🆕 Transfer Elastic IP addresses from one AWS account to another:
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#transfer-EIPs-intro
✅ You can transfer Elastic IP addresses to accounts within the same AWS Organization.
✅ You can transfer Elastic IP addresses to standalone AWS accounts outside of AWS Organization.
✅ You can transfer Elastic IP addresses only within the same AWS Region.
❌ You cannot transfer Elastic IP addresses between AWS Organizations.
When you transfer an Elastic IP address, there is a two-step handshake between AWS accounts:
▪️ the source account (either a standard AWS account or an AWS Organizations account) and the transfer accounts.
▪️ when the source account starts the transfer, the transfer accounts have seven hours to accept the Elastic IP address transfer, or the Elastic IP address will return to its original owner.
#VPC
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#transfer-EIPs-intro
✅ You can transfer Elastic IP addresses to accounts within the same AWS Organization.
✅ You can transfer Elastic IP addresses to standalone AWS accounts outside of AWS Organization.
✅ You can transfer Elastic IP addresses only within the same AWS Region.
❌ You cannot transfer Elastic IP addresses between AWS Organizations.
When you transfer an Elastic IP address, there is a two-step handshake between AWS accounts:
▪️ the source account (either a standard AWS account or an AWS Organizations account) and the transfer accounts.
▪️ when the source account starts the transfer, the transfer accounts have seven hours to accept the Elastic IP address transfer, or the Elastic IP address will return to its original owner.
#VPC
🔥10👍2🎉1
⛅ AWS re:Invent 2022 - Advanced VPC design and new Amazon VPC capabilities:
https://www.youtube.com/watch?v=cbUNbK8ZdA0
The main video from each re:Invent — and so every year. 😀
#VPC #Lattice #CloudWatchInternetMonitor #AVA #reInvent
https://www.youtube.com/watch?v=cbUNbK8ZdA0
The main video from each re:Invent — and so every year. 😀
1:26 From the beginning4:33 IPv6 (2021 releases)7:20 ENA Express 💥 New9:54 Network Address Usage13:08 VPC Peering14:07 Transit Gateway19:22 Cloud WAN (2021)25:15 Application networking27:27 VPC Lattice 💥 New37:00 Network Operations37:39 Network Manager38:29 Infrastructure Performance40:23 CloudWatch Internet Monitor 💥 New44:03 AWS Verified Access (AVA) 💥 New#VPC #Lattice #CloudWatchInternetMonitor #AVA #reInvent
👍14🤩1
Теперь можно ссылаться на Security Groups из другой VPC, которая присоединена через Transit Gateway:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#tgw-vpc-rules
Раньше можно было ссылаться на SG из других VPC только через VPC peering, теперь можно из через TGW. Правда для этого потребуется обновить TGW или VPC attachment:
https://docs.aws.amazon.com/vpc/latest/tgw/tgw-sg-updates.html
Особенности:
▪️ Ссылаться через TGW peering нельзя (VPC -> TGW -> TGW peering -> TGW -> VPC, только VPC -> TGW -> VPC).
▪️ Ссылаться можно лишь в правиле для входящего трафика.
▪️ Не работает на древних виртуалках (только Nitro-based EC2 instances).
▪️ Не работает на любых виртуалках, расположенных в древних датацентрах, конкретно подзона
▪️ Не работает, как минимум пока, с PrivateLink и Reachability Analyzer.
Кому-то мелкая вещь и бессмысленная вещь, а кому-то упрощение управление зоопарком Security Groups в сложной сети.
#VPC #TransitGateway #SecurityGroup
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#tgw-vpc-rules
Раньше можно было ссылаться на SG из других VPC только через VPC peering, теперь можно из через TGW. Правда для этого потребуется обновить TGW или VPC attachment:
https://docs.aws.amazon.com/vpc/latest/tgw/tgw-sg-updates.html
Особенности:
▪️ Ссылаться через TGW peering нельзя (VPC -> TGW -> TGW peering -> TGW -> VPC, только VPC -> TGW -> VPC).
▪️ Ссылаться можно лишь в правиле для входящего трафика.
▪️ Не работает на древних виртуалках (только Nitro-based EC2 instances).
▪️ Не работает на любых виртуалках, расположенных в древних датацентрах, конкретно подзона
use1-az3 (которую всегда рекомендовал исключать).▪️ Не работает, как минимум пока, с PrivateLink и Reachability Analyzer.
Кому-то мелкая вещь и бессмысленная вещь, а кому-то упрощение управление зоопарком Security Groups в сложной сети.
