ELBによるSSL Terminationをご利用中の方へ、TLSの脆弱性「Logjam」対策のご案内 - サーバーワークスエンジニアブログ
こんにちは、サーバーワークスの三井です。 少しばかり遅くなってしまいましたが、HTTPSやSSH、IPSecなどセキュアな接続に幅広く使われているTLSプロトコルに、「Logjam」と呼ばれる脆弱性が見つかり、日本でもぼちぼち話題となっています。まずは慌てずに状況を確認し、対策を実施しましょう。 (※本記事は、AWS環境でELBを用いたSSL Terminationを行っている方を主たる対象としています。予めご了承ください。) この脆弱性の成立するロジック自体は、3月に大きな話題となった「FREAK」と似ていますが、前者はOpenSSLの実装の脆弱性であったのに対し、今回のLogjamは鍵交換のプロトコル自体に潜在的にある脆弱性です。中間攻撃者にこの脆弱性を悪用されると、TLS通信を暗号強度の低い輸出グレードの暗号方式にダウングレードされ、通信内容が傍受される可能性があります。 クリティカ
ELBからの通信で408が多発する - Qiita
ELB1 - - [31/Jul/2014:05:44:20 +0000] "-" 408 - "-" "-" ELB2 - - [31/Jul/2014:05:44:21 +0000] "-" 408 - "-" "-" ELB1 - - [31/Jul/2014:05:45:11 +0000] "-" 408 - "-" "-" ELB2 - - [31/Jul/2014:05:45:13 +0000] "-" 408 - "-" "-" ELB1 - - [31/Jul/2014:05:46:03 +0000] "-" 408 - "-" "-" ELB2 - - [31/Jul/2014:05:46:05 +0000] "-" 408 - "-" "-" ELB1, ELB2はそれぞれELBのIPアドレス 408...request timeoutか・・・(="= 調査:ググる 最
Azure仮想マシンがやってるポートフォワーディングをAWSのELBでやってみる。 | iret.media
cloudpack の くどう です。 小ネタです。 Azure では便利なことに仮想マシンを新規で作成した場合RDPのポートをランダムにフォワーディングしてくれます。 これは、作成時にロードバランサーが作成されるためです。また、これは外部からのアクセスに対してデフォルトポートが変更されているため、セキュリティ的に有効です。 しかし AWS では、 Amazon EC2 上でポートをインスタンス側で変更する必要があります。OS側のデフォルトポートを変更には少なからずリスクがあります。やりたくないですね~ そこで、「Elastic Load Balancing」(ELB)を利用します。構成はいたってシンプルです。 下記の構成では外部側のポートを 55555 に設定し、3389 (RDP)に変換する設定にしています。 実際に設定するのは Load Balancer Port と Instanc
EC2を停止して開始した時はELBに再登録する | DevelopersIO
こんにちは、虎塚です。 今日は、ELBに紐づけたEC2を停止・開始した時に、EC2をELBに再登録する必要があることについて書きます。 これはELBを使い始めるとすぐに遭遇する問題のため、お客様からのお問い合わせが多い話題です。今月(2014年9月)すでに2件の問い合わせがあったので、書いておくことにしました。 現象 ELBと紐づけたEC2が、ELBから正しく認識されていて、リクエストを分配できる状態の時、ELBのステータスは「In Service」となります。ELBにEC2を紐づけてすぐの状態だと「Out of Service」ですが、数分たつと「In Service」になりますね。 ところが、ELBと紐づけたEC2を停止して、一定時間後に開始した後、「Out of Service」のままになることがあります。 公式ドキュメントによる解説 公式ドキュメントでは、この件について次のように書
ELBとRoute 53のヘルスチェック仕様の違い | DevelopersIO
こんばんは、三井田です。 今回は、Elastic Load Balancing (ELB)とRoute 53のヘルスチェックの仕様の違いについて簡単にまとめてみたいと思います。 ELBのヘルスチェックはご存知のとおり、ロードバランサがどのバックエンドインスタンスにトラフィックをルーティングするかを判断するために用いられます。 一方、Route 53のヘルスチェックは、重み付けラウンドロビンやDNSフェールオーバーで、どのIPアドレスを回答に含めるかを判断するために用いられます。 ヘルスチェック仕様早見表 まずは、以下の表にご覧下さい。 サービス ELB Route 53 ヘルスチェック元 (Health Checker)
Amazon EC2から負荷テストを行うときの落とし穴と対策 | DevelopersIO
ども、大瀧です。 ここのところ新機能を追いかける記事ばかりだったので、今回は少し毛色の異なるノウハウ系を書いてみます。 負荷テストの前置き(読み飛ばし可) 「Webサイトがテレビ番組で紹介されることになった!大幅なアクセス増がやってくる!」という場合に、ロードバランササービスのElastic Load Balancing(ELB)やCDNのCloudFrontなどスケールするサービスを組み合わせ乗り切るというのは、クラウドらしい柔軟性の高さを活かせる典型な例かと思います。実際、弊社の事例でも多くのお客様に提供し、ご好評をいただいています。 これらのサービスを構成するにあたり、実際のアクセス増に耐えられるか試すため負荷テストを実施することも多いと思いますが、大規模なケースになってくると難しいのが負荷テストを実施するマシンの確保です。これについてもAmazon EC2であれば、Auto Sca
AWS News Blog
Add your Ruby gems to AWS CodeArtifact Ruby developers can now use AWS CodeArtifact to securely store and retrieve their gems. CodeArtifact integrates with standard developer tools like gem and bundler. Applications often use numerous packages to speed up development by providing reusable code for common tasks like network access, cryptography, or data manipulation. Developers also embed SDKs–such
ELBのアクセスログをfluent-plugin-elb-logを使ってkibanaで表示する | DevelopersIO
はじめに 先日お伝えしました通り、ELBのアクセスログが取得出来るようになったのですが、すぐさまfluent-plugin-elb-logというfluentプラグインがリリースされました。さすがfluentd界隈、対応が早いです。 ということで、今回はELBのアクセスログをfluentd経由でElasticsearchに取り込み、それをKibanaで表示したいと思います! セットアップ Elasticsearch Elasticsearchは最新のrpmパッケージを更新サイトから取得し、rpmコマンドでインストールします。 $ wget https://download.elasticsearch.org/elasticsearch/elasticsearch/elasticsearch-1.0.0.noarch.rpm $ sudo rpm -ivh ./elasticsearch-1.
