دعم IMDSv2

chocecil · 21 يوليو 2023، 9:50ص

أكتب للاستفسار عن دعم IMDSv2 من خلال ملفات تعريف المثيلات في Discourse. نحن بصدد ترحيل خدمتنا لاستخدام IMDSv2، حيث أن IMDSv1 ليس خيارًا آمنًا.

نود أن نفهم ما إذا كان Discourse يدعم حاليًا IMDSv2 من خلال ملفات تعريف المثيلات، وإذا لم يكن كذلك، فما هي الخطط لدعمه في المستقبل القريب. بالإضافة إلى ذلك، هل هناك أي حلول بديلة أو تصحيحات متاحة تسمح لنا باستخدام IMDSv2 مع Discourse؟

من المهم بالنسبة لنا التأكد من تلبية متطلبات الأمان الخاصة بنا، ونعتقد أن استخدام بيانات الاعتماد المؤقتة من خلال IMDSv2 هو جانب حاسم من ذلك.

السلوك المطلوب للوصول إلى بيانات اعتماد الأمان المقدمة من خلال ملف تعريف المثيل هو

يحصل التطبيق الموجود على المثيل على بيانات اعتماد الأمان التي يوفرها الدور من عنصر بيانات التعريف للمثيل iam/security-credentials/ role-name.
يُمنح التطبيق الأذونات للإجراءات والموارد التي حددناها للدور من خلال بيانات اعتماد الأمان المرتبطة بالدور. بيانات الاعتماد هذه مؤقتة ويتم تدويرها تلقائيًا. نجعل بيانات الاعتماد الجديدة متاحة قبل خمس دقائق على الأقل من انتهاء صلاحية بيانات الاعتماد القديمة.

لقد لاحظنا أن هناك اختلافات بين استدعاءات IMDSv1 و IMDSv2.

استدعاء IMDSv1:

curl http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access

بينما يتطلب استدعاء IMDSv2 استخدام رمز بيانات التعريف (metadata token)، ويمكن إجراؤه باستخدام الأوامر التالية:

TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \\\\\\\\\\\\\\\\
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" -v http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access

سنكون ممتنين لأي معلومات يمكنك تقديمها حول كيفية استخدام IMDSv2 مع Discourse، أو إذا كانت هناك أي حلول بديلة أو تصحيحات متاحة.

مرجع:

ترحيل IMDSv2: Transition to using Instance Metadata Service Version 2 - Amazon Elastic Compute Cloud

pfaffman · 21 يوليو 2023، 7:01م

لست على علم بأي طريقة تستخدم بها Discourse نفسها IMDS. هل قمت بتثبيت Discourse على AWS بطريقة ما؟ هل تستخدم IMDSv1 مع Discourse بالفعل بطريقة ما؟

ما هي حالة الاستخدام الخاصة بك؟

chocecil · 21 يوليو 2023، 7:47م

لقد وجدت رمزًا متعلقًا به.

github.com/discourse/discourse

spec/lib/s3_helper_spec.rb

v3.1.0.beta5


      
                </Rule>
              </LifecycleConfiguration>
            XML
          end
          
          it "can correctly set the purge policy" do
            SiteSetting.s3_configure_tombstone_policy = true
          
            stub_request(
              :get,
              "http://169.254.169.254/latest/meta-data/iam/security-credentials/",
            ).to_return(status: 404, body: "", headers: {})
          
            stub_request(
              :get,
              "https://bob.s3.#{SiteSetting.s3_region}.amazonaws.com/?lifecycle",
            ).to_return(status: 200, body: @lifecycle, headers: {})
          
            stub_request(:put, "https://bob.s3.#{SiteSetting.s3_region}.amazonaws.com/?lifecycle")
              .with do |req|
                hash = Hash.from_xml(req.body.to_s)

supermathie · 25 يوليو 2023، 7:32م

هذا في مواصفات الاختبار.

يستخدم Discourse إصدارًا من AWS SDK (3.130.2) أعلى من الحد الأدنى المطلوب لدعم IMDSv2، ومن خلال ما يمكنني استنتاجه بالنظر إلى مقياس MetadataNoToken في عمليات نشر AWS الخاصة بنا، لا توجد لدينا أي استدعاءات لـ IMDSv1.

