Всякая всячина по AWS и CloudFlare

[VitohA]

Здесь буду постить интересные с моей точки зрения факты и решения повседневных проблем у озвученных сервисов. Неструктурированно, просто по абзацу на проблему и решение. Может кому-то и поможет.

[VitohA]

Сегодня в LI интересную картинку нашёл по self-hosted аналогам сервисов Амазона.

[VitohA]

CloudFlare CDN + any S3 bucket

Задача: развернуть CDN силами CloudFlare, статику тянуть с S3. У S3 бакета должно быть любое имя.
Изначально проблем не видно в задаче, но нюансы есть. Даже не нюансы, а базовое ограничение архитектуры S3.

В интернетах много howto для данного сценария, но все сводятся к тому, что имя CDN домена должно быть равно имени S3 бакета.
Для этого есть причина: все входящие запросы S3 перенапрявляет на бакет из значения хидера server, т.е. на имя CDN домена. При этом у S3 есть интересное ограничение - все имена бакетов уникальны глобально, т.е. если кто-то где-то создал бакет cdn.mycoolbucket.com, то больше никто такой бакет не создаст (случайный или не очень киберсквоттинг). Да и не всегда это удобно.

Решение: использование планов Business или Enterprise от CloudFlare, где в Rules можно переписывать хидеры.

Минусы: это денег стоит, но на бесплатном тарифном плане такое не провернуть, поэтому инфы про данный сценарий минимум.
Плюсы: отвязка от имени S3 бакета, используй любое.

[VitohA]

История о том, как AWS мог тебя обанкротить

Как пустой S3 бакет может вас обанкротить

Дыру закрыли чуть более года назад, но всё равно довольно поучительная история про Denial of Wallet атаку и про то, что алерты биллинга в облаках - маст хэв.



А вот Яндекс красавчик:

Цитата

Операции GET, HEAD, OPTIONS, PATCH, POST и PUT, закончившиеся с ошибками 403 или 404, тарифицируются. При расчете стоимости применяются тарифы для стандартного хранилища.

Можно банкротить неугодных за вечер

Пруф.

[VitohA]

Release calendars for Amazon Aurora MySQL

AWS обновила релизный цикл для Aurora RDS. Теперь как ни крути, но будь добр обновляй свои базы в среднем раз в год.

Ищем способы обхода этих ограничений, т.к. это достаточно заметные операционные издержки, особенно для сервиса снаружи никак не доступного.

Пока что от AWS получили единственное предложение - поднимать запрос на enhanced support, но это опять же деньги и без гарантий аппрува со стороны AWS. Надеюсь новый LTS всё таки выкатят, а то от существующего толку 0 из-за релиза годовой давности.

[VitohA]

И ещё один пример того, что данные в облаке - не твои данные:

AWS удалил мой 10‑летний аккаунт и все данные без предупреждения

Переиначу Балмера: "Бекапы, бекапы, бекапы!"

Ну и в целом: нужен персональный менеджер, чтобы такое разруливать, а это явно не для одиночек, это уровень не самых маленьких компаний.

По факту всё закончилось хорошо, но для этого потребовалась публичная огласка.

[VitohA]

AWS на re:Invent'е собирается анонсировать новый тип сервиса, который может больно ударить по кошельку партнёров. Запасаемся попкормом

Пока что это under NDA и в бете, да и вероятность заметного влияния, как и вероятность встречи динозавра на улице (50/50 - то ли встретишь, то ли нет), не 100%. Но ждать осталось немного.

[VitohA]

Про анонс выше: Амазон тоже хочет в сервис попробовать, который предоставляют галеры для заказчиков. Посмотрим, что именно выкатят и в каком виде.

[VitohA]

AWS us-east-1 прилёг, Azure и GCP тоже не очень себя чувствует.

Из интересного: на downdetector сразу стало видно, кто хостится в Амазоне
Slack и Zoom там сидят.

[VitohA]

Постмортем о падении 20 октября главного региона AWS

[VitohA]

К масштабному сбою AWS привела ошибка в средствах автоматизации DNS

Из интересного: первопричину, описанную в статье, AWS рассылал под NDA

С другой стороны - у ServerNews неплохие источники

[VitohA]

Сегодня CloudFlare по всему миру сбоит, FYI.

[garniv]

Цитата (VitohA) »

Сегодня CloudFlare по всему миру сбоит, FYI

Ага, сначала по московскому видел 500, теперь по Helsinki аналогично

[Lesnik75]

В американской компании Cloudflare (предоставляет услуги CDN, защиты от DDoS-атак и безопасный доступ к ресурсам и серверам DNS) раскрыли причину почти пятичасового глобального сбоя в работе своих сервисов. Проблема не в DNS, и не было внешней атаки. Оказалось, что это была ошибка в файле конфигурации системы защиты от ботов, который перед началом инцидента был обновлён инженерами Cloudflare в плановом порядке.

(с) habr

[VitohA]

Даже опытные люди забывают про банальные вещи...
Если у вас есть много траффика из Амазона и на Амазоновские сервисы (S3, Kinesis, etc.) не забывайте создавать соответствующий VPC Endpoint, чтобы траффик шёл через него, а не через NAT Gateway. Поверьте, так будет намноооого дешевле.

[VitohA]

Сегодня CloudFlare опять подупал, а AWS официально выкатила первую/вторую линию поддержки для кастомеров на определённых тарифных планах, правда ещё AI туда всунула.

[VitohA]

Оказывается, во время моего отпуска произошёл мелкий казус, а о причинах только сейчас узнал

Инженеры Amazon по ошибке вывели из строя часть Amazon Web Services после совета AI-ассистента

Нас особо не зацепило, но после прочтения новости чуть не заржал, это ведь те самые люди, у которых мы AWS Q покупаем))))

[VitohA]

Без комментариев.

[Полковник Исаев]

VitohA
Можно пояснительную бригаду для не самых умных, но интересующихся?

[VitohA]

Полковник Исаев
Датацентры Амазона в Бахрейне и Эмиратах лежат.