Palo Alto VM-Series Firewall: GlobalProtect — AWS SAML

  GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через AWS SSO. AWS Перед тем как добавить SAML IdP у вас должен быть уже настроен AWS Directory Service   Для начала добавим приложение, для этого переходим «IAM Identity Center» -> «Application assignments» -> «Application» И … Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect — AWS SAML"

Palo Alto VM-Series Firewall: Let’s Encrypt сертификат

PAN-OS позволяет только генерировать самоподписные сертификаты или уже импортировать существующие. Чтобы использовать Let’s Encrypt сертификат, необходимо его запросить на другом устройстве и поэтому в качестве валидации можем использовать только DNS. В качестве DNS провайдера используется AWS Route53, для получения сертификата будем использовать Certbot, так же понадобится установленный и настроенный awscli Получение сертификата Устанавливаем необходимый софт … Продолжить читать "Palo Alto VM-Series Firewall: Let’s Encrypt сертификат"

Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2

  VM-Series Firewall SSH Для того чтобы использовать WebUI необходимо задать пароль администратора, это делается через SSH. После создания инстансов проходит минут 10-15 до того, как Firewall инициализируется и будет доступен по SSH Подключаемся к первому инстансу, SSH пользователь — «admin» И выполняем следующие команды Вводим пароль 2 раза и сохраняем изменения Тоже самое проделываем … Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2"

Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1

  Для обеспечения высокой доступности Palo Alto VM-Series Firewall используется конфигурация active/passive. В которой активный фаервол постоянно синхронизирует свою конфигурацию и информацию об активных сессиях с аналогично настроенным пассивным фаерволом. Существует два варианта достижения HA в AWS: «Secondary IP Move» и «Dataplane Interface Move«. Secondary IP Move При недоступности активного фаервола, пассивный переходит в роль … Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1"

S3 — Монтирование в Linux

Для того, чтобы примонтировать S3 Bucket как файловую системой, необходимо установить s3fs Создадим директорию для монтирования:   И добавим следующее в «/etc/fstab«:   Где: «artem-service-bucket:/upload/» — имя S3 корзины и директория, внутри корзины, которую нужно монтировать «url=https://s3.eu-central-1.amazonaws.com,endpoint=eu-central-1» — регион, в котором расположена S3 корзина «iam_role» — указываем, что будем использовать IAM Role для аутентификации   … Продолжить читать "S3 — Монтирование в Linux"

AWS — S3: Разрешить публичный доступ к объектам через VPN

Цель: Разрешить публичный доступ на чтение для всех объектов в S3 корзине только используя VPN подключение, для подключения с мира объекты должны быть не публичными. В качестве сервиса VPN используется OpenVPN, который может быть развернут где угодно, поэтому разрешающие правило будем строить на проверки IP адреса.   Для начала нужно узнать список сетей, которые относятся … Продолжить читать "AWS — S3: Разрешить публичный доступ к объектам через VPN"

Python — AWS EBS создание снапшотов на основе тега и хранение только одной последней версии

Данный скрипт ищет EBS в регионе «eu-west-1» с тегом, ключ которого «Application» и значение передается как аргумент, создает снапшот данного EBS. Так же по тому же принципу он ищет снапшот по тегу, и удаляет все, кроме последнего. Пример запуска для создания снапшота:   Пример запуска для удаления старых снапшотов:   main.py:    

Python — AWS S3 хранить N последних артефактов

Данный скрипт получает список всех директорий в корзине и удаляет все объекты в каждой директории, кроме последних «N» указанных. Для запуска скрипта нужно передать два аргумента: Имя корзины Количество последних хранимых объектов Пример запуска:   main.py:

EKS — Зашифровать текущий PV (EBS Volume)

За основу был взят ответ на gitmemory Для того, чтобы зашифровать уже созданный EBS Volume, нужно сделать из него снапшот. Затем из созданного снапшота создать диск в том же регионе, что и оригинальный, так же указать KMS ключ для шифрования. Затем сохраняем манифест текущего PV в файл:   Редактируем файл, заменив ID оригинального диска на … Продолжить читать "EKS — Зашифровать текущий PV (EBS Volume)"