8月23日のAWSの大規模障害でMultiAZでもALB(ELB)が特定条件で500エラーを返すことがあったという話 - Make組ブログ
このブログ記事で 「MultiAZ」にしていたら何事も全て大丈夫という認識を変えられると嬉しいです (当該の時点で障害起こした人はちゃんとMultiAZにしてなかったんでしょ?という人の認識も変えられると嬉しいです)。 MultiAZにしておくことは基本 です。 その上でも、 安心しきらずに監視は必要 という話をしています。 MultiAZ構成にしておきましょう そのうえで監視、検知、トレーサビリティを大切にしましょう MultiAZ要らないという見当外れの解釈はしないでください (一部、間違えた解釈をしてるコメントも見受けられましたが、大いに違います)。 前提 2019-08-23、AWSで大規模な障害が起こりました。 障害の一般的な内容は以下のとおりです。 まとめのブログ https://piyolog.hatenadiary.jp/entry/2019/08/23/174801 AW
宇佐崎しろ on Twitter: "アクタージュ読者の皆様へ https://t.co/ewuOZR2ALB"
アクタージュ読者の皆様へ https://t.co/ewuOZR2ALB
AWSにおけるALB&NLBのBlue/Greenデプロイメント設計 - How elegant the tech world is...!
はじめに どうも、iselegant です。 前回、執筆した商業誌について本ブログで紹介させていただいたところ、大変多くの反響がありました。 コメントをくれた方、書籍に関心を持っていただいた方、本当にありがとうございます🙇 AWSコンテナ設計・構築[本格]入門 | 株式会社野村総合研究所, 新井雅也, 馬勝淳史, NRIネットコム株式会社, 佐々木拓郎 |本 | 通販 | Amazon 本日から少しの間、分量調整と締め切りの都合上、商業誌では執筆しきれなかった AWS 設計に関するサイドトピックについて、本ブログ上でご紹介したいと思います。 今日はALB (Application Load Balancer) と NLB (Network Load Balancer) の Blue/Green デプロイメントに関する設計がテーマです。 AWS で Web アプリケーションの可用性とパフォ
【現在は対応不要】Chrome80以降でALBの認証を使っているとcookieが4096バイトを超えて認証できないことがあり、社内サービスではcookie名を縮めて対応した - hitode909の日記
2020/2/18追記 サポートに問い合わせたところ、ALBの不具合はロールバック済みで、cookie名を縮める対応は不要、とのことでした。試してみたところ、たしかにcookie名の指定をやめても問題なく認証できました。 AWSのApplication Load Balancerの認証機能を使って、スタッフからのアクセスのみ許可する社内向けウェブサービスを運用しているのだけど、昨日くらいからGoogle Chromeで認証が通らなないという声を聞くようになった。 現象としてはリダイレクトループが発生していて、コンソールを見るとSet-Cookie headerが長すぎるというエラーが出ていた。 Set-Cookie header is ignored in response from url: https://****/oauth2/idpresponse?code=e51b4cf0-8b
[激アツアップデート]ALBだけでカナリアリリース(重み付け)ができるようになりました! | DevelopersIO
AWSエンジニアは朝5時に起きるらしいと聞いていましたが、まさか自分がそっち側に回るとは思ってもいなかったもこ@札幌オフィスです。 とうとうきてしまいました! とうとう、ALB一つだけでターゲットグループの重み付けが出来るようになってしまいました!!!! Application Load Balancer simplifies deployments with support for weighted target groups New – Application Load Balancer Simplifies Deployment with Weighted Target Groups 従来までのBlue/Green(カナリアリリース) デプロイ方法 重み付けをしてトラフィックの数パーセントを新しい環境に流すような場合は、複数のロードバランサーを用意した環境で、Route53にて重み付
![[激アツアップデート]ALBだけでカナリアリリース(重み付け)ができるようになりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/876809e40a16193d45c580a01a3f67fc9a50a044/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Felastic-load-balancing.png)