من خلال ما يمكنني استنتاجه، نحن نستخدم بالفعل IMDSv2 في كل مكان.

Hans_Homan · 10 يوليو 2024، 7:30ص

بدأنا في استخدام Discourse على مثيل AWS EC2 قبل عام. وفي هذا الأسبوع، قمنا بتحديث مثيلنا لاستخدام IMDSv2 فقط، مما أدى إلى تعطل عمليات تحميل AWS S3 لدينا مع رسالة الخطأ “unable to sign request without credentials set”. كما أننا نستخدم إعداد “s3 use iam profile”.

تستخدم خدمة IMDS المحلية بواسطة Discourse للحصول على بيانات الاعتماد لإجراء استدعاءات API أخرى متعلقة بخدمات AWS. يتم ذلك باستخدام Ruby aws-sdk-s3

github.com/discourse/discourse

Gemfile.lock

c9775d5f7


      
          aws-eventstream (1.3.0)
          aws-partitions (1.894.0)
          aws-sdk-core (3.191.3)
            aws-eventstream (~> 1, >= 1.3.0)
            aws-partitions (~> 1, >= 1.651.0)
            aws-sigv4 (~> 1.8)
            jmespath (~> 1, >= 1.6.1)
          aws-sdk-kms (1.77.0)
            aws-sdk-core (~> 3, >= 3.191.0)
            aws-sigv4 (~> 1.1)
          aws-sdk-s3 (1.143.0)
            aws-sdk-core (~> 3, >= 3.191.0)
            aws-sdk-kms (~> 1)
            aws-sigv4 (~> 1.8)
          aws-sdk-sns (1.72.0)
            aws-sdk-core (~> 3, >= 3.191.0)
            aws-sigv4 (~> 1.1)
          aws-sigv4 (1.8.0)
            aws-eventstream (~> 1, >= 1.0.2)
          base64 (0.2.0)
          better_errors (2.10.1)

nskerl · 8 أغسطس 2024، 5:36م

نحن نرى أيضًا مشكلة النسخ الاحتياطي هذه بعد تعطيل IMDSv1 لأسباب أمنية.

يمكننا رؤية استخدام IMDSv1 (في 3.3.0.beta1-dev) عبر مقياس MetadataNoToken، لذلك نتساءل ما هو إصدار Discourse الذي انتقل إلى استخدام v2 في كل مكان؟

mentalstring · 23 نوفمبر 2024، 7:25م

لقد تعرضنا للعض أيضًا بسبب هذا اليوم بمجرد تغيير مثيل AWS الخاص بنا لاستخدام IMDSv2 فقط: لم يعد بإمكان المستخدمين تحميل الصور إلى S3.

من المحتمل أن يكون هذا ذا صلة هنا: نحن نستخدم أيضًا خيار s3 use iam profile.

في الوقت الحالي، قمنا بتغييره إلى “اختياري” مما يعني في الأساس أن IMDSv1 لا يزال ممكّنًا، وهو ليس الأفضل من ناحية الأمان، ولكنه جعل التحميلات تعمل مرة أخرى.

marco.palumbo · 5 نوفمبر 2025، 3:05م

هل لدى أي شخص حل/حل بديل لجعل Discourse يعمل مع IMDSv2؟

supermathie · 13 نوفمبر 2025، 11:56م

نجري تغييرات للسماح/توقع المزيد من التكوين الممكن عبر ملف .aws/config والذي قد يتداخل مع هذا ويجعله ممكنًا.

marco.palumbo · 17 نوفمبر 2025، 4:20م

@supermathie الشيء الأكثر غرابة الذي لا يمكنني فهمه هو أنني قمت شخصيًا بإعداد مثيلي discourse (dev/prod) تم تكوينهما بشكل متطابق (تحميلات s3 للملفات والنسخ الاحتياطي باستخدام ملف تعريف IAM) وتحديثهما إلى إصدار متطابق (9436f5e3d4) وعندما قمت بتعطيل IMDSv1… في dev استمر كل شيء في العمل كما هو متوقع بينما في prod لم يحدث ذلك ويستمر في إلقاء شيء مثل “غير قادر على توقيع الطلب بدون بيانات اعتماد تم تعيينها”… محير للغاية.

