AWS Notes

В дополнение к ec2 - ещё и отличный каталог типов инстансов для #RDS - https://ec2instances.info/rds/

#info #comparison

137 views10:07

AWS Notes

При конструировании DNS для #s3 бакет нужно быть максимально внимательным - неоднозначное толкование официальной документации, где говорится про «you can use either of these endpoints» в реальности может давать различные проблемы.
С одной стороны, используя вариант с

.s3.amazonaws.com

даёт в результате перенаправление, а значит изначально #error #307 и лишь потом нужный файл/страницу. Это может приводить к некорректной работе критическим к такому поведению вещей. Например, когда через s3 бакеты подтягиваются конфиг-файлы #nginx, то такое поведение даст ошибку «unexpected end of file, expecting ";" or "}" in /etc/nginx/conf.d/...», т.к. получив 307 он не будет делать ещё один запрос по новому location из ответа. Потому правильно использовать именно вариант типа:

!Join ['',[!Ref Bucket, '.s3-', !Ref 'AWS::Region' , '.amazonaws.com' ]]

Однако бывает и противоположная ситуация, например, с регионом N.Virginia. Для #CloudFront #Origin (в том числе для Logging бакета) DomainName вариант bucket.s3-us-east-1.amazonaws.com даёт стабильные #error 502 для #distribution. Правильный вариант с bucket.s3.amazonaws.com:

Origins:
  - DomainName: !Join ['',[!Ref Bucket, '.s3.amazonaws.com' ]]

#issue

Amazon

Buckets overview - Amazon Simple Storage Service

Store all of your files, known as objects, within a uniquely named Amazon S3 bucket.

146 viewsedited 10:57

AWS Notes

Если при использовании #pg_dump получаем #error схемы #topology

pg_dump: [archiver (db)] query failed: ERROR: permission denied for schema topology

или другого #PostGIS расширения для #Postgres #RDS, то нужно выполнить следующие спеллы:
1. Сменить владельца расширения #rdsadmin на #rds_superuser.
2. Сменить владельца объектов с помощью функции.

alter schema topology owner to rds_superuser;
CREATE FUNCTION exec(text) returns text language plpgsql volatile AS $f$ BEGIN EXECUTE $1; RETURN $1; END; $f$;
SELECT exec('ALTER TABLE ' || quote_ident(s.nspname) || '.' || quote_ident(s.relname) || ' OWNER TO rds_superuser;')
  FROM (
    SELECT nspname, relname
    FROM pg_class c JOIN pg_namespace n ON (c.relnamespace = n.oid) 
    WHERE nspname in ('tiger','topology') AND
    relkind IN ('r','S','v') ORDER BY relkind = 'S')
s;

Amazon

Common DBA tasks for Amazon RDS for PostgreSQL - Amazon Relational Database Service

Learn how to perform some common DBA tasks on DB instances running the Amazon RDS for PostgreSQL database engine.

148 viewsedited 14:37

AWS Notes

Текущие функции #CloudFormation, которые поддерживаются по разным #region.

Amazon

CloudFormation resource specification - AWS CloudFormation

Find files that contain machine-readable specifications for each resource type that CloudFormation supports and a combined "resource spec" file containing resource specifications for all resource types.

123 views07:49

AWS Notes

Рекомендуемый минимальный #db_instance_type для #RDS #Postgres - db.t2.small (minimum size - 20GB), т.к. db.t2.micro не поддерживает шифрование.

#encryption

Amazon

Encrypting Amazon RDS resources - Amazon Relational Database Service

Secure your RDS data by encrypting your DB instances.

127 views11:09

AWS Notes

#credits и #baseline для #t2 и #t3 инстансов - не забываем, что у #t3 два процессора даже для #nano, накопленные кредиты не сбрасываются в течении недели после остановки, да и просто всё выгодней, а цена ниже (чем у #t2).

Amazon

Key concepts for burstable performance instances - Amazon Elastic Compute Cloud

Understand the key concepts and definitions of CPU performance for burstable performance instances.

122 viewsedited 16:30

AWS Notes

#CloudFront нельзя завести на #internal #LoadBalancer, т.к. он не умеет (не может) работать с элементами в #VPC, потому с #CloudFront — только #public (#internet-facing) #LoadBalancer.

113 views06:19

AWS Notes

#DynamoDB #docker образ для локального #development - https://hub.docker.com/r/amazon/dynamodb-local/.

114 viewsedited 05:58

AWS Notes

Завести #external (internet-facing/#public) #LoadBalancer (#ELB/#ALB/#NLB) на расположенные в #private #subnet виртуалки никаких проблем нет. Просто указываем для него, как и положено, #DMZ #subnet (#public):

albExt:
  Type: AWS::ElasticLoadBalancingV2::LoadBalancer
  Properties:
    Name: externalAlb
    Scheme: internet-facing
    Subnets: # DMZ if public
      - !ImportValue subnetVpc4DmzA
      - !ImportValue subnetVpc4DmzB
    SecurityGroups:
      - !Ref sgAlb

А виртуалкам, расположенным и в #private_subnet добавляем в #security_group правила полного доступа с данного балансера:

sgInstance:
  Type: AWS::EC2::SecurityGroup
  Properties:
    VpcId: !ImportValue vpc4
    GroupDescription: Full access for ALB
    SecurityGroupIngress:
      - IpProtocol: tcp
        FromPort:   0
        ToPort:     65535
        SourceSecurityGroupId: !Ref sgAlb
        Description: All TCP trafic - only for ALB

#CloudFormation #templates

Amazon Web Services, Inc.

Attach EC2 instances with private IP addresses to an internet-facing load balancer

I have an internet-facing Elastic Load Balancing (ELB) load balancer. I want to attach backend Amazon Elastic Compute Cloud (Amazon EC2) instances located in a private subnet.

121 viewsedited 06:09

AWS Notes

Чтобы защитить #CloudFormation стэки от удаления/изменения (#termination_protection неудобно и даёт лишь защиту от удаления) в каком-то аккаунте (предполагая, что он входит в AWS #Organizations), можно добавить следующее #SCP:

"CloudFormation CRUD Deny"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1539948147000",
      "Effect": "Deny",
      "Action": [
        "cloudformation:CreateChangeSet",
        "cloudformation:CreateStack",
        "cloudformation:CreateStackInstances",
        "cloudformation:CreateStackSet",
        "cloudformation:CreateUploadBucket",
        "cloudformation:DeleteChangeSet",
        "cloudformation:DeleteStack",
        "cloudformation:DeleteStackInstances",
        "cloudformation:DeleteStackSet",
        "cloudformation:ExecuteChangeSet",
        "cloudformation:SetStackPolicy",
        "cloudformation:UpdateStack",
        "cloudformation:UpdateStackInstances",
        "cloudformation:UpdateStackSet",
        "cloudformation:UpdateTerminationProtection"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

#blue_green_deployment

101 viewsedited 07:23

AWS Notes

При использовании #DNS #Alias нужно учитывать, что #HostedZoneId разный для разных Alias Target.
Для #CloudFront он фиксированный Z2FDTNDATAQYW2:

aliasSite:
  Type: AWS::Route53::RecordSet
  Properties:
    HostedZoneName: !Join ['', [!Ref MainDomain, '.']]
    Name:           !Ref MainDomain
    Type:           A
    AliasTarget:
      DNSName:      !Ref CnameSite
      HostedZoneId: Z2FDTNDATAQYW2

Для #LoadBalancer нужно получать его через #GetAtt, для #ELB это:

HostedZoneId1:
  Value: !GetAtt [elbExt, '

CanonicalHostedZoneNameID']

Для #ALB это:

HostedZoneId1:
  Value: !GetAtt [albExt, '

CanonicalHostedZoneID']

Для #alias на другую #RecordSet нужно получать #HostedZoneId домена:

def Result = sh( script: 'aws route53 list-hosted-zones-by-name --dns-name '+gos.MainDomain, returnStdout: true )
def ResultJson = readJSON ( text: Result )
Stack['dns']['params']['HostedZoneIdDomain'] = ResultJson['HostedZones'][0]['Id'].split('/')[2]

Amazon

Values specific for simple alias records - Amazon Route 53

When you create alias records, you specify the following values. For more information, see .

