小编Gar*_*aid的帖子

我一直在一家小型软件开发公司管理 IT 职能，该公司在 5 年内从 10 名用户增长到 70 名用户。

公司中的大多数用户都在办公室工作，但一些关键用户远程工作。

一开始，Skype 成为办公室工作人员和远程工作人员之间沟通的事实上的工具。随着公司的发展和更多远程工作人员的加入，Skype 已成为公司生态系统的一部分。

在过去的 18 个月中，Skype 的可靠性有所下降。我最初将此归因于某个 ISP 的问题，但在此期间，我们已经搬迁了与完全不同的 ISP 签约的办公室，增加了我们的同步光纤宽带 (20mbps)，并安装了新的网络硬件。然而 Skype 问题仍然存在。

远程用户的标准抱怨是，当他们与朋友、母亲、妻子等交谈时，Skype 很好，但与办公室中的某人交谈时，他们经常出现掉线、像素化和消音。

在尝试解决这个问题超过 2 年之后，我开始怀疑 Skype 是否适合这种环境的工具。公司的所有基础设施都是基于云的，因此进出办公室的数据流不断，显然会不时达到峰值。我们也是基于 Apple 的，因此经常会同时在多个系统上从 iTunes 下载内容。

此外，可能会有多个 Skype VC 电话同时进行。我们通常会在早上 09:00 到 11:00 之间看到问题，当我们召开所有涉及远程开发人员的站立会议时。

每当我们遇到这些问题时，我们都会将宽带增加 5mbps，这会使事情变得更好几个月，然后我们会增加一些员工，然后重新开始。

我的理论是，这些在住宅连接中通常不会出现的不可避免的峰值会影响 Skype 音频和视频。有了公司的 IT 配置文件，让 Skype 之类的东西始终如一地工作几乎是不可能的。也许 Skype 的专用互联网连接将是一个解决方案？

我在 AWS 和我的公司 LAN 之间设置了一个 Amazon VPC。

最初，当我设置它时，我为以下 CIDR 指定了静态路由：

10.55.55.0/24 10.77.77.0/24 10.99.99.0/24

我在 VPC 中设置了以下 CIDR：

10.44.0.0/16

这一切都很好。

我的公司 LAN 上现在有一个新网络：10.55.54.0/24

为此，我在主路由表中添加了一条新路由，指向与其他路由相同的 vgw。

当我知道查看路由时，我看到原始 3 条路由被传播，但第 4 条新路由没有。

在 10.44.0.0/16 中的服务器实例上，我仍然可以连接到现有 3 个 CIDR 中的主机，但我没有看到新 CIDR 的任何路由：

[server]$ traceroute 10.55.55.88
traceroute to 10.55.55.88 (10.55.55.88), 30 hops max, 60 byte packets
1  169.254.254.37 (169.254.254.37)  0.543 ms  0.524 ms  0.504 ms
2  169.254.254.5 (169.254.254.5)  1.278 ms  1.007 ms  0.985 ms
3  169.254.254.2 (169.254.254.2)  32.596 ms 169.254.254.6 (169.254.254.6)  35.244 ms     169.254.254.2 (169.254.254.2) …

我想创建一个 IAM 策略，允许用户按如下方式部署实例：

1. 他们只能使用 1 个 AMI
2. 他们只能部署到 1 个特定的 VPC 子网
3. 他们只能使用 1 个特定的 VPC 安全组

此场景在此处的 VPC 文档中得到解决（示例 4）：

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_IAM.html#subnet-sg-example-iam

我已经尝试过我自己的策略版本：

{
"Version": "2012-10-17",
"Statement":[{
    "Effect":"Allow",
    "Action": "ec2:RunInstances",
    "Resource": [
        "arn:aws:ec2:eu-west-1:937821706121:image/ami-141ac363",
        "arn:aws:ec2:eu-west-1:937821706121:subnet/subnet-733de516",
        "arn:aws:ec2:eu-west-1:937821706121:network-interface/*",
        "arn:aws:ec2:eu-west-1:937821706121:volume/*",
        "arn:aws:ec2:eu-west-1:937821706121:key-pair/*",
        "arn:aws:ec2:eu-west-1:937821706121:security-group/sg-4aa80f2f"
    ]
}]
}

它不起作用。当我尝试以应用此策略的组成员的用户身份部署实例时，我的权限被拒绝。我是否需要包含其他一些策略以允许以这种方式部署实例？

我继承了一个 Amazon AWS 环境，在该环境中，Root 帐户密钥已被广泛分发，以便备份到 S3 存储桶。

我需要追踪密钥的使用位置，以便我可以用权限有限的密钥替换它。

我在存储桶上设置了事件通知，以将消息发送到 SQS Q 以告诉我何时创建对象。这些消息包含发起对象请求的服务器的 IP 地址，但不包含使用中的 IAM 密钥（仅包含使用中的亚马逊账户的 ID）。

Cloudtrail 在这里也没有用，因为 S3 请求不会写入 Cloudtrail。

有没有其他方法可以告诉我在发出 S3 请求时正在使用哪个密钥？

请注意，这不是建议的解决方案，只是对我所做工作的更新。使用上面建议的方法。我应该更新问题。

感谢 EEAA

我考虑过，但是有数百个桶在起作用，所以这不太实用。我希望 IAM 中的某个地方可以跟踪密钥使用情况。

鉴于我已经设置了事件和 SQS，我最终要做的是在可能的存储桶上设置事件，并将 S3 事件时间戳与 IAM 上次使用的键时间戳提供的时间戳相匹配。

这为我提供了在使用根密钥的同时向 S3 发送请求的服务器的 IP 地址，从中我能够在几台服务器上找到根密钥。希望当我在接下来的几天检查根密钥时，我将不再看到它在使用中。

