Телеграмм чат группы aws

2020 July 29

VM

Viktor Mazankin in AWS_RU

Denis 災 nobody

Это очень жирный локалхост, как стойка на 20+ дюймов

источник

21:53пожаловаться #1

2020 July 30

MS

Maxim Shilov in AWS_RU

Zakhar Bessarab

господа, подскажите где ошибаюсь
есть:
* SG с правилом на доступ по 443 порту с неё-же
* инстанс А с eip и этой sg
* инстанс Б c публичным адресом(не eip) и этой sg
коннекта с инстанса Б на инстанс А по публичному ip:443 - нет
коннект с инстанса Б на инстанс А по приватному ip:443 - есть
почему нет коннекта в первом случае?

может в nacl закрыты порты? или это все в дефолтном vpc?

источник

00:09пожаловаться #2

ZB

Zakhar Bessarab in AWS_RU

Maxim Shilov

может в nacl закрыты порты? или это все в дефолтном vpc?

Vpc свой, но наклом не закрыто
Оказалось что sg и должно применяться к внутренним адресам и интерфейсам:
When you specify a security group as the source for a rule, traffic is allowed from the network interfaces that are associated with the source security group for the specified protocol and port. Incoming traffic is allowed based on the private IP addresses of the network interfaces that are associated with the source security group (and not the public IP or Elastic IP addresses). Adding a security group as a source does not add rules from the source security group. For an example, see Default security group for your VPC.

источник

00:12пожаловаться #3

DZ

Dmytro Zavalkin in AWS_RU

Zakhar Bessarab

господа, подскажите где ошибаюсь
есть:
* SG с правилом на доступ по 443 порту с неё-же
* инстанс А с eip и этой sg
* инстанс Б c публичным адресом(не eip) и этой sg
коннекта с инстанса Б на инстанс А по публичному ip:443 - нет
коннект с инстанса Б на инстанс А по приватному ip:443 - есть
почему нет коннекта в первом случае?

Потому что при выходе траффика в публичный интернет теряется SG ID

источник

08:32пожаловаться #4

DZ

Dmytro Zavalkin in AWS_RU

Nikolai

и если его заменить на Calico, то его можно обойти, вроде ...

Можно, работает и калико уже сто лет как может хранить данные свои в CR куба а не напрямую в etcd

источник

08:33пожаловаться #5

S

Stefan in AWS_RU

Dmytro Zavalkin

Можно, работает и калико уже сто лет как может хранить данные свои в CR куба а не напрямую в etcd

так ведь калико в eks только для network policies

источник

09:41пожаловаться #6

vk

victor kurguzov in AWS_RU

товарищи, как бы это посмотреть, что столько времени можно делать-то?

creating CloudFormation changeset...
[████████████████████████████████████████████████████▉·····] (31/34)

9:48:53 AM | CREATE_IN_PROGRESS   | AWS::ECS::Service                     | redis_service/Service
9:48:53 AM | CREATE_IN_PROGRESS   | AWS::ECS::Service                     | postgres_service/Service

источник

10:13пожаловаться #7

B

Bsod in AWS_RU

идешь в ecs, открываешь сервис, смотришь на контейнеры которые запускаются/стопаются, смотришь причину стопов. Возможно контейнеры не могут стартануть по какой-то причине а ecs героически надеется что это когда-нибудь закончится и они стартанут.
регулярно такое бывает

источник

10:15пожаловаться #8

B

Bsod in AWS_RU

узнав причину выставляешь у сервиса desired в ноль, сервис становится стабильным и клаудформейшн уходит дальше )

источник

10:16пожаловаться #9

B

Bsod in AWS_RU

а потом героически фиксишь, вновь апдейтишь и все довольны :3

источник

10:16пожаловаться #10

B

Bsod in AWS_RU

иногда цикл требуется повторить

источник

10:17пожаловаться #11

vk

victor kurguzov in AWS_RU

Bsod

идешь в ecs, открываешь сервис, смотришь на контейнеры которые запускаются/стопаются, смотришь причину стопов. Возможно контейнеры не могут стартануть по какой-то причине а ecs героически надеется что это когда-нибудь закончится и они стартанут.
регулярно такое бывает

у контейнера статус PENDING, это все что я вижу

источник

10:30пожаловаться #12

B

Bsod in AWS_RU

подожди пока упадет

источник

10:31пожаловаться #13

vk

victor kurguzov in AWS_RU

Bsod

подожди пока упадет

едрид-мадрид, он выходит не могу образ спулить 😳

Status reason     CannotPullContainerError

источник

10:37пожаловаться #14

B

Bsod in AWS_RU

ну вот :)

источник

10:37пожаловаться #15

vk

victor kurguzov in AWS_RU

а вот кажется и причина

If you're launching tasks in a public subnet, choose ENABLED for Auto-assign public IP when you launch a task in the Amazon EC2 console

источник

10:40пожаловаться #16

B

Bsod in AWS_RU

Угу. Вроде авс дает всю нужную инфу что бы дебажить, но её как-то надо уметь искать :)

источник

10:42пожаловаться #17

DZ

Dmytro Zavalkin in AWS_RU

Stefan

так ведь калико в eks только для network policies

в смысле?

источник

10:45пожаловаться #18

S

Stefan in AWS_RU

Dmytro Zavalkin

в смысле?

https://docs.aws.amazon.com/eks/latest/userguide/calico.html

Amazon

Installing Calico on Amazon EKS - Amazon EKS

Project Calico is a network policy engine for Kubernetes. With Calico network policy enforcement, you can implement network segmentation and tenant isolation. This is useful in multi-tenant environments where you must isolate tenants from each other or when you want to create separate environments for development, staging, and production. Network policies are similar to AWS security groups in that you can create network ingress and egress rules. Instead of assigning instances to a security group, you assign network policies to pods using pod selectors and labels. The following procedure shows you how to install Calico on linux worker nodes in your Amazon EKS cluster. To install Calico on Windows worker nodes, see

источник

11:19пожаловаться #19

S

Stefan in AWS_RU

это не полнценная возможность использовать calico cni, вместо aws vpc cni

источник

11:20пожаловаться #20