タグ付けされた質問 Amazon EC2

現在1台のEC2に対して1台のELBを使用しています。 ELBは2つのアベイラビリティゾーンに配置しており、EC2はその片方に配置されている状態です。 EC2が起動中でヘルスチェックもHealtyの場合はネットワークインターフェイスに当該ELBのものが2つあり、プライベートもそれぞれ1つずつ存在していることになっていますが、 EC2が停止したままの状態だと、ネットワークインターフェイスに当該ELBのものが1つしかなく、プライベートも1つしかありません。 これは1台のEC2でELBを利用しているのが原因なのでしょうか。 またそうである場合、EC2が停止中もALBのネットワークインターフェイスが2つある状態にすることは可能でしょうか。lg...

お世話になっております。 RDSの証明書設定変更に関して不明点があるため、ご相談させていただきます 現状は、RDSの証明書の設定変更が完了してこれまで通り疎通はできているのですが、プラットフォームの理解が不足しており、3月5日以降も正しく動作するという確証が持てない状況です。 詳細は以下の通りです ■システムの構成 EC2（AmazonLinux）・RDS(PostgreSQL) EC2とRDSは、同一VPC・同一セキュリティグループ内に存在 ■現状 ・公式ドキュメント等を参考にRDSの設定を2019年版の証明書に変更し、RDSの再起動を行って設定変更の適用が完了している https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-postgresql.html ・RDSの設定変更後に、以下の3つの方法で、SSL接続ができている事を確認済 ・・アプリケーションを操作してDBに接続されている事を確認 ・・EC2インスタンスからpsqlで接続した場合もSSL接続される事を確認 ・・以下を参考に、pg_stat_ssl・pg_stat_activityでも、SSLで接続されている事を確認 https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/ssl-certificate-rotation-postgresql.html#ssl-certificate-rotation-postgresql.determining-server ■不明点・不安点 ・今回のRDSの設定変更において、EC2側のCA証明書の設定変更などは一切行っていない ・アプリケーション側の設定や、EC2インスタンス上のCA証明書に関する設定は調べた限りではない（ただしアプリケーションの開発およびAWSの設定をした開発担当者はいないため、未知の設定が存在する可能性はゼロではない） 上記による可能性としては以下の2通りの解釈が可能だと思っています。 ①同一VPCのセキュリティグループにあるRDSに対しては、内部的に自動でSSLによる接続が行われる仕様となっている。そのためSSLの接続情報や証明書がなくてもSSL接続となる ②RDSの設定変更後も、依然として何らかの未知の接続情報が有効になっており、3/5以降に接続が無効となる ①に該当するドキュメントが見当たらなかったため推測の域を出ておらず、②の可能性が排除できないです。 そのため作業を完了とみなして良いのか判断できず困っております。 ご教示いただけると幸いです Edited by: tunemage on Jan 20, 2020 10:21 PMlg...

こちらでは初めまして、showkkoと申します。 先週はうまくいっていたCloudFormationへのAPIリクエストが、今週に入ってうまくいかなくなりました。 返答は「SignatureDoesNotMatch」なのですが、その内容が === Signature expired: 20200110T064809Z is now earlier than <5分前> (<今> - 5 min.) === で、この「20200110T064809Z」は何故か固定なんです。 SignatureはVersion 2で作っており、Python 3で書くと以下のような感じです。 === timestr=urllib.parse.quote_plus(datetime.utcnow().strftime("%Y-%m-%dT%H:%M:%SZ")) sig_data="POST\ncloudformation.ap-northeast-1.amazonaws.com\n/\nAWSAccessKeyId="accessid"&Action=DescribeStackResources&SignatureMethod=HmacSHA256&SignatureVersion=2&StackName="_stackname_"&Timestamp="timestr"&Version=2010-05-15" sig_seed=hmac.new(secretkey.encode("utf-8"),sig_data.encode("utf-8"),hashlib.sha256) signature=urllib.parse.quote_plus(base64.b64encode(sig_seed.digest()).decode("utf-8")) === 上記のようにグリニッジ標準時を取得して生成しており、少なくとも毎回「20200110T064809Z」という固定の日時で蹴られることはない筈なんですが…。 (変換前の文字列を出力して確認していますので、時間がおかしいことはない筈です。) 同様のコードでEC2ではうまくいきます。また、CloudFormationでも先週はうまくいっていました。 どなたか原因は想像つきますでしょうか？lg...