全然たいした話ではないのですが、へーって思ったので記録しておきます。 ALB にて外部からの不正アクセスを塞いだ話になります。 はじめに注意 ※追記3 この記事は、知識不足な状態で始まり、知識不足なまま初出した未熟な内容であり、外部の助力によりそれが解決に向かう、という流れになっています。 調査環境がAWSだったために、タイトルがこうなっていますが、実際はALB+ACM単独の問題ではなく、SSL/TLS としての仕様の話になっている、 ということを念頭において、読んでいただければと思います。 ※追記3ここまで 構成と問題点 手動で作成された ALB → EC2 環境があって、ワイルドカードなACM を使って 0.0.0.0:443 のみ開いており、EC2 は Global からのアクセスは遮断してありました。 にも関わらず、不正系なHostヘッダでアクセスされた形跡があり、コイツどこから来
ウン十万接続のALB SSL証明書を平和に更新したい - Nature Engineering Blog
こんにちはSREの黒田です。 これは第2回 Nature Engineering Blog 祭9日目のエントリです。 昨日はCorporate ITのマロニーによる GASを使って社内のSaaSアカウントを可視化しよう - Nature Engineering Blog でした。 昨日に続いて今日のお話も、話題の新製品Remo nanoやMatterとは関係ありません。 TL;DR WebSocketで大量に永続接続されているALBのSSL証明書を更新すると、接続がばっこんばっこん切られて大変なので、ALBを二台用意して緩やかに接続を移行するようにしたら、大変平和になって僕もみんなもハッピーになった。 背景 そもそもNatureではどこに何のためにWebSocketを使ってるの?って話から始めると長いので、詳しくはこちらを見ていただければと思います (結構前の資料なので今とは違う部分も色々
複数のAvailability ZoneにプロビジョニングしたELB(ALB) / AutoScaling Groupから特定Availability Zone上のリソースをパージする | DevelopersIO
中山(順)です 先日に東京リージョンで比較的規模の大きな障害が発生いたしました。 東京リージョン (AP-NORTHEAST-1) で発生した Amazon EC2 と Amazon EBS の事象概要 障害の影響は特定のAZに限られていたことは上記の公式メッセージで説明されているとおりです。 また、障害発生の早い段階で単一のAvailability Zoneで問題が発生していることがService Health Dashboardでアナウンスされていました。 しかし、Design for Failureの原則に基づいてリソースを複数のAvailability Zoneで冗長化してるケースでも何らかの影響を受けたというケースもあったようです。(以下、その一例です) 8月23日のAWSの大規模障害でMultiAZでも突然ALB(ELB)が特定条件で500エラーを返しはじめたという話 これは、
ALB経由で公開するAPサーバに(リバースプロキシ用の)Webサーバーを利用する意味はあるのか?立ち止まって考えてみた | DevelopersIO
まずは、リフト&シフトのリフトだ。オンプレ環境の構成を変えずにAWSでリプレイスするぜ。 静的コンテンツの処理はWebサーバーに任せてアプリケーションサーバーの負担を減らす構成だな。 次はシフトだ。だが大きくは変えない。静的コンテンツを外だしするところから始めよう。 あれ?Webサーバー(Nginx)っているんだっけ??ALBではログも取れるし最近はでできることも多いよね? [新機能] HTTPヘッダーやクエリ文字列などなどでルーティングができちゃう!!AWS ALBで高度なリクエストルーティングが可能になりました! 待てよ待てよ。将来的にはSPAで実装する方法も検討しているんだった。その場合はいらないでいいよね? ということを社内チャットで呟きました。いくつか意見が出てきたのでこのブログにまとめます。 先に結論 コンテンツ(html)をAppサーバーで作成する場合、あったほうが良さそう
ALB ターゲットグループのバランシングアルゴリズムを LOR にする - hagihala's blog
この記事ははてなエンジニア Advent Calendar 2022の27日目のエントリです。 問題 社内で運用している Fargate サービス (Perl の plack アプリケーションが動いている) において、以下のような問題が発生していました。 リクエストごとの処理の重さ (計算リソースの使用量や所要時間) に違いがあり、特定の task に重いリクエストの割り振りが偏ることがある Fargate task は表向きのコア数は同じでも、割り当たるハードウェアの世代によって処理能力が異なるケースがある (いわゆるインスタンスガチャ) このような偏りのある状態でアクセス増など全体の負荷が増加し、一部 task のワーカプロセスが全て busy な状態が一定時間続くと ALB のヘルスチェックに落ちて殺される 各リクエストを1つのプロセスが処理する、いわゆる prefork アーキテク
