,,,
,,,,,,,,,,,*********,,,,,,,,,,,
.,,,,,,,,,,,*******,,,,,,,,,,,,
,,,,,,,,,*****,,,,,,,,,.
,,,,,,,****,,,,,,
.,,,***,,,,
,*,.
_______ __ __ __
/ ____(_) /_/ / ____ _/ /_
/ / __/ / __/ / / __ `/ __ \
/ /_/ / / /_/ /___/ /_/ / /_/ /
\____/_/\__/_____/\__,_/_.___/
Thank you for installing GitLab!
接下來連接 GitLab
http://YOUR_DOMAIN
會被要求更改密碼
改完之後, 使用 root 與剛剛設定的密碼登入
使用雲端平臺的好處就是不用處理 DNS 與 SSL 的問題 :p
GitLab 安裝完成, 就可以往下一個關卡邁進了 :p
也算是前進一步
~ enjoy it
Reference
https://about.gitlab.com/install/?version=ce#opensuse-leap-15-1
https://about.gitlab.com/handbook/marketing/product-marketing/tiers/
May 4th, 2020
Azure Dynamic Inventory with Ansible 小記
- Starting with Ansible 2.8, Ansible provides an Azure dynamic-inventory plug-in
- 我的做法是過濾 azure-cli 關鍵字
- 從輸出的 azure-cli-201x-xx-xx-xx-xx-xx 就可以知道建立的時間
- 比對輸出的第三欄位 AppId 與 ~/.azure/credentials 內的 client_id 就可以知道是那一個了
- --id 後面接 AppId
- sakanastudy 請換成自己的 Resource Group 名稱
- 這邊可以觀察到 有抓到 resource group 內的機器 test01
- 我的測試機不是用 key, 是用 password 方式, 所以我指定 -u 使用者, 以及 --ask-pass 來輸入密碼, 如果要這樣的方式, 機器要裝 sshpass 套件, 所以下次要來更新容器版本 :)
- 這邊覺得有可能會用到的是
- plain_host_names
- Keyed_groups
- 然後預設是針對所有的 resource group, 是因為使用 include_vm_resource_groups 才去指定特定的 resource group
May 1st, 2020
三大雲平台工具容器升級小記 - 使用 AWS CLI v2 with openSUSE Leap 15.1 Container
- aws cli v2 2020/2/10 已經發行一段時間, 可以升級了, 然後 WAF 有些需要 aws cli v2 才能查詢
- 升級 gcloud 版本
- 升級 azure-cli 版本
- Ansible > 2.8 版本, Azure Dynamic Inventory 使用 plugin 方式
- 我有比較過 docker build 以及使用現有的 docker image 修改後再使用 docker commit 建立的 image 大小還是很有差異的
- 檔案在 Github 上面
- Update time
- 加入 LANG C.UTF-8
- 不需下載 azure_rm.py , 因為現在是用 plug-in 方式
- 安裝 unzip 與 AWS CLI v2
- Google SDK 版本還有下載的檔案路徑以及檔案名稱
- 我檔案的名稱取名爲 opensuseLeap151_ansible_20200501_Dockerfile
- 使用 -f 指定 Dockerfile 名稱
- 最後是 ” . “ 目前的目錄
exfat in openSUSE Leap 15.1 小記
Mar 29th, 2020
使用 gcloud 指令建立快照與從快照建立磁碟與 GCE 小記
Mar 22nd, 2020
AWS Client VPN with openSUSE leap 15.1 小記
- 透過 AWS Client VPN 可以使用桌機或是筆電接入 AWS VPN 的內網, 達成在本機使用 Ansible 進行 AWS 上面的資源調整或是佈署.
- 因為不是所有的resource 都有 public IP, 另外也不一定要想要弄台跳板機, 或是把 playbook 放在上面
- 確保有相關 cli 環境, 例如 aws cli / gcloud / az
- 建立過程中如果有本機不需要的套件需要安裝, 不會影響到本機
- 也可以用本機來進行建立過程
- 這邊也可以考慮掛載一個臨時目錄等等將相關檔案匯出
- -v /home/sakana/下載/test20200321:/root/test20200321
- 務必儲存用戶端憑證和用戶端私有金鑰,因為您在設定用戶端時需要它們
- 這邊要注意的是 - 憑證和金鑰要上傳到用戶端 VPN 端點的同一區域, 我這邊以 us-east-2 為例
- Client IPv4 CIDR 必須介於 /16 - /22 之間, 就是 Class B ~ 4 個 Class C 大小
- 這邊可以觀察到 AWS Client VPN 有兩種驗證方式, 我們使用的是第二種
- AD 驗證
- 使用 Client 憑證進行交互驗證
- 這邊實驗的關係, 我套用剛剛建立的 openvpn-udp 與 VPN default 規則
- 剛剛在上面有建議可以將 container 掛載主機的特定目錄, 所以我是將設定檔放在同一個目錄 test20200321
- 這邊可以看到剛剛下載的 downloaded-client-config.ovpn 以及剛剛建立的憑證
- 也可以看到 client 的憑證與 key
- 在 remote 設定的部分, 加上任一主機名稱
- remote test.cvpn-endpoint-002c11553b655b02c.prod.clientvpn.us-east-2.amazonaws.com 1194
- 原因是 Client VPN 的 DNS name 是 *.cvpn-endpoint-002c11553b655b02c.prod.clientvpn.us-east-2.amazonaws.com
- 如果只是 cvpn-endpoint-002c11553b655b02c.prod.clientvpn.us-east-2.amazonaws.com 會解析不到
- 在 </ca> 後面加入 cert 以及 key 兩個區段
- cert 加入 client1.domain.tld.crt 檔案憑證內容
- key 加入 client1.domain.tld.key 檔案 key 內容
- 這邊注意一下 閘道是否是 test.cvpn-endpoint-xxxxxxx
- 因為現在預設路由是走 VPN 出去, 我們並沒有設定 Split tunnel / DNS / 路由
- 可以連線 AWS Subnet
- 也可以上網呢?
