自刘地

关于 AWS、Network、Python 的学习笔记。

Dify 创建 Flux AI 免费绘图应用
AI

Dify 创建 Flux AI 免费绘图应用

本文介绍了如何利用 Dify 创建 Flux AI 免费绘图应用。只需要在 Dify 中输入提示词和图片分辨率,Dify 会直接返回图片。文中还介绍了如何获取硅基流动的免费 API,以及如何自定义 Dify 的绘图插件。 一、Flux AI 简介 AI 绘画,开源中知名度最高的肯定是 Stable Diffusion。在 2024年8月1日,来自 Stable Diffusion 团队的成员成立了黑森林实验室公司(Black Forest Labs),致力于开发最先进的开源生成模型,用于图像和视频。目前公司有 4 款 AI 绘图模型:[1] * FLUX1.1 [pro] :2024年10月1日发布的最先进且高效的版本,代号“蓝莓”,是目前市面最强的 AI
12 min read
李沐交大讲座——大语言模型及个人成长分享
AI

李沐交大讲座——大语言模型及个人成长分享

李沐在交大分享了关于大模型的实践经验和未来的预测,以及个人工作和成长的一些经验,感觉很有收货,摘录了一些重点,感兴趣可以看原视频。 李沐:BosonAI联合创始人,前亚马逊首席科学家,曾任AI创业公司Marianas Labs CTO、百度深度学习研究院主任研发架构师。 大语言模型的现在和的未来 语言模型的最核心的三个要素是算力、数据和算法:语言模型像炼丹,数据就像炼丹材料,算力就像炼丹炉等设备,算法就像丹方。以前的深度学习就像一个丹就治一个病,现在希望为丹注入灵魂,解决很多问题。 带宽:带宽是最难也是最重要的,大模型分布式训练需要通过光纤连接,光纤目前带宽在400G左右,会成为瓶颈,光纤传输延迟也需要考虑。现在的趋势是把GPU放到一起,距离足够近,英伟达的GB200就是这个思路。密集的GPU会带来电力和散热问题,散热需要使用水冷,水冷对基建有更高的要求。 内存:内存比算力更关键,大模型需要大量内存处理数据。当前单芯片内存约 192 GB,内存不够,模型就做不大,模型上限将依赖内存突破。 算力 * 算力提升主要依赖摩尔定律,随着工艺进步和浮点数精
6 min read
《独自上场:李娜自传》读后
Book

《独自上场:李娜自传》读后

自传的真情实感是最能打动人的,第一人称叙述能带来最强的共情。这是为他人写传记的作家再好的文笔也难以达到的境界,作家无法站在主角的第一视角,了解面临不同场景时的心理感受,以及所做出决定背后的心路历程。更何况李娜的文笔出乎意料的好,文字简洁有力。 我没有打过网球,也不懂网球规则,但是李娜身上展现出顶级运动员的气质,是一种不断战胜自我的精神和斗志,这种气质极具魅力。 很多人认为运动员都是四肢发达,头脑简单。当你看完一些顶级运动员的成长故事,你一定会改变观念。 竞技体育是一个充分竞争的环境,那些只有天赋而没有头脑的运动员,必定会被既有天赋又有头脑的对手淘汰。 要想取得世界级的成就,仅靠埋头苦练是不够的,你需要对自己的身体状态有敏锐的感知,遇到瓶颈时,必须及时调整策略,并且具备极强的自律去执行计划。 残酷的是,当你认为已经做好了一切,失败依然是常态,你可能会因此开始怀疑自己,逐渐对自己失去信心。登顶的过程,是一次次战胜自我的过程,需要不断与自我对话。 这种不断挑战自我的精神,引起我强烈的共鸣。在人生的赛场上,每个人都是独自上场的选手,而真正的对手,始终是昨天的自己。 附上书中一些摘
5 min read
​推荐《里斯本丸沉没》
Movie