こんにちは、計測プラットフォーム本部バックエンド部の髙木(@TAKAyuki_atkwsk)です。普段はZOZOMATやZOZOGLASSなどの計測技術に関する開発・運用に携わっています。ちなみにZOZOGLASSを使って肌の色を計測したところ、私のパーソナルカラーはブルーベース・冬と診断されました。 さて、本記事ではZOZOMATシステムで利用されていたNetwork Load BalancerをApplication Load Balancerに移行した事例をご紹介します。 ZOZOMATのシステム構成(2020年当時)に関しては、こちらの記事で詳しく説明されていますので合わせてご覧ください。 techblog.zozo.com 移行の背景 ZOZOTOWNアプリやZOZOTOWNシステムからZOZOMATシステムに対するリクエストの負荷分散のためにNetwork Load Balan
AWS による docker コンテナのオーケストレーションサービスである Amazon ECS / Fargate のヘルスチェックの挙動について調査する機会がありましたのでアウトプットしておきたいと思います。 前提として Fargate で ECS のサービスとして、ロードバランサーは Application Load Balancer(ALB)を利用して実行するケースで調査しました。網羅的ではない点、ご了承ください。 ECS におけるヘルスチェック さて、ECS でサービスを実行する上で、いわゆる「ヘルスチェック」は2種類あります。 Elastic Load Balancer(今回は ALB)に関連付けられる Target Group によるヘルスチェック タスク定義のコンテナに対して実行する docker によるヘルスチェック(参考 : docker ドキュメント, AWS ドキュ
ALB + Cognito認証で付与されるユーザー情報をEC2サイドから眺めてみる | DevelopersIO
ALBはCognitoと組み合わせることで、簡単にWebサーバーの認証機能を実現できます。超便利。 ALBとCognitoを組み合わせた認証については、弊社ブログで解説しているのでこちらを御覧ください。 インフラエンジニアが一切コードを書かずにWebサーバーに認証機能を実装した話 | DevelopersIO 本ブログでは、ここからもう一歩踏み込んで、ALBが認証後EC2に何を渡しているのか?(EC2はユーザー情報をどう受けとっているのか?)を眺めてみます。 構成図 こんな感じのシンプルな構成を作ります。ALBへのアクセス時に、Cognitoと連携して認証を行います。CognitoでログインできたユーザーだけがEC2上のコンテンツにアクセスできます。 ALB + Cognito認証のおさらい ALB + Cognitoの認証がどういったフローで動いているか、ここで一度おさらいしましょう。
ALB(Application Load Balancer)がボトルネックになっていたか確認する方法を教えてください | DevelopersIO
困っていた内容 ALB(Application Load Balancer)への急激なアクセス増加により処理が遅延し、一時的にサーバーエラーとなる事象が発生しました。ボトルネックが ALB 側か、もしくはバックエンドサーバー側かを切り分けたいのですが、ALB の性能限界に達していたか確認する方法を教えてください。 どう対応すればいいの? ALB は負荷状況に応じて内部的にスケーリングが行われるため、最大接続数などの情報は非公開となっています。 そのため ALB の性能限界を明確に確認することはできませんが、以下 (1) ~ (3) の指標を確認することで、ALB もしくはバックエンドのどちらがボトルネックになっていたかを推測できます。 (1) 当該時刻に ALB のスケーリングが行われていたかを確認する ALB への接続数が物理ノードの限界に達すると自動的にスケーリングが行われ、その際には
[AWS]ALBだけでメンテナンス画面を表示させる
https://aws.amazon.com/jp/about-aws/whats-new/2018/07/elastic-load-balancing-announces-support-for-redirects-and-fixed-responses-for-application-load-balancer/ 去年の6月あたりに、ELBでALBのリダイレクトおよび固定レスポンスのサポートを発表しました。が!!当時は日本語表記がなく、文字化けがひどいことになっており、検証できない状況だったので、今回メンテナンス画面を表示してみました。 ■ALBのルールの表示/編集 ルールの追加 パスを * にして 固定レスポンス を選択し、Content-Type を text/html 、以下のhtmlをぶち込みます。 <!DOCTYPE html> <html> <head> <meta con
![[AWS]ALBだけでメンテナンス画面を表示させる](https://cdn-ak-scissors.b.st-hatena.com/image/square/5ba6bdb7724680733475ee6d2cab4daa0e5bc865/height=288;version=1;width=512/https%3A%2F%2Fblog.adachin.me%2Fwp-content%2Fuploads%2Faws.png)
EKSコンテナ移行のトラブル事例:ALBの設定とPodのライフサイクル管理 - MonotaRO Tech Blog