#VPC #TransitGateway #SecurityGroup
👍9🤔1😱1
Лучший AWS VPC Terraform модуль для SRE
https://www.youtube.com/watch?v=DFeItULOeHc
Обсудили с Виктором его AWS VPC Terraform модуль:
https://github.com/ViktorUJ/terraform-aws-vpc
Хотите узнать, почему (не) надо писать собственный AWS VPC Terraform модуль — смотрите видео.
Комментарии, критика, а также подписка на канал и пулреквесты в репозитории Виктора — категорически приветствуются.
#Terraform #VPC #video
https://www.youtube.com/watch?v=DFeItULOeHc
Обсудили с Виктором его AWS VPC Terraform модуль:
https://github.com/ViktorUJ/terraform-aws-vpc
Хотите узнать, почему (не) надо писать собственный AWS VPC Terraform модуль — смотрите видео.
Комментарии, критика, а также подписка на канал и пулреквесты в репозитории Виктора — категорически приветствуются.
#Terraform #VPC #video
YouTube
Лучший AWS VPC Terraform модуль для SRE
Обсуждаем AWS VPC Terraform модуль от Виктора Николаева — создателя SRE Learning Platform (бесплатный инструмент для подготовки к CKA/CKS/CKAD/LFCS сертификации). Сравниваем его с самым популярным terraform-aws-vpc модулем от Антона Бабенко.
👍13🔥3👎1🥰1
Теперь можно ссылаться на Security Group из другой VPC не только подключённую через VPC Peering, но и через Transit Gateway:
https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-security-group-referencing-for-aws-transit-gateway/
Для этого потребуется указать опцию. Security Group Referencing support при создании TGW или модифицировать имеющийся.
https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#vpc-attachment-security
⚠️ Также, как и для VPC Peering — работает лишь в том же AWS Region.
⚠️ Не сработает, если между VPC будет подключен AWS Network Firewall.
P.S. Закрыт ещё один гештальт длиной в шесть лет.
#SecurityGroup #VPC #TransitGateway
https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-security-group-referencing-for-aws-transit-gateway/
Для этого потребуется указать опцию. Security Group Referencing support при создании TGW или модифицировать имеющийся.
https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#vpc-attachment-security
⚠️ Также, как и для VPC Peering — работает лишь в том же AWS Region.
⚠️ Не сработает, если между VPC будет подключен AWS Network Firewall.
P.S. Закрыт ещё один гештальт длиной в шесть лет.
#SecurityGroup #VPC #TransitGateway
Amazon
Introducing security group referencing for AWS Transit Gateway | Amazon Web Services
Today, we are introducing support for security group referencing on AWS Transit Gateway. This new feature allows you to create inbound security rules that reference security groups defined in other Amazon Virtual Private Clouds (Amazon VPCs) attached to a…
👍14🔥6❤2
🆕 Shared Security Group 🎉
https://docs.aws.amazon.com/vpc/latest/userguide/security-group-sharing.html
Что ж, свершилось. С момента появления Shared VPC 6 лет назад, это первое, чего хотелось бы иметь в комплекте.
Как круто было пошарить VPC сразу на многие аккаунты! Но каждый раз нужно было решать проблему с Security Groups, которые при этом не шарились. Приходилось писать костыли, создающие Security Groups в каждом аккаунте вручную.
Топил за #Shared_VPC все эти годы, теперь же вместе с Shared Security Group это вообще круто. Шаринг VPC уже давно стал best practices, а вместе с шарингом Transit Gateway это вообще ключевые элементы для построения современной сетевой архитектуры в AWS.
#SecurityGroup #VPC #RAM
https://docs.aws.amazon.com/vpc/latest/userguide/security-group-sharing.html
Что ж, свершилось. С момента появления Shared VPC 6 лет назад, это первое, чего хотелось бы иметь в комплекте.
Как круто было пошарить VPC сразу на многие аккаунты! Но каждый раз нужно было решать проблему с Security Groups, которые при этом не шарились. Приходилось писать костыли, создающие Security Groups в каждом аккаунте вручную.
Топил за #Shared_VPC все эти годы, теперь же вместе с Shared Security Group это вообще круто. Шаринг VPC уже давно стал best practices, а вместе с шарингом Transit Gateway это вообще ключевые элементы для построения современной сетевой архитектуры в AWS.
#SecurityGroup #VPC #RAM
👍20🔥6❤3
VPC Block Public Access или Security Groups для ваших Security Groups
https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-block-public-access/
Ещё один firewall для ваших firewall-ов, который работает на уровне выше, чем отдельная VPC - на уровне AWS аккаунта (вскоре это можно будет раскатывать сразу на всю организацию, но пока лишь на уровне аккаунта в одном регионе).
