PAN-OS позволяет только генерировать самоподписные сертификаты или уже импортировать существующие. Чтобы использовать Let’s Encrypt сертификат, необходимо его запросить на другом устройстве и поэтому в качестве валидации можем использовать только DNS. В качестве DNS провайдера используется AWS Route53, для получения сертификата будем использовать Certbot, так же понадобится установленный и настроенный awscli Получение сертификата Устанавливаем необходимый софт …
Продолжить читать "Palo Alto VM-Series Firewall: Let’s Encrypt сертификат"
VM-Series Firewall SSH Для того чтобы использовать WebUI необходимо задать пароль администратора, это делается через SSH. После создания инстансов проходит минут 10-15 до того, как Firewall инициализируется и будет доступен по SSH Подключаемся к первому инстансу, SSH пользователь — "admin" И выполняем следующие команды Вводим пароль 2 раза и сохраняем изменения Тоже самое проделываем …
Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2"
Для обеспечения высокой доступности Palo Alto VM-Series Firewall используется конфигурация active/passive. В которой активный фаервол постоянно синхронизирует свою конфигурацию и информацию об активных сессиях с аналогично настроенным пассивным фаерволом. Существует два варианта достижения HA в AWS: "Secondary IP Move" и "Dataplane Interface Move". Secondary IP Move При недоступности активного фаервола, пассивный переходит в роль …
Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1"
Для того, чтобы примонтировать S3 Bucket как файловую системой, необходимо установить s3fs Создадим директорию для монтирования: И добавим следующее в "/etc/fstab": Где: "artem-service-bucket:/upload/" — имя S3 корзины и директория, внутри корзины, которую нужно монтировать "url=https://s3.eu-central-1.amazonaws.com,endpoint=eu-central-1" — регион, в котором расположена S3 корзина "iam_role" — указываем, что будем использовать IAM Role для аутентификации …
Продолжить читать "S3 — Монтирование в Linux"
Необходимо извлечь логин и пароль от RDS, которые хранятся в AWS Secret Manager и использовать их значения в Terraform коде. Для этого можно воспользоваться следующей конструкцией: И использовать переменные:
В SSM Parameter Store содержится JSON следующего вида: Необходимо извлечь логин и пароль, и использовать их значения в Terraform коде. Для этого можно воспользоваться следующей конструкцией: И использовать переменные:
Цель: Разрешить публичный доступ на чтение для всех объектов в S3 корзине только используя VPN подключение, для подключения с мира объекты должны быть не публичными. В качестве сервиса VPN используется OpenVPN, который может быть развернут где угодно, поэтому разрешающие правило будем строить на проверки IP адреса. Для начала нужно узнать список сетей, которые относятся …
Продолжить читать "AWS — S3: Разрешить публичный доступ к объектам через VPN"
Данный скрипт ищет EBS в регионе "eu-west-1" с тегом, ключ которого "Application" и значение передается как аргумент, создает снапшот данного EBS. Так же по тому же принципу он ищет снапшот по тегу, и удаляет все, кроме последнего. Пример запуска для создания снапшота: Пример запуска для удаления старых снапшотов: main.py:
Данный скрипт получает список всех директорий в корзине и удаляет все объекты в каждой директории, кроме последних "N" указанных. Для запуска скрипта нужно передать два аргумента: Имя корзины Количество последних хранимых объектов Пример запуска: main.py:
За основу был взят ответ на gitmemory Для того, чтобы зашифровать уже созданный EBS Volume, нужно сделать из него снапшот. Затем из созданного снапшота создать диск в том же регионе, что и оригинальный, так же указать KMS ключ для шифрования. Затем сохраняем манифест текущего PV в файл: Редактируем файл, заменив ID оригинального диска на …
Продолжить читать "EKS — Зашифровать текущий PV (EBS Volume)"