こんにちは、SREグループの岡田です。 モノタロウではモノタロウのクラウドネイティブ化の取り組みについて - MonotaRO Tech Blog にも記載されているようにシステムのモダナイズに取り組んでおり、その一環でEKSのPoCそして実際にECサイトの裏側のAPIを対象にコンテナ化に取り組みました。 この記事では移行時に起こったトラブルとハマったポイントの1事例をご紹介します。 前提 起こったトラブル トラブルシュート 1. 問題の整理と仮説 2. 検証 検証1.Podのステータスがterminate状態になってから削除されるまでの時間を変えてみる。 検証2.Pod Readiness Gateを試す。 検証3. ALBのDeregistration delay(登録解除までの待機時間)を短くしてみる。 分かった事 ALBを含めたPod入れ替え時の挙動 EKSにおけるトラブルシュート
記事を書こうと思ったきっかけ サポートへの問い合わせが EC2 に次いで多いのが "CLB/ALB の障害調査依頼" だから CLB/ALB の障害調査依頼では「アクセスが遅延していた」もしくは「50X エラーが発生していた」ので調査して欲しい旨のお問い合わせをいただくことが多いです。特徴としては、それが CLB/ALB の問題なのか EC2 などバックエンドの問題なのかが切り分けされていない場合が多くみられます。どちらが原因か両方を追う必要があるため確認する項目は多いですが、CLB/ALB 側のいくつかの CloudWatch メトリクスを確認することで CLB/ALB かバックエンドの問題かの切り分けは概ね可能だと思います。 もちろん CLB/ALB はマネージドサービスであるため最終的には AWS への確認が必要になる場合もありますが、自分である程度原因を切り分けてから問い合わせを行
ALBで特定のpathのときだけCognito認証を通す構成をaws-cdkで作る - $shibayu36->blog;
管理画面の時だけ認証をかけたいみたいな要件はよくある。今回はその要件をALBで特定のpathの時だけCognito認証を通すという構成で実装してみたのでメモ。構成はaws-cdkを使った。 やりたいこと /admin/以下の場合はCognitoの認証をかけ、許可したユーザーしかアクセスできないようにする それ以外のパスではアプリケーションに認証なしで繋がるようにする 実装 aws-cdk 1.62.0を使って実装した。なお今回のコードは実際の実装をミニマムに変更しているので、動作確認はちゃんと出来ていない(たぶんそのままだと動かなそう)。雰囲気だけ感じてください。 import { IVpc, Port } from "@aws-cdk/aws-ec2"; import { Ec2Service } from "@aws-cdk/aws-ecs"; import { Application
[アップデート] ALB および CLB に HTTP Desync 緩和モードが機能追加されました | DevelopersIO
本日のアップデートで ALB および CLB が HTTP Desync 緩和モードをサポートするようになりました。 Application and Classic Load Balancers are adding defense in depth with the introduction of Desync Mitigation Mode 何がうれしいのか HTTP Desync 攻撃とは このアップデートの何が嬉しいのかを理解するには、まず HTTP Desync 攻撃 について知る必要があります。 近年では Web アプリケーションでは CDN やプロキシをフロントエンドに配置し、バックエンドのサーバーにリクエストを転送するような構成を一般的にとられているかと思います。まず大前提として HTTP Desync 攻撃は、このようなフロントエンド、バックエンド構成において成り立ちます
米アマゾン ウェブ サービス(Amazon Web Services)が2019年8月23日に起こしたクラウドサービス「Amazon Web Services(AWS)」東京リージョンの大規模障害で、AWSのこれまでの報告に含まれていない別のサービスでも障害が起こっていたとみられることが、利用企業やパートナーへの取材で8月28日までに分かった。 障害が起こっていたとみられることが新たに分かったのは、アプリケーションロードバランサーの「ALB」、インメモリーキャッシュの「Amazon ElastiCache」、データウエアハウスの「Amazon Redshift」。このうち、ALBは冗長構成の要となるサービスだ。ALBで実用上問題となるレベルの障害が発生したとみられ、これが原因でアベイラビリティーゾーン(独立性の高いデータセンター群)横断の冗長構成にしていたシステムでも想定通りに動作しなかっ
クックパッドマートでサーバーサイドなどのソフトウェアエンジニアをしている石川です。 この記事では、クックパッドマートとは全然関係なく、私が正社員として新卒入社する前、2020 年初頭に技術部 SRE グループで就業型インターンをしていた際に実装したシステムについてご紹介します。 ALB のアクセスログ 弊社では AWS の Elastic Load Balancing (ELB) を多用しており、Application Load Balancer (ALB) が多くのウェブアプリケーションで利用されています。 ところで ALB はアクセスログを Amazon S3 に保存することができます。このアクセスログにはアクセス先の IP アドレスやリクエスト URL の他、レスポンスのステータスコード、レスポンスまでにかかった時間、User-Agent などの情報が記録されています。 これらの情報
[アップデート] ALBでエンドツーエンドのHTTP/2サポートによりgRPCワークロードが可能になりました | DevelopersIO
本日のアップデートにより Application Load Balancer(以下、ALB)でエンドツーエンドのHTTP/2がサポートされ、加えて gRPC プロトコルが利用可能になりました。 Application Load Balancers enables gRPC workloads with end to end HTTP/2 support ALB でエンドツーエンドの HTTP/2 通信が可能に 以前より ALB は HTTP/2 に対応していましたが、ALB - ターゲット間の通信は HTTP/1.1 に変換されていました。そのため、エンドツーエンドでの HTTP/2 利用できませんでした。この仕様により、HTTP/2 をトランスポートに利用する gRPC を ALB で利用することは出来ないため、NLB または CLB を利用されていたかと思います。 今回のアップデートで
こんにちは。SREチームの田中 (@kangaechu)です。リモートワークで座ってばかりの生活に危機感を感じ、昨年11月頃からランニングを始めました。最初は1キロ走っただけでヒイヒイ言っていたのですが、最近は10キロくらい走れるようになりました。運動は嫌いな方だったのですが、走るのが楽しいと思えるようになったのが一番の収穫かなと思っています。 今回はALB(Application Load Balancer)のログ検索について紹介します。 3行で説明するよ AWSの公式ドキュメントの通りAthenaの設定をするとALBの過去ログが検索できない 正規表現をいい感じにすることで過去ログも検索できるようになった Athenaのテーブル作成、Terraformでできるよ crowdworks.jpのシステムログ検索: Athena システムのイベントを適宜記録し、利用状況の把握や障害時の調査、シ
ALB配下のApache HTTP Serverに対して脆弱性(CVE-2021-41733)の再現ができない理由をNGINXの挙動から考えてみた | DevelopersIO
ALB配下のApache HTTP Serverに対して脆弱性(CVE-2021-41733)の再現ができない理由をNGINXの挙動から考えてみた ALBの実装はわからないのであくまで考察となります。 ALBについて考えてみたと謳っていますが、メインはNGINXのソースリーディングです。 少し長いですが、AWS環境でパストラバーサル攻撃の検証を行う際には頭の片隅に入れておくと良いかもしれません。 背景 2021/10/5にApache HTTP Server(以下Apache)の脆弱性が報告されました(CVE-2021-41733, CVE-2021-42013)。 Apacheの2.4.49および2.4.50においてパストラバーサル攻撃およびリモートコード実行の可能性があります。 ※Amazon Linux2でyum経由でインストールすると2021/10/11時点では2.4.48がインス
私的に使いこなせたら強そうなAWSのサービスシリーズにCognitoがランキング上位にあります。 認証・認可って大体のアプリケーションに必要ですし、AWSのマネージドサービスに投げられれば非常に楽ですよね。 まぁ私は全然使いこなせてないのですが。 私はCognitoの認証・認可の機能を利用するには、Webアプリケーション側でのコード変更が必須と考えていましたが、こちらの記事を見て、ALBとCognitoを連携させて簡単に認証・認可の機能を利用できることを知りました。 以下のようなユースケースですっと導入できれば、できるエンジニア感が出せるなと思いました。 ALBの背後でウェブアプリケーションを動作させている 開発環境やステージング環境で、アクセス制限を導入したい IPアドレスによるセキュリティグループでの制限が難しい Basic認証のように既存のウェブアプリケーションに変更を加えられない
ALBのアクセスログ約10分程度のタイムラグでAthena解析可能にする仕組みを紹介します | DevelopersIO
ALBのアクセスログを Lambdaを利用して CloudWatchLogsに転送し、CloudWatch Logs Insights で分析してみました。 AWSチームのすずきです。 前回の記事では、Athenaで効率的な解析を可能にするFirehoseについて紹介させて頂きました。 今回、Firehoseへのログ登録と、Athena/Glue のパーティション更新を自動化し、 10分程度のタイムラグで Athena を利用した ALBのアクセスログ解析を可能にする仕組みを紹介します。 Firehoseで Parquet形式に変換したALBのアクセスログをAthenaで解析してみた 構成図 AWS設定 S3 ALBのアクセスログ、5分ごとに各ノードが一斉にログファイルを出力する仕様です。 S3イベントから直接Firehoseの登録を実行した場合、5分ごとのログ出力直後にFirehoseの