​推荐《里斯本丸沉没》

推荐去电影院看《里斯本丸沉没》这个纪录片。 很多人看到是纪录片,可能会觉得自己应该不感兴趣,电影名似乎也不够有吸引力。 最开始看到一些这个电影的好评,产生了一些兴趣,看了下电影的海报和预告剪辑,其实没有觉得会好看,是冲着豆瓣9.3分的高分,好奇去看看。 可以当做一个很好的剧情片来看,关于使命、战争、爱情、亲情、友情、勇气。 当一艘船沉入海底,当一个人成了谜。这句歌词里的船就是“里斯本丸”号。 为影像工作者和海洋工程师,导演似乎肩负起了探寻这艘沉船的使命。 2014年方励作为《后会无期》的制片人,和韩寒在东极岛拍摄时,了解到附近有一艘沉船叫“里斯本丸”。方励也是一个海洋工程师,公司有多项海洋探测的发明专利,好奇和职业背景,他决定去寻找这艘沉船,并在2017年确认找到了‘里斯本丸’。 事实和真相是非常稀缺的资源,探寻事实和真相需要消耗大量的资源,纪录片不需要虚构任何剧情,事实和真相的力量往往更容易打动人心。 历史的主题是遗忘。这艘沉船时隔80年,几乎已经没有人知道它的故事,但是讲述尘封的真实历史,让我感受到记忆是有力量的。 1941年12月爆发了18天的香港保卫战,最终日
3 min read
安装 Dify 并集成 Ollama 和 Xinference
AI

安装 Dify 并集成 Ollama 和 Xinference

本文介绍了通过 Docker 安装 Dify,然后集成 Ollama 和 XInference,并利用 Dify 快速搭建一个基于知识库问答的应用。 一、Dify 简介 Dify 是一款开源的大语言模型(LLM)应用开发平台,旨在帮助开发者快速构建和部署生成式 AI 应用。以下是 Dify 的主要功能和特点 [1]: * 融合 Backend as Service 和 LLMOps 理念:Dify 将后端即服务(Backend as Service)和 LLMOps 的理念结合,使开发者能够快速搭建生产级的生成式 AI 应用。 * 支持多种模型:Dify 支持数百种专有和开源的 LLM 模型,包括 GPT、
7 min read
Xinference 本地运行大模型
AI

Xinference 本地运行大模型

本文介绍了如何使用 Docker 部署 Xinference 推理框架,并演示了如何启动和运行多种大模型,包括大语言模型、图像生成模型和多模态模型。还讲解了嵌入和重排模型的启动方法,为后续 Dify 调用嵌入和重排模型做为铺垫。 一、Xinference 简介 Xorbits Inference (Xinference) 是一个开源的分布式推理框架,专为大规模模型推理任务设计。它支持大语言模型(LLM)、多模态模型、语音识别模型等多种模型的推理。以下是 Xinference 的主要特点 [1]: * 模型一键部署:极大简化了大语言模型、多模态模型和语音识别模型的部署过程。 * 内置前沿模型:支持一键下载并部署大量前沿开源模型,如 Qwen2、chatglm2、等。 * 异构硬件支持:可以利用 CPU 和 GPU 进行推理,提升集群吞吐量和降低延迟。 * 灵活的 API:提供包括 RPC 和 RESTful
6 min read
Ollama 结合 Open-WebUI 本地运行大模型
AI

Ollama 结合 Open-WebUI 本地运行大模型

本文介绍了如何使用 Ollama 在本地运行大型语言模型,以及利用 Open-WebUI 提供的图形化界面与大语言模型进行交互。 一、Ollama 简介 Ollama 是一个开源框架,专门设计用于在本地运行大型语言模型(LLM)。它的主要特点和功能如下: * 简化部署:Ollama 旨在简化在 Docker 容器中部署 LLM 的过程,使得管理和运行这些模型变得更加容易。安装完成后,用户可以通过简单的命令行操作启动和运行大型语言模型。例如,要运行 Gemma 2B 模型,只需执行命令 ollama run gemma:2b。 * 捆绑模型组件:它将模型权重、配置和数据捆绑到一个包中,称为 Modelfile,这有助于优化设置和配置细节,包括 GPU 使用情况。 * 支持多种模型:Ollama 支持多种大型语言模型,如 Llama 2、Code
7 min read
Hugging Face 模型下载及使用
AI