はじめまして。showkkoと申します。 EC2のRest APIを使用しようとして、ちょっと困ったことになっています。 他のAPI Action("DescribeTags", "CreateImage", "CreateKeyPair"等々)ではうまく応答が取れるのに、 "CreateTags"を用いたときには"SignatureDoesNotMatch"になってしまいます。 https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateTags.html SignatureはVersion 2を使っており、Python 3で書くと以下のようなものです。 ==== sig_data="POST\nec2.ap-northeast-1.amazonaws.com\n/\nAWSAccessKeyId="accessid"&Action=CreateTags&ResourceId.1="resourceid"&Tag.1.Key="tagname"&Tag.1.Value="tagvalue"&SignatureMethod=HmacSHA256&SignatureVersion=2&Timestamp="timestr"&Version=2016-11-15" sig_seed=hmac.new(secretkey.encode("utf-8"),sig_data.encode("utf-8"),hashlib.sha256) signature=urllib.parse.quote_plus(base64.b64encode(sig_seed.digest()).decode("utf-8")) ==== "DescribeTags"ではうまくいっているので、タグ特有という訳ではないとは思いますが、どなたか理由はわかりますでしょうか？lg...

EC2インスタンスへSSH接続した際にタイムアウトになることが度々発生します。 時間が経てばSSH接続できるようになるのですが、同じような事象が発生したことはありますでしょうか。 その際の解決方法があればご教授頂けないでしょうか。 下記の内容はこちらで確認済みです。 ・同じセキュリティグループを設定している別インスタンスへはSSH接続可能 ・別のPCから該当のインスタンスへはSSH接続可能lg...

自システムのネットワークのセキュリティ要件として「IPスプーフィング（IP Spoofing）」対策があります。 具体的には悪意のある送信者が送信元IPをプライベートIPに偽装した侵入を阻止したいと考えています。 AWS上でのこの対策をしたいのですが、VPCやEC2で同対策として設定などありますでしょうか？ またその設定についてマニュアルに記載がありましたら、ご教授頂けますと助かります。lg...

EC2インスタンスを使ってWEBサービスを運用しているのですが、先日、10分ほどサーバーダウンが起きて自動復旧した直後からCPU負荷が異常に高くなっていて、普段の2倍近くになってしまいました。以前は20～40%くらいのCPU負荷だったものが、現在は60～100%を推移しています。 アクセス数やDBの負荷(DBは別サーバー)も確認したのですが、そちらは以前と同じくらいでした。 【インスタンス情報】 インスタンスタイプ: c3.2xlarge アベイラビリティーゾーン: ap-northeast-1c vCPU の数: 8 サーバーダウン前していたことといえば、その６時間前くらいにCloudFrontのBehaviorのWhitelist Headersを変更したくらいで、直近ではインスタンス自体への操作は特に行っていませんでした。 ただこのCloudFrontの設定変更もサーバーの負荷を上げるようなものではないと思っています。 プロセスを確認してみると、負荷の高いプロセスはApacheのものでCPU使用率が10～50%のプロセスが10個以上動いていました。 それ以外のプロセスは負荷が高いものは無いようでした。おそらく、Apacheが重くなっているようです。 再起動後にCPU負荷が急増するという現象の原因に心当たりのある方いらっしゃいませんでしょうか？ あと、そもそもEC2インスタンスが10分間も停止するようなことがあるのでしょうか？ よろしくお願いします。lg...

いつもお世話になっております。 インスタンスIDは「i-04258ea30cf497bad」です。 EC2にログインしてPHP周りの設定を行っていたところ、 デフォルトユーザー「ec2-user」の「.bashrc」「.bash_profile」を設定したところ、 表題の状態になってしまいました。 MacのターミナルからSSHを使って鍵認証でログインまではできる（EC2の表示はされる）のですが、 ログイン後は入力を一切受け付けず、しばらくすると接続が解除されてしまいます。 Webサーバー（Apache）もストップしてしまい、なんとかWebサーバーは再起動したいのですが、 他の方法も使用できず困っております。 ・EC2 Instance Connect →AWSのコンソールより接続を試みたところ、何度やっても接続できませんでした。 ・AWS Systems Managerのセッションマネージャー EC2インスタンスで設定を行っていなかったため、使用できません。 rootとec2-user以外にFTPからアクセスできるアカウントがあり、 そちらでFTP接続のみ正常に行えております。 取り急ぎWebサーバーの復旧だけでもと考えているのですが、 何か良い方法がございましたらご教示いただけますと幸いです。 よろしくお願いいたします。lg...