ALBのTargetGroup付け替え時にエラーになるリクエストは発生しないのか確認した | DevelopersIO
確認したいこと ALB(Application Load Balancer)のリスナーとして設定するTarget Groupは、随時変更することができます。変更したそのタイミングでアクセスがあった場合に、エラーになることはないのか、気になったので確認しました。 図で説明 この状態から この状態に変える瞬間に このようにエラーになってしまうリクエストが発生しないか 結論 大丈夫そうです。Target Group付け替え時にエラーになるリクエストは発生しないようです。 検証方法 httpingというpingのhttp版のコマンドを使って、ローカルからALBに対して断続的にリクエストし続けます。その途中でTarget Groupの付け替えを行なって、エラーになるリクエストが無いか調べました。 Target Groupには前述の図のように、それぞれ異なるEC2インスタンスが一台ずつ紐づいています。
Cognito ユーザープール + ALB の認証にソーシャルサインイン(Google)を追加してみた | DevelopersIO
ちゃだいん(@chazuke4649)です。 Amazon Cognito と Application Load Balancer を使用すると、AWSサービスだけで簡単に認証機能を実装できます。 過去に以下エントリにてこれらの構成は紹介されていました。 今回は、この構成にさらにソーシャルサインインを追加して、Cognitoユーザープールの認証でも ソーシャルサインインとしてのGoogle認証でも選べる状態を目指します。つまり、ALB + Cognito ユーザープール + ソーシャルサインイン(Google) という状態です。下図のような構成となります。 ちなみに、似ているようで違うパターンとして、「ALB + OIDC(Google)」の構成があります。詳細は以下エントリです。 こちらは、Cognito を経由せずに、直接 ALBの組み込み認証機能とOIDCとしてのGoogle認証を連
こんにちは、ななです。 皆さんはTerraformを使っていますか?ちなみに私は最近、Terraformを触り始めました。 今回はTerraformのAWSプロバイダに関して本日2019年12月14日にアップデートがあったため、早速試してみた話を書いてみます。 はじめに Terraformとは、HashiCorpにより作成されたInfrastructure as a Codeを実現するためのオープンソースなツールを指します。 Application Load Balancer (ALB) とは AWSが提供するElastic Load Balancing (ELB) というサービスにおいてサポートされ、かつOSI参照モデルの第7層 (アプリケーション層) で機能するものです。 (図引用元: https://docs.aws.amazon.com/ja_jp/elasticloadbalan
Application Load Balancer (ALB), Network Load Balancer (NLB) は ターゲットにローカルIPアドレス を指定できます。 VPCピアリング接続先のインスタンスや、Direct Connect・VPN接続先の オンプレのサーバーをターゲットグループに登録することができます。 今回は実際にオンプレのサーバーをターゲットに登録した ALBリバースプロキシ環境 を構築してみます。 構築した検証環境は以下の通り。 目次 背景 環境構築 検証 おわりに 背景 私が上の検証環境を構築するに至った経緯を説明します。 (スキップして 次章: 環境構築 を見ていただいてOKです) Direct Connect(DX) 先の外部サービスの通信制限で、 接続元VPCの CIDRは指定値 にしないとイケないケースを考えます。 この要件を満たすために、 前々回の
前提と状況の説明 EC2を建てて、RDSに接続できている状態です。(今回RDSはあんま関係ないです) この時点で、IPアドレスで検索すればアプリケーションが表示されていました。 ここで、ALBを設置して、ALB経由でEC2へアクセスするように試みました。 (パスでターゲットグループへ振り分けをしようとしたのですが、ここではあまり関係ないので割愛) すると・・・・ ん? たま〜に、表示されない・・・訳ではないけど、表示されるまでにめちゃくちゃ時間がかかるぞ・・・ 結論:原因は何だったのか ALBを配置する時に指定するサブネットに、private subnetが含まれていたことでした。 ALBを配置する際は2つ以上の異なるアベイラビリティゾーンからサブネットを指定する必要があります。ここで指定するサブネットは基本的にはpublic subnetです!(多分) ここに気付くのにそこそこ時間がかか
お久しぶりです、エムスリーエンジニアリンググループ 兼 QLife エンジニアの園田です。 今回は、Rails のアプリを AWS の Lambda で動かして、ALB 経由でアクセスしてみようという内容です。 実現するためには ALB から Lambda を呼び出す。 Lambda で Rails を動かす。 上の2つをクリアするだけでいいので、動かすだけならとても簡単にできてしまいます。 1つめは、ALB の TargetGroup に Lambda 関数が指定できるので、それを使います。 2つめは、Github にある aws-samples/serverless-sinatra-sampleの Lambda 関数ブリッジ用ソース (MITライセンス、以降 aws-samples のサンプルソース と表記します) を利用にすればほぼ何もいじることなく実現できます。 serverles
ALBの無効なリクエストヘッダ削除(Drop Invalid Header Fields)設定を試してみた | DevelopersIO
AWSチームのすずきです。 Application Load Balancers (ALB)、 ロードバランサー属性の設定として「Drop Invalid Header Fields」が追加され、 無効なHTTPリクエストヘッダをALBで削除可能になりました。 その動作を確認する機会がありましたので、紹介させていただきます。 AWS Documentation Application Load Balancers: load-balancer-attributes routing.http.drop_invalid_header_fields.enabled Indicates whether HTTP headers with invalid header fields are removed by the load balancer (true) or routed to target
「ALB で502エラーが出たら、どうやって原因究明したら良いのだろう?」 ってお悩みではありませんか?今回は、「ALB の502エラーのおさらい」と私が実施している「障害切り分け方法」を紹介します。最後には、「実際にあった原因」もいくつか紹介します。 それでは早速やっていくっ! ALB の502エラーのおさらい HTTP 502: Bad Gateway 説明: 登録されたインスタンスから送信された応答をロードバランサーが解析できなかったことを示します。 考えられる原因としては、 Application Load Balancer のトラブルシューティング - HTTP 502: Bad Gateway の記載が参考になります。 (一部抜粋) 接続の確立を試みているときに、ロードバランサーがターゲットから TCP RST を受信した。 接続の確立を試みているときに、ロードバランサーがター
KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 Keycloakとは KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 Keycloak より詳細に知りたい方は、@ITの記事がわかりやすいので、こちらを御覧ください。 マイクロサービス時代のSSOを実現する「Keycloak」とは:Keycloak超入門(1) - @IT 構成図 こんな感じの構成をCloudFormationで作ります。Keycloakは、EC2上のDockerで動かします。 HTTPS接続できるようにするため、ALBをSSL終端にし
AWS Application Load Balancer (ALB) がTLS 1.3に対応していました|TechRacho by BPS株式会社
baba 高校時代から趣味でプログラミングを始め,そのままずっとコードを書いています。2010年SFC卒業,在学中にBPS入社。ゲームなどの趣味プログラミング,Webシステム,スマホアプリ,超縦書エンジン(C++/Chromium),Webフロントエンド(TypeScript/React)などを主にやってきました。最近は自社製品(超シリーズ,くんシリーズ)の開発に関わるお仕事が中心です。管理業務もしますが,ゆとりプログラマーなので気楽にPCに向かっているのが好きです。 情報処理技術者試験(16区分 + 情報処理安全確保支援士試験),技術士(情報工学部門),中小企業診断士、Ruby Programmer Gold,AWS Certified Solutions Architect - Professional,日商簿記2級,漢検準1級。情報処理技術者試験 試験委員(2021-)。 babaの
ALB TargetGroup を切り替えて S3 上の静的ページを表示する(HaMaMo! ハマスタモバイルオーダーの事例)[DeNA インフラ SRE] | BLOG - DeNA Engineering
2023.12.15 技術記事 ALB TargetGroup を切り替えて S3 上の静的ページを表示する(HaMaMo! ハマスタモバイルオーダーの事例)[DeNA インフラ SRE] by yuto.ota #ydb #hamamo #aws #infrastructure はじめに こんにちは,IT 本部 IT 基盤部第一グループの大田です. IT 基盤部では,DeNA のグループ子会社等も含めて横断的に複数のサービスのインフラ運用を行っています. 今回は,横浜DeNAベイスターズ(以下,YDB)の HaMaMo! というサービスについて,IT 基盤部が関わっているインフラ部分の構成について一部ご紹介します. HaMaMo! とは HaMaMo!(ハマスタモバイルオーダー)は、 ハマスタオリジナルフードを、スマホでオーダーして、完成通知を受信後に、 受け取りに行くだけの便利なオーダ
![ALB TargetGroup を切り替えて S3 上の静的ページを表示する(HaMaMo! ハマスタモバイルオーダーの事例)[DeNA インフラ SRE] | BLOG - DeNA Engineering](https://cdn-ak-scissors.b.st-hatena.com/image/square/7b4ff31d50480362d641df055d98e3b11303ccf9/height=288;version=1;width=512/https%3A%2F%2Fengineering.dena.com%2Fblog%2F2023%2F12%2Fydb-mobile-order-infra-arch%2Fcover.png)
大阪オフィスのYui(@MayForBlue)です。 今回は、ALBのアクセスログをS3に保存してライフサイクルルール(保存期間)を設定する方法をご紹介します。 手順 ALBのアクセスログを有効化する EC2のダッシュボードの左側メニューからロードバランサーを選択し、一覧から対象のロードバランサーを選択します。 説明タブをスクロールして「属性の編集」をクリックします。 設定用のウィンドウが表示されるので、アクセスログの「有効化」にチェックを入れます。 「S3の場所」に作成したいバケット名を入力して、「この場所の作成」にチェックを入れます。 先にS3でバケットを作成してから適用することもできますが、この方法を使うとS3バケットに対してのアクセスログ書き込みに必要な権限をAWS側で設定してくれるのでおすすめです。 S3バケットのライフサイクルルールを設定する S3の画面に移動して対象のバケット
Amazon EKS on Fargate で ALB Ingress Controller を使用する | Amazon Web Services
Amazon Web Services ブログ Amazon EKS on Fargate で ALB Ingress Controller を使用する 2019 年 12 月、Amazon Elastic Kubernetes Service を使用して AWS Fargate で Kubernetes ポッドを実行できることを発表しました。Fargate を使用すると、Kubernetes アプリケーションの EC2 インスタンスを作成または管理する必要がなくなります。ポッドが起動すると、Fargate はそれらを実行するために計算リソースをオンデマンドで自動的に割り当てます。 Fargate は、マイクロサービスの実行とスケーリングに最適です。特に、スパイクが発生し、予測できないトラフィックパターンがある場合に役立ちます。Amazon Elastic Load Balancing A
はじめに CodeDeployはALBを使って、複数台あるEC2を順次 振り分け停止 デプロイ実施 振り分け再開 する、といったデプロイ方法を取ることが可能です。 これを試してみたところ、想像していたよりもデプロイに時間がかかってしまいました。 また、ターゲットグループの設定を見直すことで処理時間を短縮できるので、その点も含めて記事化しています。 1. 構成 ALB EC2インスタンス * 2 ALBのターゲットグループでは、以下の通り2台のEC2インスタンスを登録しています。 この2台がCodeDeployのデプロイ対象です。 2. CodeDeployのデプロイグループの設定 ALBを使ったデプロイでのCodeDeployの設定です。 2.1. デプロイタイプ デプロイタイプはインプレースとしました。既存のEC2インスタンスに新しいアプリケーションをデプロイします。 なお、Blue/G
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS ALB+ACMの意外な落とし穴 | 外道父の匠
ZOZOMATのgRPCリクエスト負荷分散をNLBからALBに移行した話 - ZOZO TECH BLOG
ALB と docker ヘルスチェックによる ECS の挙動について
CLB/ALB の障害調査依頼を受けた時に確認していること | DevelopersIO
AWS大障害で冗長化の要「ALB」にも問題が起こっていた可能性
今すぐ ALB のアクセスログをクエリする - クックパッド開発者ブログ
AWS AthenaでALBのログを過去分も検索する - クラウドワークス エンジニアブログ
ALBとCognitoを利用してWebアプリケーションにアクセス制限を設ける
TerraformでALBの高度なリスナールールがより簡潔に書けるようになった話 - Qiita
オンプレサーバーをターゲットにしたALBリバースプロキシ環境を構築してみる | DevelopersIO
EC2,RDSだけなのに、ALB使い出したらすんごい重くなった・・・ - Qiita
ALB 経由で Lambda の Rails を実行してみた - エムスリーテックブログ
[障害対応] ALB で502エラーが発生!!その時あなたはどうする!? | DevelopersIO
KeycloakをALB+EC2構成で構築してみた | DevelopersIO
ALBのアクセスログをS3に保存してライフサイクルを設定する | DevelopersIO
CodeDeploy + ALBでEC2に1台ずつデプロイする - Qiita