Introducción
Recuperar una IP elástica de AWS. Quizás no sea lo más habitual para el usuario promedio de AWS, pero para los que se dedican al sector cloud es corriente administrar varias cuentas de AWS. Ya sea mediante un catálogo de enlaces de login o mediante un listado de IDs de cuentas (y sus correspondientes credenciales), o mediante un gestor de impersonación de roles; el caso es que antes o después puede suceder que por error se confunda una cuenta con otra, y se termine realizando una acción no deseada.
Este es el caso que se expone hoy, en el que se estaba trabajando con una cuenta nueva, y en el que toda la infraestructura creada era de usar y tirar. Sucedió que por error se confundió esta cuenta con la cuenta base, la de Geko, donde se aloja la IP elástica que apunta al bastión de la compañía. Sí, efectivamente, ese punto clave que se usa para acceder a otras infraestructuras de manera segura, y que precisamente estas otras infraestructuras consideran seguro. Es decir, esa IP era usada como una de las medidas de seguridad a la hora de verificar la procedencia de las conexiones. Una IP que se encontraba en múltiples configuraciones, y que no era trivial cambiar. Pues bien, dicha IP se liberó por error. En AWS se emplea la palabra «liberar» (o «release» en Inglés) para referirse a la acción de eliminarla de una cuenta, dejándola disponible para el resto de usuarios del proveedor.
No hace falta describir los momentos de máxima alerta que sucedieron a la liberación de la IP, pero la posibilidad de haber perdido esa dirección para siempre porque se hubiera asignado a otro usuario, comenzaba a apoderarse de la tensión del momento. Sin embargo, para algo están los gabinetes de crísis y, por encima de todo, para algo está el poder contar con un equipo de profesionales del sector. La lluvia de ideas empañaba las ventanas cuando, de repente, un fulminante rayo de esperanza hizo que todo se parase en seco. Había esperanza. AWS había previsto este catastrófico caso, y Geko encontró como recuperar lo que siempre había sido suyo, pero que nunca había valorado tanto.
¿Te ha pasado? ¿Quieres saber cómo se solucionó? ¡Sigue leyendo y no te pierdas cómo terminó esta épica historia!
Recuperar la IP elástica de AWS que se ha borrado por accidente
Recuperar una IP elástica de AWS. Como se comentaba anteriormente, una vez se libera una dirección IP elástica ésta pasa a formar parte del grupo de IPs disponibles para el resto de usuarios, por lo que recuperarla podría llegar a ser imposible si se diese el caso de que ya hubiera sido reasignada. Sin embargo, AWS se dio cuenta de que esto podría representar un problema, y estableció un método de recuperación para este escenario. Aunque no es algo que se pueda realizar desde la consola web, recuperar la dirección IP perdida se puede realizar mediante un único comando.
MY_IP=48.151.62.342 aws ec2 allocate-address --domain vpc --address $MY_IP
Si bien es cierto que es necesario conocer la dirección IP a recuperar, si es crítica como para necesitar recuperarla, debería ser algo que se pueda averiguar.
¿Qué más podría salir mal?
Se da la casualidad de que en este caso había un factor adicional que podía entorpecer las cosas, y de hecho lo hizo. En Geko, para disponer de credenciales para el CLI de AWS, se generan unas claves temporales después de pasar por un proceso de verificación multi-factor (que además pueden ser revocadas en cualquier momento), y dichas credenciales se obtienen mediante el bastión anteriormente mencionado. Atando cabos se puede concluir que la situación había caído en una dependencia cíclica, ya que para arreglar el problema eran necesarias credenciales que el propio problema no permitía crear. Por supuesto existían métodos alternativos para salir del bucle, pero finalmente fue suficiente con usar unas credenciales aún no caducadas.
Conclusión
A lo largo de esta corta (pero intensa) historia se ha visto la importancia de contar con el equipo que tienes a tu alrededor. Dejar a un lado el orgullo y dar la voz de alarma fue lo que consiguió que la solución apareciese en cuestión de minutos. Como se suele decir, dos pares de ojos ven más que uno.
Por otra parte, aprendimos y reforzamos una serie de buenas prácticas que podrían ser la clave la siguiente vez. Las enumeramos a continuación.
- Asegúrate de tener unas credenciales de emergencia para el caso de que suceda algo en el bastión.
- Asegúrate de que la cuenta que estás tratando de modificar, es la que de verdad quieres modificar. Es mejor perder un poco de tiempo en comprobar las cosas dos veces, que lamentarse luego.
- Protege los recursos valiosos a toda costa, como por ejemplo creando políticas de IAM para denegar cualquier acción dañina.
Desde Geko Consultoría Cloud, esperamos que este artículo te haya servido de ayuda para aprender algo nuevo y seguir ampliando tus conocimientos. Te invitamos a que si necesitas información sobre el mundo Cloud y DevOps, nos contactes y sigas revisando nuestro blog para encontrar otras publicaciones útiles. ¡Hasta la próxima!