从 S3 VPC 终端节点安装 AWS Cloudwatch 代理

【问题标题】:Install the AWS Cloudwatch Agent from a S3 VPC endpoint从 S3 VPC 终端节点安装 AWS Cloudwatch 代理
【发布时间】:2021-11-25 17:53:14
【问题描述】:

为了确保我们在 AWS 上的资源安全,我们正在尝试阻止我们的 EC2 实例访问互联网,除非我们明确需要它。我们有一个 EC2 实例 (Ubuntu) 正在运行,我们想在其上安装 AWS cloudwatch agent。执行此操作的默认方法是使用 wget 从 s3 内部地址下载安装文件(如链接文章中所示)。

我们现在想用 VPC 端点替换我们的 EC2 实例对 Internet 的公共访问。我为我们所在区域的全局 S3 访问和 S3 访问创建了一个接口端点。理想情况下,EC2 实例现在将通过我们的终端节点连接到 S3 存储桶,以从 AWS 地址下载资源。

我现在如何使用 wget 从我的 EC2 实例访问文件? 该文章列出了全局 s3 访问的 url 选项和区域 S3 访问的另一个 url,但我无法获得连接使用任何一个。以下是我尝试过的一些 url 示例:

wget https://accesspoint.s3-global.amazonaws.com/amazoncloudwatch-agent/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb

wget https://s3.vpce-123456.s3.eu-central-1.vpce.amazonaws.com/amazoncloudwatch-agent-eu-central-1/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb

wget https://amazoncloudwatch-agent-eu-central-1.vpce-123456.s3.eu-central-1.vpce.amazonaws.com/ubuntu/amd64/latest/amazon-cloudwatch-agent.deb

请注意,accesspoint.s3-global.amazonaws.com 是全局 s3 服务端点(自动)创建的内部私有 DNS 条目,*.vpce-123456.s3.eu-central-1.vpce.amazonaws.com 是区域 S3 服务端点创建的其中一个 DN 条目的示例。

【问题讨论】:

    标签: amazon-web-services amazon-s3 amazon-vpc


    【解决方案1】:

    确保您已更新子网的路由表。添加将流量路由到端点网关的规则(因为我们正在谈论 S3)。

    【讨论】:

    • 请注意,我们使用接口端点(例如,通过端点访问 aws 日志,这些工作)。使用接口端点不能解决这个问题吗?
    猜你喜欢
    • 2022-01-09
    • 2017-07-27
    • 2018-02-07
    • 2020-03-03
    • 1970-01-01
    • 2021-05-15
    • 2019-05-01
    • 1970-01-01
    • 2020-06-05
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode