Palo Alto VM-Series Firewall: GlobalProtect — AWS SAML

  GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через AWS SSO. AWS Перед тем как добавить SAML IdP у вас должен быть уже настроен AWS Directory Service   Для начала добавим приложение, для этого переходим «IAM Identity Center» -> «Application assignments» -> «Application» И … Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect — AWS SAML"

Palo Alto VM-Series Firewall: Let’s Encrypt сертификат

PAN-OS позволяет только генерировать самоподписные сертификаты или уже импортировать существующие. Чтобы использовать Let’s Encrypt сертификат, необходимо его запросить на другом устройстве и поэтому в качестве валидации можем использовать только DNS. В качестве DNS провайдера используется AWS Route53, для получения сертификата будем использовать Certbot, так же понадобится установленный и настроенный awscli Получение сертификата Устанавливаем необходимый софт … Продолжить читать "Palo Alto VM-Series Firewall: Let’s Encrypt сертификат"

Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2

  VM-Series Firewall SSH Для того чтобы использовать WebUI необходимо задать пароль администратора, это делается через SSH. После создания инстансов проходит минут 10-15 до того, как Firewall инициализируется и будет доступен по SSH Подключаемся к первому инстансу, SSH пользователь — «admin» И выполняем следующие команды Вводим пароль 2 раза и сохраняем изменения Тоже самое проделываем … Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2"

Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1

  Для обеспечения высокой доступности Palo Alto VM-Series Firewall используется конфигурация active/passive. В которой активный фаервол постоянно синхронизирует свою конфигурацию и информацию об активных сессиях с аналогично настроенным пассивным фаерволом. Существует два варианта достижения HA в AWS: «Secondary IP Move» и «Dataplane Interface Move«. Secondary IP Move При недоступности активного фаервола, пассивный переходит в роль … Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1"

S3 — Монтирование в Linux

Для того, чтобы примонтировать S3 Bucket как файловую системой, необходимо установить s3fs Создадим директорию для монтирования:   И добавим следующее в «/etc/fstab«:   Где: «artem-service-bucket:/upload/» — имя S3 корзины и директория, внутри корзины, которую нужно монтировать «url=https://s3.eu-central-1.amazonaws.com,endpoint=eu-central-1» — регион, в котором расположена S3 корзина «iam_role» — указываем, что будем использовать IAM Role для аутентификации   … Продолжить читать "S3 — Монтирование в Linux"

Terraform — AWS Secrets Manager: Извлечь логин/пароль RDS

Необходимо извлечь логин и пароль от RDS, которые хранятся в AWS Secret Manager и использовать их значения в Terraform коде. Для этого можно воспользоваться следующей конструкцией:   И использовать переменные:

Terraform — AWS SSM: Извлечь содержимое

В SSM Parameter Store содержится JSON следующего вида:   Необходимо извлечь логин и пароль, и использовать их значения в Terraform коде. Для этого можно воспользоваться следующей конструкцией:   И использовать переменные:

Jenkins — Python VirtualEnv с выбором версий

  Для выбора версии питона в пайплайне, нужно чтобы нужные версии были установлены в системе. Дальнейшие действия были выполнены на CentOS 7 и установка бинарников происходила в директорию «/usr/bin/» для удобства, так как в системе уже установлены версии «2.7» и «3.6» из репозитория по данному пути. Устанавливаем зависимости:   Скачиваем нужные исходники нужных версий, в … Продолжить читать "Jenkins — Python VirtualEnv с выбором версий"

AWS — S3: Разрешить публичный доступ к объектам через VPN

Цель: Разрешить публичный доступ на чтение для всех объектов в S3 корзине только используя VPN подключение, для подключения с мира объекты должны быть не публичными. В качестве сервиса VPN используется OpenVPN, который может быть развернут где угодно, поэтому разрешающие правило будем строить на проверки IP адреса.   Для начала нужно узнать список сетей, которые относятся … Продолжить читать "AWS — S3: Разрешить публичный доступ к объектам через VPN"

Python — AWS EBS создание снапшотов на основе тега и хранение только одной последней версии

Данный скрипт ищет EBS в регионе «eu-west-1» с тегом, ключ которого «Application» и значение передается как аргумент, создает снапшот данного EBS. Так же по тому же принципу он ищет снапшот по тегу, и удаляет все, кроме последнего. Пример запуска для создания снапшота:   Пример запуска для удаления старых снапшотов:   main.py: