A
Ого, не сталкивался с такой жестью. Поздравляю с переездом тогда
Спасибо, как оказалось, мария во многих вариантах, которые описаные в доках, не поддерживаются
Size: a a a
2020 October 28
AT
Сегодня перетянули прод базу с марии на аврору, шли к этому почти месяц. Проверили на фейловер и нагрузку, всё выдержали. Просто решил похвалится, рад тому, что не буду по ночам дёргать саппорт.
Как оказалось, репликация по бинлогам из марии в аврору невозможна и не совместима
Как оказалось, репликация по бинлогам из марии в аврору невозможна и не совместима
2020 October 29
AZ
До этого я никогда с голым IPsec не работал, только с (LT2P|GRE|IPIP)/IPsec.
На выходных изучал голый IPsec, настраивал между двумя микротиками - все ок.
Между AWS - никак.
Сначала на последней ROS, пробовал настраивать по аналогии, как было настроено между двумя микротиками. То есть только один туннель, без 169.254 сети внутри.
1. Выставлял на AWS для двух фаз те же настройки, но не указывал на стороне AWS local/remote частные подсети. Туннель устанавливался, SA в микротике отображались, но трафик не ходил по нему. Пакеты в Tx отобрадались, но в Rx было пусто (пакеты уходили в туннель, но не возвразались обратно?)
2. Указал на стороне AWS частные подсети обе. Но в этом случае туннель перестал устанавливаться. В микротике Installed SAs отображалась только одна, и спустя время совсем пропадала.
Решил настроить через конфигурацию, которую предлагает AWS (по кнопке download configuration). Версия ROS там была старая, я пытался перенести те же настройки на актуальную - неуспешно.
Сейчас откатил ROS на старую версию (чтобы инструкция совпадала), делал все как в файле с конфигурацией - так же неуспешно
Я так же не понимаю зачем AWS дает два туннеля (резерв?) и почему возникает какой-то inside CIDR 169.254
Смотрел теорию по настройке на cisco - никакого внутреннего туннеля нет.
Скачивал конфигурацию так же своего туннеля для cisco и pfsense - никаких упоминаний 169.254 нет, в отличие от конфигурации для ROS
На выходных изучал голый IPsec, настраивал между двумя микротиками - все ок.
Между AWS - никак.
Сначала на последней ROS, пробовал настраивать по аналогии, как было настроено между двумя микротиками. То есть только один туннель, без 169.254 сети внутри.
1. Выставлял на AWS для двух фаз те же настройки, но не указывал на стороне AWS local/remote частные подсети. Туннель устанавливался, SA в микротике отображались, но трафик не ходил по нему. Пакеты в Tx отобрадались, но в Rx было пусто (пакеты уходили в туннель, но не возвразались обратно?)
2. Указал на стороне AWS частные подсети обе. Но в этом случае туннель перестал устанавливаться. В микротике Installed SAs отображалась только одна, и спустя время совсем пропадала.
Решил настроить через конфигурацию, которую предлагает AWS (по кнопке download configuration). Версия ROS там была старая, я пытался перенести те же настройки на актуальную - неуспешно.
Сейчас откатил ROS на старую версию (чтобы инструкция совпадала), делал все как в файле с конфигурацией - так же неуспешно
Я так же не понимаю зачем AWS дает два туннеля (резерв?) и почему возникает какой-то inside CIDR 169.254
Смотрел теорию по настройке на cisco - никакого внутреннего туннеля нет.
Скачивал конфигурацию так же своего туннеля для cisco и pfsense - никаких упоминаний 169.254 нет, в отличие от конфигурации для ROS
Йуху, повторил то же самое, что и ранее делал. Только на стороне VPC нужного добавил маршрут к локальной сети. Заработало. Без всяких inbound 169.254
MS
Think of AWS Nitro Enclaves as a way to have another highly-isolated machine connected to your EC2 instance via a single cable. The separation and isolation is much stronger than containers provide. But in terms of your application, it can be similar; you split up the portions of your application that operate on sensitive data and put those locked away inside the enclave. This is similar to how applications can be split up across two or more containers.
A
Sergey Ch
Как переезжали в итоге? DMS? full load + cdc?
Создали реплику с бинлогами на 72 часа.
Выкачали БД без данных и заресторили в аврору
DMSом выкачали только данные + репликация несколько дней для сверки данных
Переключили на аврору
DMS с ошибками выкачивал всю базу, по этому пришлось схему ресторить, завелось отлично
Выкачали БД без данных и заресторили в аврору
DMSом выкачали только данные + репликация несколько дней для сверки данных
Переключили на аврору
DMS с ошибками выкачивал всю базу, по этому пришлось схему ресторить, завелось отлично
SC
Спасибо
AE
Коллеги, в какую сторону смотреть. Есть ecs в нем таск дефинишен. Есть эластик в который необходимо осуществить доступ чере iam
Через что корректнее организовать доступ контейнера к эластику ? (вижу 2 пути, отдельный пользак или роли+полиси)
Через что корректнее организовать доступ контейнера к эластику ? (вижу 2 пути, отдельный пользак или роли+полиси)
DK
Коллеги, в какую сторону смотреть. Есть ecs в нем таск дефинишен. Есть эластик в который необходимо осуществить доступ чере iam
Через что корректнее организовать доступ контейнера к эластику ? (вижу 2 пути, отдельный пользак или роли+полиси)
Через что корректнее организовать доступ контейнера к эластику ? (вижу 2 пути, отдельный пользак или роли+полиси)
iam роли более безопасны
KT
Коллеги, в какую сторону смотреть. Есть ecs в нем таск дефинишен. Есть эластик в который необходимо осуществить доступ чере iam
Через что корректнее организовать доступ контейнера к эластику ? (вижу 2 пути, отдельный пользак или роли+полиси)
Через что корректнее организовать доступ контейнера к эластику ? (вижу 2 пути, отдельный пользак или роли+полиси)
если речь про задачу в ECS то исключительно через Task Role
AE
если речь про задачу в ECS то исключительно через Task Role
спасибо Но в эластике свое полиси еще есть и получается, в нем тоже прописать разрешающую политику на эту роль делать?
KT
спасибо Но в эластике свое полиси еще есть и получается, в нем тоже прописать разрешающую политику на эту роль делать?
полиси в эластике - можно линк?
KT
не совсем понимаю о чем речь
AE
не совсем понимаю о чем речь
KT
а, понял
KT
это полиси которая вешается на сам эластик
KT
и она как бы говорит “все кто в полиси указан и ко мне зайдет - может делать Х”
KT
Это скорее для тех кейсов, когда вы не контроллируете клиентов, которые заходят в ЕС