Voll billig,ey! Die Zweite!

Vor kurzer Zeit habe ich über die erhöhten Gebühren des Amazon S3 Speicherservice gewettert,daher nun im Sinne einer ausgewogenen Berichterstattung einmal eine Anwendung,bei der Amazon so richtig leuchten,nein,sogar strahlen kann!

Obwohl Amazon AWS teurer als vergleichsweise Services ist,sind diese an feste Vertragslaufzeiten gekoppelt. Das Anmieten eines richtigen Webservers mit garantierter Leistung kostet zwar nur um die 40-80 Euro,die Vertragsmindestlaufzeit beträgt aber oft 12 oder 24 Monate,insbesondere,wenn auf die Einrichtungsgebühr verzichtet werden soll.

Der riesige Vorteil an S3 liegt nun bei der Möglichkeit einer stundenweisen Anmietung eines Rechners irgendwo im Internet. Amazons Preispolitik “zahle nur was du verbrauchst”ermöglicht hier nette Anwendungen.

Schon einmal irgendwo im Internet die Meldung bekommen:“Dieser Inhalt ist aus urheberrechtlichen Gründen für Ihr Land gesperrt”?

Da hätte ich einen Vorschlag zu machen!

Benötigt wird:

1. Ein Amazon AWS Account mit den freigeschalteten Services S3 und EC2.
2. Eine funktionsfähige Server- und Clientkonfiguration des hervorragenden VPN-Tools “OpenVPN”auf Ubuntu (Serverkonfiguration) Die Zertifikate müssen in /etc/openvpn/zertifikate/ sein.

Das Verzeichnis /etc/openvpn mit 7-zip kennwortgeschützt (wichtig!) zusammenpacken. Das Archiv unter dem Namen “i.7z”auf Amazon S3 in einem Bucket ablegen. Die “Access Control List”muß auf “Zugriff für jeden”eingestellt werden. Ansonsten muß man ein Dienstprogramm von AWS,z.B. s3cmd installieren,was einen erheblichen Aufwand bedeutet.

Kochbuch:

1. Neue Instanz von Ubuntu der Größe “m1.small”starten. Das geht auch mit der “Spot-Markt-Version”ab etwa 4 US-Cent. Dazu nehmen wir die folgende AMI:ami-2d4aa444 (Ubuntu 10.4 “Lucid Lynx”Server-Edition,x86)
2. Mittels Putty dort an der Konsole anmelden (Benutzer:ubuntu,Lucid Lynx unterstützt keine Anmeldung als root).
3. Das Script von unten in einen Texteditor editieren,kopieren und mit Klick auf die rechte Maustaste in der neuen Instanz ausführen. Dieses Script installiert 7zip und OpenVPN,lädt die Zertifikate,entpackt sie und startet dann OpenVPN.
4. Der lokalen (Windows-)Installation von OpenVPN muß nun nur noch mitgeteilt werden,wo der frisch gemietete Amazon-Server steht. Dazu wird die IPv4 in der Zeile mit “remote”eingetragen. Fertig sollte das in etwa so aussehen:“remote ec2-174-129-76-38.compute-1.amazonaws.com”.
5. Verbinden und die neue,anonyme Verbindung genießen.

Die Preise:Server pro Stunde der Aktivität:ab 8,5 US-Cent (US East). Eingehender Traffic:US$ 0,15 pro GB. Ausgehender Traffic:US$ 0,10 pro GB (zur Zeit IMHO noch einige Zeit kostenfrei. Stand:Mai 2010). Pro Monat (gerundet) US$ 0,01 für das Archiv von etwa 10-20kb auf S3.

Nachteile:

• Hoher einmaliger Installationsaufwand von etwa 1 Stunde –wenn man sich mit OpenVPN einigermassen auskennt.
• Die in der OpenVPN-Konfiguration eingetragenen DNS-Server müssen von Amazon auch erreichbar sein. Da der gesamte Traffic vom Start des VPN-Tunnels über denselben geht,sind die heimischen DNS-Server nicht mehr erreichbar. Lehnt der eigene ISP die Verbindung vom Amazon-Server durch eine Firewall ab,funktioniert die Namensauflösung ansonsten nicht mehr. Eventuell muss hier der DNS des Amazon Servers konfiguriert werden.
• Nach dem Beenden der Instanz sind alle Daten futsch,inklusive der Logdateien.

Vorteile:

• Durch die “händische”Installation von OpenVNP haben wir volle Kontrolle über die Verschlüsselung. Es kann ganz,ganz bestimmt niemand mitlesen.
• Durch die Wahl der Region,in der die Instanz des Servers gestartet wird,können wir geographische Hürden nehmen.
• Alle Dienste stehen voll zur Verfügung,so auch Videokonferenz,als auch Filesharing.
• Wir nutzen direkt die Ubuntu AMI von Canonical –keine Speicherkosten für EBS und Snapshots,somit auch kein Gefummle mit Elasticfox.
• Nach dem Beenden der Instanz sind alle Daten futsch,inklusive der Logdateien.

Achtung! Nach wie vor ist der Anwender für alle ein- und ausgehenden Datenströme voll verantwortlich. Und:Amazon hat eure Adresse! Diese “Pseudoanonymität”sollte niemanden dazu ermutigen,über ein VPN Straftaten zu begehen. Ihr seid nicht anonym!

Hier die Installationsbefehle. Die Zeilen mit “7z”sind mit dem Kennwort des Archives zu versehen. Das Subnetz habe ich auf 10.10.0.0/24 gewählt,so daß ihr 254 Clientverbindungen schalten könntet. Evtl müßt ihr euer Subnetz aus der OpenVPN-Konfiguration anpassen. Keine Sorge wegen des Klartext-Kennwortes im Installationsscript ganz am Ende dieses Artikels:Die Konsolenverbindung zum Amazon-Server ist verschlüsselt. Die Befehle werden beim Einfügen direkt ausgeführt –daher sind auch keine Tests und Schleifen programmiert.

sudo /bin/bashapt-get -y install p7zip-full openvpnrm i.7zwget http://hus-srv-install.s3.amazonaws.com/i.7z7z -p{passwort_hier_eintragen} x i.7zmv zertifikate /etc/openvpnmv openvpn_ssl.conf /etc/openvpn/echo "1" >/proc/sys/net/ipv4/ip_forwardiptables -t nat -Fiptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE./openvpn start

Ich hoffe,irgendjemand kann etwas mit diesen Anweisungen anfangen. Wer den Aufwand der Erstkonfiguration scheut,kann diese Zertifikate und Konfigurationsdateien natürlich auch von mir beziehen (ca. 1 Arbeitsstunde),das ist aber nicht empfohlen,da ich dann Zugriff auf Ihre Serverzertifikate gehabt habe und Sie nicht vollständig sicher sein können,daß diese nicht in fremde Hände gelangt sind.