如果没有，我可能必须按照您的建议在单个存储桶上设置日志记录。

我目前正在将 DNS 区域从一个 DNS 服务器提供商迁移到另一个。我试图估计更改传播需要多长时间，并了解如果我选择在中途回滚可能会出现什么延迟。

以前，我认为我可以这样做：

dig example.com ns

要查看 NS 记录上剩余的 TTL 是多少，但现在我明白此 NS 记录是区域中子域的 NS 记录，而不是源自根服务器的 NS 记录，后者是最终决定查询将发送到哪个名称服务器。

我通过在每个提供程序的区域中设置测试记录来对此进行测试：

Provider1 test.example.com 10.0.0.1
Provider2 test.example.com 192.168.0.1

对于这两个提供商，NS 上的 TTL 记录为 0，而 TLD 注册商级别的 NS 记录指向 Provider1 的名称服务器。

当我在 Provider1 的区域中更改 NS 记录时，我几乎可以立即看到这反映在 NS 查询中（使用“dig example.com ns”）。

但是，当我发送对 A 记录的查询时，即

test.example.com

它总是返回

10.0.0.1

无论提供者 1 的区域中的 NS 记录设置为什么。

在此基础上，我得出结论，区域文件中的 NS 记录与迁移无关，并且只有 TLD 级别的名称服务器记录是重要的。

但是，我无法了解那里的更改可能会向前或向后传播多长时间。

对于从 TLD 根服务器发出的记录，是否可以查询正在使用的 TTL？

我正在尝试在使用多种应用程序技术（Java、Rails 和各种 DB）的环境中集中日志记录。

我们希望开发人员使用 Docker Compose 来调用堆栈，但我们希望他们引用中央日志源 (ELK) 来调试问题，而不是尝试打开 shell 以运行 Docker 容器。

应用程序都写入文件系统而不是 STDOUT/STDERR，这会删除与 Docker 日志驱动程序相关联的所有选项，还有日志喷口。

我们所做的是配置容器，让 rsyslog 包含应用程序日志文件，并将这些文件转发到具有 syslog 输入的 logstash。这在将日志从 A 移动到 B 方面起作用，但是基于 syslog 输入在 ELK 中管理多技术日志是可怕的（例如，试图捕获多个 Java 堆栈跟踪或 MySQL 慢查询）。

有一个更好的方法吗？我是否应该在每个容器中运行 logstash，以便我可以将过滤器和编解码器直接应用于日志文件，这样我就不必依赖 syslog 输入？

是否有某种方法可以将 Docker 日志驱动程序与写入文件系统的应用程序日志文件一起使用？

有谁知道我们应该在 2 个 AWS 区域（在本例中为 us-west-2 和 eu-west-2）之间的 VPC 对等连接上看到什么样的数据传输速度？

几周前我们对此进行了测试，发现速度超过每秒 200MB。今天，我们看到每秒约 10MB 的速度。

显然，我们在这里使用的是公共交通网络，因此我们预计会根据时间发生一些变化，但每秒 10MB 似乎非常慢。

鉴于 AWS 促进了 RDS 中数据库的跨区域复制，据推测，他们预计速度会快得多。

我有一些分布在不同 AWS 账户中的 AWS Cloudfront 发行版。

我想将来自这些分布的访问日志存储在单个 AWS 账户的单个 S3 存储桶中。

这是可能的，但没有记录（我可以找到）。

目前尚不清楚日志存储桶需要对 ACL 进行哪些更新，或者需要什么（如果有）存储桶策略。

我似乎需要的是更新存储桶上的 ACL，以将 FULL_CONTROL 赋予 Cloudfront 用于写入日志的其他 AWS 帐户中的任何帐户的规范 ID。

如果其他人已经配置了这个并且可以提供帮助，我将非常感激。

我的公司已经达到了一个临界点，我们在 EBS 存储上的支出值得认真考虑将我们的存储移动到与 AWS Direct Connect 连接的 Co-Lo 位置的 SAN/NAS。

在这方面为 Co-Lo 和 Connectivity 定价很简单，但在这个早期评估阶段为硬件定价非常复杂。

AWS EBS 中的 1TB 存储每年费用为 1,200 美元（每月每 GB 0.10 美元）。

以 300TB 的数量级计算，并假设 3 年折旧，认为我们可以以低于每 TB 3,600 美元的价格获得 Co-Lo SAN/NAS 是否合理？

我们不需要全闪存。IOPS 要求约为 2k IOPS IN+OUT。

我有 2 个 AWS 账户，并使用 IAM 角色设置了跨账户身份验证。

我为第二个账户创建了一个名为 profile 的 AWS CLI，它使用 role_arn 并将我的默认配置文件指定为 source_profile。

对于我的默认配置文件，我将 KEY 和 SECRET 保留为环境变量，而不是 ~/.aws/credentials 文件中的静态字符串。

但是，当我切换到命名配置文件并查询 API 时，出现以下错误：

The source_profile "default" must specify either static credentials or an assume role configuration

有什么方法可以让我在 ~/.aws/credentials 中获得一个命名配置文件来引用我的环境变量凭据而不是静态凭据？