Hugging Face 模型下载及使用

这篇文章介绍了Hugging Face平台和它的核心产品。演示了如何在AWS EC2实例上,从Hugging Face Hub下载并运行Qwen2-0.5B-Instruct模型。最后,还展示了如何用Gradio图形化界面与Qwen LLM进行聊天对话。 一、Hugging Face 简介 Hugging Face是一家美国公司,成立于2016年,起初是为青少年开发聊天机器人应用程序。后来,Hugging Face转型为专注于机器学习的平台公司,推出了多款促进NLP(自然语言处理)技术发展的产品。主要产品有: 1. 预训练模型:Hugging Face提供了一系列优秀的预训练NLP模型,如BERT、GPT、RoBERTa等,这些模型在多项任务中表现出色。 2. Transformers库:Hugging Face开发了名为transformers的Python库,支持PyTorch和TensorFlow等深度学习框架,提供了加载、微调和使用预训练模型的便捷工具。 3. NLP工具:他们提供了多种NLP相关工具,如文本生成、文本分类和命名实体识别,帮助开发者快速构建N
9 min read
AWS EC2 GPU 实例简介及费用对比
AI

AWS EC2 GPU 实例简介及费用对比

本文介绍了AWS EC2 GPU实例的性能与费用对比,帮助大家选择适合自己需求的实例类型。文中对比了全球区和中国区的实例价格,并推荐了几种性价比较高的实例类型。还简要介绍了各类GPU实例的特点和性能差异,为需要在AWS上运行大模型的场景提供一些参考。 一、实例性能与费用对比 想要在本地运行大模型(LLM),一定少不了GPU,这里介绍一下目前在AWS上全球区和中国区所有带英伟达的 GPU EC2实例 [1]。 我整理了一张表格,用与对比各个实例的性能参数与价格。对于性能主要考虑显卡的型号、显卡数量、总GPU内存大小。 对于实例价格,AWS 全球区域选取了俄亥俄州区域(us-east-2)作为参考 [2],表格展示了每小时的按需费用,以及按照汇率7.2折算成人民币的价格。中国区选取了宁夏区域(cn-northwest-1)作为参考 [3],有些实例类型宁夏区域未上线,费用使用/表示。 从GPU大小和费用来看,下面几个实例类型是比较推荐的: * g4dn.xlarge:配备1个NVIDIA T4显卡,共16GB GPU。是带有NVIDIA显卡最便宜的实例,适合运行
5 min read
AWS 上配置 Paloalto GlobalProtect
Paloalto

AWS 上配置 Paloalto GlobalProtect

本篇文档介绍了在 AWS 上配置 Palo Alto GlobalProtect VPN 的完整流程。内容包括实例启动和初始化、防火墙接口配置、证书创建、认证方式设置、区域和地址池的建立、VPN 网关和门户的配置、客户端安装和连接测试、安全策略及 NAT 配置、保留客户端原始 IP 地址的 Ghost Pool 方法,以及主机信息收集(HIP)与授权许可的应用。 实验拓扑 一、AWS 启动 Paloalto 实例 实例启动较慢,大约需要 10 分钟才能通过SSH登录。这里选择PAYG类型的实例(pay-as-you-go),实例启动后带有Paloalto的授权许可。 实例设置两块网卡时,需要禁用自动分配公有 IP 功能。只有一块网卡时,才会自动分配公有 IP。 Paloalto 实例默认的第一个接口(
16 min read
Panorama系列--(5)Panorama配置QoS
Paloalto

Panorama系列--(5)Panorama配置QoS

Palo Alto Networks 防火墙上配置QoS需要配置三个部分,分别是QoS Profile、QoS Policy以及 QoS 出口接口的设置。 先创建QoS Profile,其中设置不同类(class)的带宽大小,然后设置Qos Policy,其中定义流量所属的类(class),最后在QoS出接口调用QoS Profile文件即可。 创建QoS Profile,定义不同类能享用的带宽。这里使用的是VM-100实例,最大带宽为2Gbps,所以配置QoS策略时,可以设置最大带宽为2000Mpbs。 AWS VM-100M5.XLARGE VM-300 M5.XLARGE Firewall Throughput (App-ID enabled) 2 Gbps 4 Gbps Threat Prevention Throughput 1 Gbps 1.7 Gbps
3 min read
Panorama系列--(4)Panorama收集日志与添加磁盘
Paloalto