إذا كان لديك أي فكرة عن اختبار/فحص يمكنني القيام به، فقط أخبرني.

supermathie · 17 نوفمبر 2025، 4:45م

@ducks تم تحديد أن مهلة الحصول على بيانات اعتماد IMDS في SDK شديدة للغاية (ثانية واحدة، بدون إعادة محاولة) لذلك من الممكن أن تكون قد وصلت إلى تلك المهلة.

لكن هذا مجرد تخمين.

إذا قمت بتسجيل الدخول إلى بيئة الإنتاج، هل يمكنك القيام بذلك تفاعليًا، على سبيل المثال:

discourse(prod)> c = Aws::S3::Client.new(region: ENV['DISCOURSE_S3_REGION'])
=> #<Aws::S3::Client>

discourse(prod)> c.list_objects_v2(bucket: ENV['DISCOURSE_S3_BUCKET']).contents.count
=> 1000

marco.palumbo · 24 نوفمبر 2025، 4:01م

لقد اكتشفت ما كان خاطئًا وعليّ فقط أن ألوم نفسي، لكن المشكلة كانت خفية للغاية.
كانت المشكلة في تعيين “HttpPutResponseHopLimit” على 1، مما لم يسمح باستدعاء IMDSv2 من داخل الحاوية.

بإصدار هذا الأمر حصلت على هذه الإجابة:

> aws ec2 describe-instances --instance-ids i-00000000000000000 --query “Reservations[0].Instances[0].MetadataOptions”`
{
"State": "applied",
"HttpTokens": "optional",
"HttpPutResponseHopLimit": 1,
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "disabled",
"InstanceMetadataTags": "disabled"
}

بتعديل الإعداد، يكون الإخراج الصحيح هو

> aws ec2 describe-instances --instance-ids i-00000000000000000 --query “Reservations[0].Instances[0].MetadataOptions”`
{
"State": "applied",
"HttpTokens": "required",
"HttpPutResponseHopLimit": 2,
"HttpEndpoint": "enabled",
"HttpProtocolIpv6": "disabled",
"InstanceMetadataTags": "disabled"
}

… وأخيرًا تم حل اللغز

شكرًا للجميع على مساعدتكم

supermathie · 24 نوفمبر 2025، 5:25م

من الرائع معرفة ذلك!

ونأمل أن ينطبق هذا على الآخرين أيضًا.

ولكن أتساءل لماذا لا تمثل هذه مشكلة بالنسبة لنا. لقد قمنا بتعيين هذا على 1 ومع ذلك فإنه يعمل؟

discourse(prod) > ENV['AWS_EC2_METADATA_V1_DISABLED'] = 'true'
=> "true"
discourse(prod) > c = Aws::S3::Client.new(region: ENV['DISCOURSE_S3_REGION'])
=> #<Aws::S3::Client:0x00007f8c9e2b4a98>
discourse(prod) > c.config.credentials.disable_imds_v1
=> true
discourse(prod) > c.list_objects_v2(bucket: ENV['DISCOURSE_S3_BUCKET']).contents.count
=> 1000

وهذا المثيل لديه بيانات التعريف هذه وفقًا لنفس أمر الاستعلام:

{
    "State": "applied",
    "HttpTokens": "optional",
    "HttpPutResponseHopLimit": 1,
    "HttpEndpoint": "enabled",
    "HttpProtocolIpv6": "disabled",
    "InstanceMetadataTags": "disabled"
}

نحن نشغل Discourse في حاوية Docker على EC2، مثل الآخرين، فما هو الاختلاف؟

pfaffman · 25 نوفمبر 2025، 2:00م

تم إغلاق هذا الموضوع تلقائيًا بعد 21 ساعة. لم يعد الردود الجديدة مسموحًا بها.

الموضوع		الردود	مرات العرض
Backups to S3 fail when IMDSv1 disabled Bug backups , s3	0	63	29 أغسطس 2024
How are you authenticating Discourse to AWS? Help us improve the settings! Feature s3	3	57	9 أكتوبر 2025
Set up file and image uploads to S3 Self-Hosting configuring , how-to	35	119215	25 أكتوبر 2025
Problems with Patreon Login, Force HTTPS, and S3 CDN (three) Issues Installation unsupported-install	12	1987	6 يناير 2023
Discourse instance unreachable on AWS Support	29	3961	30 أبريل 2019

دعم IMDSv2

الموضوعات ذات الصلة