ELB経由でSSH接続する | DevelopersIO
こんにちは。望月です。 タイトルを読んで「何言ってんだこいつ」と思った方もいらっしゃると思いますが、本日はELB経由でSSH接続するお話です。 何に使うの? 「Auto Healing」の構成を実現している時に有効な方法です。Auto Healingでは、最小構成のAutoScalingGroup(=MaxSize,MinSize,DesiredCapacityが全て1)を構成し、常に1台がELBの配下で生存するようなパターンです。以下の図のようなイメージですね。 この状態では、ELB配下のEC2が不調になった場合に新規にEC2インスタンスが起動されるのですが、そのIPアドレスは新しいインスタンスが起動される度に変わります。そのため、EC2インスタンスにSSHアクセスしたい際は都度IPアドレスを調べなくてはならず、かなり面倒です *1 この構成においては、ELBは常に起動された状態ですので
ELBでスパイクアクセスと戦う - Qiita
多量のアクセスがあってリクエスト数がスパイクした場合、ELBのスケールして対応する。 しかし、あまりに急激でスケールが間に合わない場合はスケールするまで503を返すようになる。 スパイクアクセス時に503を返したくないといった場合の対応方法をまとめてみた。 間違いがあったり他にいい方法があったらツッコミ希望デス。 参照サイト [AWSマイスターシリーズ]Amazon Elastic Load Balancing (ELB) AWS - Cross-Zone Load Balancing を有効にしない理由がない件 - Qiita ELBを(なるべく)利用しない いきなりELBで勝負しない方法。 なるべくELB以外でアクセスを受けてELBにアクセスがこない、もしくは少なくするとサービスとしてのスパイクがあってもELBへの影響は少なくできる。 以下のようなS3との連携方法などでELBへのアクセ
Pre-warming した複数の ELB を Route 53 で DNS ラウンドロビンする – I'm Sei.
Pre-warming 状態の ELB でも、想定するトラフィック等によっては 1 つでは対応しきれないことがあります! (Pre-warming については 大量同時アクセスに備えて ELB を Pre-warming 状態にしておく を参照) そういう場合は、Route 53 で DNS ラウンドロビンを設定して、複数の ELB にトラフィックを分散させるようにしておきます。 手順はそれほど難しくないのですが、忘れそうなので公開メモっておきます。 rr-sample.uniba.jp というホストに 2 つ ELB をもたせたいという気持ちでいきます! まずは、ELB を作ります。 つぎに、Route 53 にうつり、ELB の数だけ A レコードを作成します。 Alias の Yes を選択することで、ターゲットが入力できるようになります。 フォーカスをあわせると、S3 のバケットや
ELB配下のApacheでのアクセス制御 | DevelopersIO
こんにちは。望月です。 Apacheやnginxとアプリケーションサーバを組み合わせてシステムを構成するのは、オンプレでもAWSでもよくあるパターンです。AWSでそのシステムを実現しようとすると、ELB + EC2という構成が定石ですが、ELBがWebサーバのフロントに立つことによりEC2単独で動作させる時と比較すると挙動が異なるところもあります。 例えばWebサーバから見たアクセス元のIPアドレスが変わってしまうことです。本来の送信元IPアドレスがロードバランサのプライベートIPアドレスに変わり、本来の送信元IPアドレスはX-Forwarded-Forヘッダの末尾へと格納されます。X-Forwarded-ForはRFCに記載された正式な仕様ではありませんが、プロキシやロードバランサでは一般的に利用されるデファクトスタンダードとなっています。 ELB配下でのアクセス制御 さて、以下のような
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