Panorama系列--(4)Panorama收集日志与添加磁盘

Panorama 可以聚合所有管理防火墙的日志,并显示网络中所有流量的信息。此外,它还提供了所有策略修改的审核记录和对受管防火墙所作的配置更改。 一、Panorama集中收集日志 新建日志收集器,填入Panorama的序列号,配置提交到Panorama。 添加一块磁盘,因为虚拟机在启动时,已经添加过一块2TB的磁盘,所以这里可以直接识别出来。配置完后继续提交到Panorama。 新建收集组,设置日志保留时间,添加刚才创建的收集器。配置完后,配置提交并推送到防火墙设备。 查看收集器状态,如果收集组的配置没有推送到防火墙,可能遇见“Ring version mismatch”的报错。 编辑需要记录日志的策略,设置日志转发到IoT Security Default Profile,这是一个默认的日志策略,会记录所有日志信息。 如果防火墙已经修改过默认策略,那么Panorama是无法推送默认策略到防火墙上的,需要先在防火墙上点击Revert同步Panorama的策略,之后才能接受来自Panorama的策略。 等待一会,在Panorama上查看日志信息。
4 min read
Panorama系列--(3)Panorama模板、堆栈、设备组
Paloalto

Panorama系列--(3)Panorama模板、堆栈、设备组

一、设备组 1.1 设备组层次结构 Panorama会管理很多防火墙,Panorama修改防火墙配置时,往往会同时修改很多防火墙的配置。通过将防火墙加入相同的设备组,就可以共享设备组中的Policy(策略)和Objects(对象)。一般依据地理位置、功能特性等来划分设备组。 Panorama上创建一个设备组之后,会出现Policy和Objects的选项。 设备组的主要目的是绑定Policy和Objects * 防火墙设备必须要要加入一个设备组。 * 设备组有层级关系,最多含有4个层级。较低层次的设备组会继承较高层次设备组的Policy和Objects。 * 默认的Shared设备组,位于最顶层。 设备组的层次结构示例。 下面是按照地理位置划分设备组的一个示例,并将防火墙添加到了SecVpc-Firewall这个设备组。 Panorama添加防火墙到设备组后,需要将配置提交并推送到防火墙才会生效。如果未推送成功,可以选择强制推送到设备(Push to Devices--Edit Selections--OK) 1.2 设备组策略 防火墙按
9 min read
Panorama系列--(2)AWS上搭建Panorama测试环境
Paloalto

Panorama系列--(2)AWS上搭建Panorama测试环境

一、注意事项 * AWS上Paloalto防火墙默认版本是10.2.2h2,Panorama默认版本是10.2.0,需要将Panorama升级到与Paloalto相同版本,或者更高的版本,否则Panorama无法查看日志。 * Paloalto防火墙VM-50型号只支持ESXi、Hyper-V和KVM平台,不支持AWS和其他云平台。 二、利用CloudFormation部署实验环境 Panorama主要用来管理多台防火墙,在AWS云上,对流量做集中安全检测一般会有多台防火墙,所以这里利用CloudFormation搭建了流量集中检测的LAB环境,然后利用Panorama管理这两台防火墙。 只启动两台防火墙和一台Panorama,也可以做大部分的测试,搭建流量集中检测环境是为了更加模拟真实环境。 利用CloudFormation创建实验环境,CloudFormation代码中不会创建Panorama,需要自行手动创建,也不会对Paloalto防火墙做初始化。 上传堆栈模板文件。 设置堆栈名称,选择EC2密钥。 允许创建IAM资源。 Clou
24 min read
Panorama系列--(1)EVE-NG搭建Panorama测试环境
Paloalto

Panorama系列--(1)EVE-NG搭建Panorama测试环境

这篇文档介绍如何利用EVE-NG搭建Panorama测试环境。 一、注意事项 * EVE-NG的低版本不支持Panorama镜像,例如2.0.3-86版本就不支持。这里实验环境使用的是版本是5.0.1-13-Community,下载链接:https://www.eve-ng.net/index.php/download/#DL-COMM。 * Panorama与Paloalto防火墙版本需要保持一致,或者Panorama高于Paloalto防火墙的版本。这里实验环境Panorama与Paloalto都是用10.2.0版本。另外测试时发现Paloalto防火墙10.2.3版本在EVE-NG环境中需要编辑节点,在“QEMU custom options”中添加“-cpu host”参数才能启动。 * Paloalto防火墙在未激活的情况也可以测试大部分功能,但是Panorama不激活的情况下,无法管理Paloalto防火墙。 二、下载Panorama与Paloalto镜像 下载Panorama与Paloalto镜像文件,需要拥有Paloalto账号,登录https
6 min read
AWS上快速搭建OpenVPN服务器
AWS

AWS上快速搭建OpenVPN服务器

这篇文档介绍利用Shell脚本,快速搭建OpenVPN服务器,为用户提供远程访问VPN。 OpenVPN是使用最广泛的开源VPN,开源往往意味着体验不是那么美好。如果通过源码安装OpenVPN,确实会比较繁琐,但是操作过程又具有重复性,所以非常适合使用脚本来操作。 一、OpenVPN服务器配置 1.1 启动OpenVPN服务器 使用Amazon Linux 2 AMI镜像。 使用较小的实例测试即可。 OpenVPN服务器默认使用UDP 1194端口。 1.2 使用脚本配置OpenVPN服务器 切换到root模式。 [ec2-user@ip-172-31-32-219 ~]$ sudo -i 下载脚本文件。 [root@ip-172-31-32-219 ~]# curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh 为脚本授权运行权限。 [root@ip-172-31-32-219 ~]# chm
13 min read
AWS 上快速安装Greenbone漏扫工具
AWS

AWS 上快速安装Greenbone漏扫工具

B站视频 这篇文档介绍在AWS上,通过Docker容器快速安装Greenbone Community。 Greenbone的前身是OpenVAS扫描器。Greenbone 是世界上使用最广泛的开源漏洞管理器。 生产环境中推荐使用源码安装,不建议通过Docker方式安装,这种安装方式主要用于功能测试,或者临时的扫描任务。 一、AWS上启动Ubuntu实例 在AWS控制台选择Ubuntu Server 22.04 LTS虚拟机。 选择实例类型为t3.large,设置EC2密钥对,选择默认的VPC,允许自动获取公网IP地址,设置磁盘为30GB。 硬件最小配置: * CPU Cores: 2 * Random-Access Memory: 4GB * Hard Disk: 20GB free 硬件推荐配置: * CPU Cores: 4 * Random-Access Memory: 8GB * Hard Disk: 60GB free 可以直接在用户数据中完成Greenbone的安装。 用户数据内容
4 min read
AWS上结合Router53构建思科远程访问VPN高可用架构
Cisco

AWS上结合Router53构建思科远程访问VPN高可用架构

B站视频 一、背景 因为疫情的推动,居家办公已经成为常态化的趋势,员工居家办公的场景下,需要安全的访问企业内网。思科的AnyConnect RA-VPN(Remote Access VPN)是比较常见的解决方案,这篇文档介绍在亚马逊云科技上构建高可用的思科远程访问VPN架构。 在AWS Marketplace上,提供思科的ASAv和FTDv这两款防火墙产品,都可以用来部署AnyConnect RA-VPN,这里介绍更加常见的,通过ASAv防火墙来部署。 RA-VPN会作为员工访问内网的入口,一旦出现故障,将会影响所有员工的远程访问,所以为RA-VPN部署高可用架构是非常重要的。 在AWS上,可以通过两种方式来构建思科RA-VPN的高可用架构: * Router 53的DNS负载均衡。将VPN的域名配置两个权重相同的A记录,分别指向两台ASAv的公网地址,当用户通过VPN域名拨号时,平均来说,Router 53会负载分担的返回两台ASAv的公网IP地址,用户从而拨入到不同的ASAv上。 * Network Load Balancer
17 min read
利用openVuln API自动化查询思科产品漏洞
Cisco