121 views07:51

AWS Notes

При использовании #ELB (созданного через #CloudFormation) с большим количеством инстансов, стоит помнить про фичу Cross-Zone Load Balancing, которая отключена по умолчанию (при создании балансера через консоль - включена по умолчанию).
Итого: для #ELB её нужно включать для более гладкого распределения трафика. У #ALB всегда включена, у #NLB - нужно включать самому.

Amazon

How Elastic Load Balancing works - Elastic Load Balancing

Learn more about how Elastic Load Balancing works.

119 viewsedited 08:15

AWS Notes

#EC2 #network #performance cheat-sheet.

#info

cloudonaut

EC2 Network Performance Cheat Sheet

What is the maximum network throughput of your EC2 instance? The answer to this question is key to choosing the type of an in...

126 views11:37

AWS Notes

Пример использования Amazon #Connect + #Lambda +Amazon #Lex для реализации #ASR (Automatic #Speech_Recognition).

Greenice

Creating a Call-Center Bot with AWS Connect and Amazon Lex

A case study of an attempt to use AWS Lex in pair with AWS Connect to create a chatbot that takes the orders for an online shop! Was it a success or fail?

120 viewsedited 15:33

AWS Notes

Ещё один #tutorial для #serverless #chatbot на Amazon #Lex + #Lambda + Amazon #Aurora

Hackernoon

Building a serverless chatbot with AWS Lex, Lambda and Amazon Aurora: Part 1. | HackerNoon

Serverless technology is here to stay, <a href="https://martinfowler.com/articles/serverless.html" target="_blank">and the benefits of a serverless architecture for your app or product are huge.</a> In this tutorial, we will deploy a small chatbot with AWS…

136 views15:45

AWS Notes

Для #ECS наконец появились образы на базе #AMILinux2 - ECS-Optimized Amazon Linux 2 AMI. Для автоматического получения добавляем '-2' в конце. Или скрипт для #CloudFormation #templates:

for region in $(aws ec2 describe-regions --region us-east-1 --query 'Regions[].[RegionName]' --output text | sort); \
do printf "    ${region}:\n      AmiId: \
$(aws ssm get-parameters --names /aws/service/ecs/optimized-ami/amazon-linux-2/recommended/image_id \
--query 'Parameters[0].[Value]' --output text --region $region)\n" ; done

Amazon

Amazon ECS-Optimized Amazon Linux 2 AMI - Amazon Elastic Container Service

The Amazon ECS-optimized Amazon Linux 2 AMI is the recommended AMI to use for launching your Amazon ECS container instances. Amazon ECS provides separate Amazon ECS-optimized Amazon Linux 2 AMIs for x86 and arm64 architecture.

137 views06:20

AWS Notes

Операции, требующие root-логина. #root

Amazon

AWS account root user - AWS Identity and Access Management

Manage the root user for an AWS account, including changing its password, and creating and removing access keys.

130 views06:33

AWS Notes

Использование #Lambda в #VPC сильно замедляет её старт, точней очень сильно (10 секунд плюс). #issue

theburningmonk.com

I’m afraid you’re thinking about AWS Lambda cold starts all wrong

Learn to build production-ready serverless applications on AWS

135 views07:53

AWS Notes

И ещё про такую же #issue — #API_Gateway + #lambda + #vpc #performance.

Zrzka's adventures

AWS journey — API Gateway & Lambda & VPC performance

We decided to hide some EC2 instances in private subnets (VPC). They’re accessible via bastion hosts or via API (API Gateway & Lambda). Works well, but there’s one weird issue — cold lambda start time is over

141 views08:01

AWS Notes

Используя какую-то #IAM роль для переключения в другую роль, нужно не забывать про role chaining:
Using the credentials for one role to assume a different role is called role chaining. When you use role chaining, your new credentials are limited to a maximum duration of one hour.
Это в, в частности, объясняет раздражающую всех проблему при использовании AWS #SSO - когда через час сбразывается сессия.

Amazon

Methods to assume a role - AWS Identity and Access Management

Learn the different methods you can use to assume an IAM role.

147 views08:16

AWS Notes

Cloud Custodian https://capitalone.github.io/cloud-custodian/docs/index.html подойдёт для реализации #compliance, проверки #policy и всевозможных требований к различным #environment. При этом #serverless и помимо #AWS поддерживает также #Azure и #google #GCP.

143 viewsedited 10:21

About

Blog

Apps

Platform