はじめまして！ 今までオンプレミスで運用していたサイトを、初めてAWSに移行することになったのですが、 cloudfrontで配信する際のエッジサーバのドメインを、サブではなく独自ドメインにしたいと考えています。 理由は外部サービスを利用して、サイトを海外向けに自動翻訳しているため、極力オンプレミスのときと同じドメインのまま移行したいためです。 データはEC2上で実行し、ドメインはRoute53で管理、ACMで発行した証明書を利用してSSL化したのちに、CloudFrontで配信を予定しています。 現状はEC2に独自ドメインを適用して公開するところまではできています。 自力で一か月以上探してみているのですが、 エッジサーバ側で独自ドメイン、オリジン側でサブドメインを使用する方法が見つかりません。 それぞれ別のドメインを用意する以外で何か方法はないでしょうか？ よろしくお願いいたします。lg...

メール送信制限に関するご質問です。 PrivateSubnet内のEC2インスタンスからNAT Gatewayを通して外部メール送信を行いたく、メール送信制限の解除を行い承認されたメール（制限解除をおこなった）が届きました。 しかし、その後1か月以上経過していますが、メール送信できない状況が続いていたため、10/17より再申請を行っていますが、うまく状況を理解していただけないのか状況が変わらず好転いたしません。 こちらの調査では、EC2インスタンスから外部メールサーバへSMTP接続させたときに「SYN-SENT」状態で通信がとまっていることを確認していますので、外部へのPort25のアウトバウンド通信がネットワーク的にブロックされているように思えるのですが、申請手続きの不備があったでしょうか？？ 以下、詳細を記載いたしますのでご確認宜しくお願いいたします。 --- 9/19 メール送信制限解除申請を行い、同日承認されたとのメールをいただく。 （We've reviewed and approved your request for the removal of the EC2 e-mail sending limitations on your Amazon Web Services account.） 9/20～10/17 その後も、メールが外部へ送信できない状況が続くため下記のとおり調査を実施。 〇/var/log/maillog --- Oct 17 XX:XX:XX XXXXX postfix/smtp\[11005]: connect to alt4.gmail-smtp-in.l.google.com\[173.194.66.26]:25: Connection timed out --- $ telnet XXX.XXX.XXX.XXX 25 Trying XXX.XXX.XXX.XXX... 〇応答が返ってこない状態でコネクション状態を確認。 --- SYN-SENT 0 1 AAA.AAA.AAA.AAA:41094 XXX.XXX.XXX.XXX:25 --- ※SYN-SENTでとまっていることからネットワーク通信的にブロックされていると思われる。 〇別EC2インスタンスからのSMTP疎通確認 インスタンス起動直後から、3回目まではSMTP接続に成功するが4回目以降で上記と同じく「SYN-SENT」状態で応答がなくなる。 また、起動直後から現在までPort25以外での外部向け通信は支障なくできることを確認。 10/17 本状況と調査内容をまとめた文書を添えて再申請を行うも、DNS逆引き設定を行うような案内回答をいただく。 ※DNS逆引き設定はAnti-SPAMのためのもので「SYN-SENT」でネットワーク的に通信できない状況を改善するものではないのでは？？ 以上。lg...

基本的な話で、何を言っているのかわからないかもしれませんが、現在専任のAWSエンジニアがいない中作業をしており、ご質問をさせてください。 サブネットが二つあり、一つはPublicで本番運用しているサーバがあり、もう一つは特に操作していない空のPrivateなサブネットがあります。 後者のサブネットのルートテーブルにIGWへの経路を追加して、パブリックにしようと思っているのですが、「現在稼働しているパブリックサブネットなど他のネットワークに影響がないの？」という話になりました。 この質問に対してご助言いただけると助かります。よろしくお願いいたします。lg...

ステータスにエラーが出ていたため reboot を試みましたが、 改善されなかったため、 stop/start を行うべく stop したところ、 stopping のままとなりました。 強制停止してもstopping のままです。 インスタンス ID i-0c66050575915b429 アベイラビリティーゾーン ap-northeast-1a お手数ですが、ご確認いただけますでしょうか。lg...