利用openVuln API自动化查询思科产品漏洞

B站视频 一、背景 安全自动化是目前一个比较热门的话题,网络安全问题往往是由软件自身的安全漏洞被利用导致,所以及时修复已知安全漏洞,是抵御网络攻击非常重要的一环。这个文档介绍一下,如何利用思科openVuln API,自动化的查询特定思科产品的安全漏洞,并且通过Excel的方式展现这些漏洞信息。 先看一下最后代码输出的Excel截图,代码可以根据提供的软件版本、CVE编号、产品名称来查询漏洞信息,每次查询的漏洞信息会存储为一个CSV文件,最后将所有的CSV信息合并到一个Excel文件中,每个Excel Sheet就是一个CSV文件中的信息,Excel列宽会根据内容自动调整。 除了利用API的方式查询,另外也可以通过思科提供的图形化界面来查询漏洞信息,可以登录https://tools.cisco.com/security/center/publicationListing.x网站查询思科设备的漏洞信息。![image-20221206004226273](/content/images/mypost/cisco-openvuln-api/i
17 min read
AWS GWLB对访问ALB流量做安全检测
AWS

AWS GWLB对访问ALB流量做安全检测

B站视频 一、架构图 上一篇介绍了GWLB结合Network Load Balancer的场景,这里介绍一下GWLB结合Application Load Balancer的场景,主要区别还是在于路由表的设计。另外因为ALB可以关联AWS WAF,所以在代码里面顺带为ALB关联了一个WAF策略,策略只允许来自中国地区的IP访问,来自其他国家地区的请求会被拒绝。 这个架构图高清图片我放到百度网盘了,链接:https://pan.baidu.com/s/1r5uPBSmr9e0qaliz7fdTyQ 提取码:uuqd 实验环境一共有两个VPC,左边的是业务VPC,里面有两个APP模拟HTTP的业务,EC2放在私有子网里面,在不同的AZ。 有一个面向互联网的Application Load Balancer,向公网发布了这个HTTP的服务,这样互联网上的用户,就可以通过ALB访问后面的业务。我们要做的是把这个流量,引导到防火墙上去,做安全检测。这里使用Linux的iptables来模拟防火墙。 另外,APP可以通过NAT GW上网,这个
24 min read
AWS GWLB对访问NLB流量做安全检测
AWS

AWS GWLB对访问NLB流量做安全检测

B站视频 一、架构图 这个设计的核心在于路由表的设计,可以根据下面的架构图示,理解路由流量走向。(我发现公众号对图片压缩特别厉害,暂时没有找到上传原图的办法。如果你和我一样有强迫症,可以找我要高清图片) 实验环境一共有两个VPC,左边的是业务VPC,里面有两个APP模拟HTTP的业务,EC2放在私有子网里面,在不同的AZ。 有一个面向互联网的Network Load Balancer,向公网发布了这个HTTP的服务,这样互联网上的用户,就可以通过NLB访问后面的业务。我们要做的是把这个流量,引导到防火墙上去,做安全检测。这里使用Linux的iptables来模拟防火墙。 另外,APP可以通过NAT GW上网,这个APP主动访问互联网的流量,也需要送到防火墙上去,做安全检测。所以,APP有两种流量都需要送到防火墙上去做安全检测,下面看一下APP的两种流量路径。 一、来自于互联网对NLB访问的流量路径。 1. 首先,互联网上的用户,对NLB的公有DNS发起请求,这个DNS请求,会解析到NLB的两个
22 min read
AWS VPC 流量集中检测系列--(4)利用CloudFormation自动化部署AWS GWLB集成
AWS