- 啟用的時候讓 VPN 可以同時用自己的網路對外, 以及連 AWS VPC
- 如果沒有啟用, 因為都是透過 AWS Client VPN 所以沒辦法上網
- 這邊有觀察到 default route 有不同
- 這邊就可以觀察到是從 AWS 出去的
nginx 使用 SSL 憑證 with openSUSE Leap 15.1 in Azure 小記
- 他也是利用 Let's Encrypt 來讓使用者取得憑證
- 如果要確認是否設定完成, 可以使用 host 指令
- #host -t txt _acme-challenge.YOUR_DOMAIN
- Gandi 最小 TTL 值是 300 秒, 雖然他要求 1 秒的 TTL, 不過只要等 300 秒, 還是可以檢查 Value, 所以不影響
- ca_bundle.crt - 中繼憑證
- certificate.crt - 公鑰
- private.key - 私鑰
- ca_bundle.crt - 中繼憑證
- certificate.crt - 公鑰
- private.key - 私鑰
- 這邊注意第一個指令是用 > 輸出導向, 然後後面是用 >> 附加的方式
- certificate.crt 以及 ca_bundle.crt 順序要注意
- 加入上面紅色部分
Mar 7th, 2020
使用 curl 測試 CDN 小記
- -I, --head (HTTP FTP FILE) Fetch the headers only! 顯示 Headers
- Cache-Control:
- public: 如果回應標記為「public」,即使具備關聯的 HTTP 認證,甚至回應狀態碼無法正常快取,回應也可以供使用者快取。在大多數情況下,「public」並不是必要項目,因為明確的快取資訊 (例如「max-age」) 已表示 回應可供快取。
- max-age=31536000
- 最多快取 31536000 秒, 也就是 365 天
- X-Cache: 是否在 CDN 有快取
- HIT: 在 CDN 上有快取
- MISS: 在 CDN 上面沒有快取, 會跟原站抓
- X-Amz-Cf-Pop: 這個欄位是快取的站, 這邊可以觀察是 Taipei 的 Pop 點
- 但是不同的供應商, 會有不同的欄位, Cloudflare 可能就是 CF-RAY: 56fc8a38f94545d0-TPE
- ETag:
- ETag HTTP 標題傳遞驗證權杖, 透過驗證權杖進行高效率的資源更新檢查:如果資源未變更,則不會傳輸任何資料
- Expires: 過期時間
- 瀏覽器收到這個 Response 之後就會把這個資源給快取起來,當下一次使用者再度造訪這個頁面或是要求這個圖片的資源的時候,瀏覽器會檢視「現在的時間」是否有超過這個 Expires。如果沒有超過的話,那瀏覽器「不會發送任何 Request」,而是直接從電腦裡面已經存好的 Cache 拿資料。
- 從 Chrome 觀察
- RFC2616 規範 max-age 會蓋掉 Expires, 所以實際上用到的是 Cache-Control: max-age
- X-cache: Miss from cloudfront ( Cloudfront 上面沒有快取 ), 所以 CDN 會跟原站抓
- 這邊也可以觀察到沒有 age 的 header, 也就是說沒有物件在 CDN 上已經快取的時間
- 也可以去觀察 x-cache-server 以及 x-image-server 資訊
- last-modified:
- 會跟 If-Modified-Since 搭配使用, 如果超過時間但是沒有變動, 還是會從快取出
- 這邊可以觀察到 CloudFront 已經有資料, 然後也有 age 的資料
- 這邊使用 -v 來顯示詳細資訊
- --tlsv1.0 指定使用 TLS 1.0 協定
- 這邊可以觀察到 使用 TLS 1.0 是被拒絕的
- 其實如果沒有特別指定, 會用比較高的版本去連接
- 這邊可以觀察 TLS 1.1 and TLS 1.2 都支援
- -k, --insecure
- -s, --silent, Silent or quiet mode. Don't show progress meter or error messages.
- -v, --verbose
- -o, --output <file>
- public
- 可以由任何快取給存取
- private
- 快取只給一個使用者使用,且不能被共用的快取伺服器給儲存過。隱私視窗(無痕模式)的快取就可能是這樣子。
- no-cache
- 快取伺服器在把已儲存的複製版本傳給請求者之前,先會送一個請求給網頁伺服器做驗證
- no-store
- 快取不該存取任何的使用者請求或者伺服器的回覆。每個請求都是送到原始的伺服器去取得資源。
- 參考 firefox 上面的文件 https://developer.mozilla.org/zh-TW/docs/Web/HTTP/Caching