Желание адекватное — а сделайте нам выключатель, чтобы можно было оптом запретить внешний доступ сразу везде, а не бороздить просторы аккаунта в поисках ресурсов с Security Groups, разрешающих внешний доступ (равно как и запрет врагам и наивным разработчикам такое себе создать).
Теперь можно включить VPC Block Public Access и наличие открытого доступа в интернет, равно как и публичный айпишник, не помогут.
С другой стороны, это дополнительное усложнение сетевой части, ещё уровень абстракции, теперь нужно будет помнить не только про когда-то тобою же предательски настроенные NACL, но ещё и что из-за требований Security Hub был включен VPC Block Public Access. А тебе тут по-быстрому нужно что-то проверить-отладить.
В общем, безопасность продолжает наступать, поднимая сложность на новый уровень.
P.S. Опять обновлять примерно все базовые курсы по AWS. 😁
#VPC
https://aws.amazon.com/blogs/networking-and-content-delivery/vpc-block-public-access/
Ещё один firewall для ваших firewall-ов, который работает на уровне выше, чем отдельная VPC - на уровне AWS аккаунта (вскоре это можно будет раскатывать сразу на всю организацию, но пока лишь на уровне аккаунта в одном регионе).
Желание адекватное — а сделайте нам выключатель, чтобы можно было оптом запретить внешний доступ сразу везде, а не бороздить просторы аккаунта в поисках ресурсов с Security Groups, разрешающих внешний доступ (равно как и запрет врагам и наивным разработчикам такое себе создать).
Теперь можно включить VPC Block Public Access и наличие открытого доступа в интернет, равно как и публичный айпишник, не помогут.
С другой стороны, это дополнительное усложнение сетевой части, ещё уровень абстракции, теперь нужно будет помнить не только про когда-то тобою же предательски настроенные NACL, но ещё и что из-за требований Security Hub был включен VPC Block Public Access. А тебе тут по-быстрому нужно что-то проверить-отладить.
В общем, безопасность продолжает наступать, поднимая сложность на новый уровень.
P.S. Опять обновлять примерно все базовые курсы по AWS. 😁
#VPC
❤8👍5🔥3
Использование Shared VPC подхода на примере Swisscom
https://aws.amazon.com/blogs/industries/automated-networking-with-shared-vpcs-at-swisscom/
#VPC #SharedVPC
https://aws.amazon.com/blogs/industries/automated-networking-with-shared-vpcs-at-swisscom/
#VPC #SharedVPC
👍3⚡1
VPC + BGP = VPC Route Server with dynamic routing inside VPC
https://docs.aws.amazon.com/vpc/latest/userguide/dynamic-routing-route-server.html
You can now dynamically update VPC and internet gateway route tables with your IPv4 or IPv6 routes.
Features include:
- Automatically update route tables with routes learned from BGP peers
- Propagation of the best available routes based on BGP attributes
- Dynamically update routes when network conditions change
- Failure endpoints using BFD
There are still some gaps like the support for route tables associated with virtual private gateways or propagation of routes into a transit gateway route table.
#VPC
https://docs.aws.amazon.com/vpc/latest/userguide/dynamic-routing-route-server.html
You can now dynamically update VPC and internet gateway route tables with your IPv4 or IPv6 routes.
Features include:
- Automatically update route tables with routes learned from BGP peers
- Propagation of the best available routes based on BGP attributes
- Dynamically update routes when network conditions change
- Failure endpoints using BFD
There are still some gaps like the support for route tables associated with virtual private gateways or propagation of routes into a transit gateway route table.
#VPC
👍15😱9🔥3
Resource Groups + PrivateLink
You can use PrivateLink to create a private connection between your VPC and Resource Groups.
https://docs.aws.amazon.com/ARG/latest/userguide/vpc-interface-endpoints.html
You can access Resource Groups as if it were in your VPC, without the use of an internet gateway, NAT device, VPN connection, or Direct Connect.
Instances in your VPC don't need public IP addresses to access Resource Groups.
#ResourceGroup #VPC #PrivateLink
You can use PrivateLink to create a private connection between your VPC and Resource Groups.
https://docs.aws.amazon.com/ARG/latest/userguide/vpc-interface-endpoints.html
You can access Resource Groups as if it were in your VPC, without the use of an internet gateway, NAT device, VPN connection, or Direct Connect.
Instances in your VPC don't need public IP addresses to access Resource Groups.
#ResourceGroup #VPC #PrivateLink
Amazon
Access AWS Resource Groups using an interface endpoint (AWS PrivateLink) - AWS Resource Groups
You can use an AWS PrivateLink to create a private connection between your VPC and AWS Resource Groups.
👍2❤1