AWS VPC 流量集中检测系列--(4)利用CloudFormation自动化部署AWS GWLB集成

B站视频 上一篇文章讲过了AWS GWLB如何集成FortiGate防火墙,来对流量做集中检测。上一次实验是通过AWS 控制台操作的,这里分享一下实验环境的CloudFormation代码,帮助大家快速部署一下实验环境。 一、CloudFormation代码部署 这里的CloudFormation代码在Tokyo区域部署的,如果要在其他Region部署,请修改FortiGate和Windows2022Base的AMI ID(参考我之前的文章《如何寻找EC2特定版本的AMI ID》)。 这次CloudFormation是全自动化代码,堆栈运行完成以后,可以直接测试现象,不需要再做任何额外的配置。默认防火墙使用6.4.10的版本部署,如果要使用7.2.2参考第四部分修改关于防火墙的代码。 AWSTemplateFormatVersion: "2010-09-09" Mappings: RegionMap: ap-northeast-1: FortiGate722: ami-08479d0bce02ca48b
21 min read
AWS VPC 流量集中检测系列--(3)AWS GWLB集成FortiGate防火墙
AWS

AWS VPC 流量集中检测系列--(3)AWS GWLB集成FortiGate防火墙

B站视频 一、背景 之前在《AWS GWLB集成paloalto防火墙》里面提到过,AWS GWLB集成FortiGate防火墙的官方博客[1]缺少一些配置,导致无法实现防火墙的高可用。这篇文档来介绍一下AWS GWLB如何集成FortiGate防火墙。 FortiGate防火墙集成AWS GWLB需要注意: * FortiGate防火墙建议使用6.4.10版本。经过测试目前使用7.0.7版本无法正常工作,但是从6.4.10升级到7.0.7版本,流量是可以正常转发的。另外,不建议对防火墙执行降级操作,防火墙会丢配置,并且图形化界面可能遇到无法切换VDOM的Bug。所以目前生产环境建议使用6.4.10,7.2.2版本可以用于测试。 * FortiGate防火墙建议配置VDOM,Fortigate默认没有带外管理接口,也就是所有接口默认都会转发数据流量,通过配置VDOM可以将管理流量与数据流量分离,从而简化路由配置。 二、Fortigate VDOM FortiGate 中有两种类型的 VDOM 模式—
22 min read
AWS 如何查找EC2实例特定版本的AMI ID
AWS

AWS 如何查找EC2实例特定版本的AMI ID

B站视频 一、背景 在我的CloudFormation代码里面,经常会使用到特定版本的实例。但是在AWS控制台启动EC2实例时,AWS只会提供特定版本的EC2镜像,用户并不能自由选择特定的版本进行启动。要启动特定版本的EC2只能通过AWS CLI或者AWS CloudFormation在代码里面指定ami-id信息然后启动。这里分享一下如何寻找特定版本的ami-id信息。 二、获取AWS控制台提供的镜像ami-id 对于控制台界面能够选择的实例,比较好查找对应的ami-id信息,找到这个ami-id是第一步,后续查找实例的其他版本需要用到这个ami-id。所以先看一下如何获取图形化能选择的实例ami-id。 AWS控制台界面可以通过四种途径启动EC2,分别是: 1. 快速启动(Quickstart AMIs) 2. 我的AMI(My AMIs) 3. 亚马逊云科技Marketplace(AWS Marketplace AMIs) 4. 社区AMI(Community AMIs)。 目前AWS 中国区和AWS Global
8 min read
AWS VPC 流量集中检测系列--(2)利用CloudFormation自动化部署AWS GWLB集成Palo Alto防火墙
AWS

AWS VPC 流量集中检测系列--(2)利用CloudFormation自动化部署AWS GWLB集成Palo Alto防火墙

B站视频 上一篇文章讲过了AWS GWLB如何集成Palo Alto防火墙,来对流量做集中检测。上一次实验是通过AWS 控制台操作的,部署起来还是比较繁琐的,这里分享一下实验环境的CloudFormation代码,帮助大家快速部署一下实验环境。 一、CloudFormation 代码部署 这里的CloudFormation代码在Tokyo区域(ap-northeast-1)部署的,如果要在其他Region部署,请修改paloalto和windows的ami id。堆栈大概会在8分钟创建完成。 AWSTemplateFormatVersion: "2010-09-09" Mappings: RegionMap: ap-northeast-1: PaBundle1: ami-0bcddfc3678d5a897 PaBundle2: ami-0c4d901d7a5370b78 us-west-2: PaBundle1: ami-01d7ef8ff7ddaff25 PaBundle
12 min read