当前位置: 首页 > 知识库问答 >
问题:

Cloudfront、ELB和SSL

谷梁楚青
2023-03-14

如果我使用Cloudfront坐在Web服务器前面,而Web服务器本身就在ELB后面,那么下面的内容适用吗?

>

  • 我使用Route53为CF域创建域名记录并将SSL证书应用于该域以保护分发

    如果CF不能提供来自缓存的内容,那么SSL连接将被转发到ELB(它将web服务器作为源服务器)

    因此,我还需要在ELB上使用相同的域名(FQDN)(通过Route53 CNAME)并在那里申请相同的证书?

    当CF通过ELB转发请求时,SSL终止,对吗?一个FQDN证书是否足以或更好地使用通配符?使用源服务器域名是否更好?

    由于我现在可以使用新的 AWS 证书管理器工具 (ACM) 来添加这些证书,有谁知道如果使用 ACM(这使得 CF 成为昂贵的 AWS 服务),CF 是否仍需要使用自定义 SSL 证书的成本?

  • 共有1个答案

    慎俊雄
    2023-03-14

    如果CF不能提供来自缓存的内容,那么SSL连接将被转发到ELB(它将web服务器作为源服务器)

    SSL连接不是“转发”的。在CloudFront和ELB之间建立了新的SSL连接。

    用户和CloudFront之间的SSL连接与CloudFrond和ELB之间的连接完全不同。因此,不要求匹配ELB和CloudFront上使用的域名。

    因此,我还需要在ELB上使用相同的域名(FQDN)(通过Route53 CNAME)并在那里申请相同的证书?

    唯一的限制是弹性负载均衡上的 SSL 证书必须与弹性html" target="_blank">负载均衡上使用的域名匹配。它可以是与云Front上使用的证书和域名不同的 SSL 证书和域名。

    如果您想使用“自定义SSL”功能并支持“所有客户端”,而不仅仅是那些支持SNI的客户端,那么是的,即使您正在使用ACM,您仍然必须支付额外费用。

    示例1

    您可以为www.domain.com和origin.domain.com创建Route 53记录,并为*.domain.com创建SSL证书。从这些记录中,您可以将www.domain.com分配到CloudFront发行版,将origin.domain.com分配到您的ELB,并在这两个地方使用通配符证书。

    示例2

    您可以为www.domain创建Route 53记录。com和origin.domain。com和www.domain的单独SSL证书。com和origin.domain.com。通过这些,您可以分配www.domain。com到CloudFront分发版,使用www.domain。com证书和origin.domain。使用origin.domain访问您的ELB。com证书。

    示例 3

    您可以为www.domain1.com和origin.domain2.com创建Route 53记录,并为www.domain2.com和origin.domain2.com.创建单独的SSL证书。因此,您可以使用www.domain2.com证书将www.domain2.com分配给CloudFront发行版,并使用origin.domain2.com证书将origin.domain2.com分配给ELB。

     类似资料:
    • 背景:我在bigcorp.com的部门被卖掉了,现在我们在lilcorp.com。我们部署了一批设备,将在https://updates.bigcorp.com/,上寻找软件更新,但由于我们不再控制bigcorp.com,我们需要更新我们的设备来检查https://updates.lilcorp.com。bigcorp给了我们一个updates.bigcorp.com的证书,并有一个DNS CNA

    • 互联网- 从Cloudfront到ELB的流量是否需要加密?AWS是在内部转发流量,还是正常的公共请求,如果不通过https提供服务,就容易受到中间人攻击?

    • 我已将一个具有 443 个 HTTPS 端口的 AWS 弹性负载均衡配置为支持 Https 传入请求。但是,从 ELB 中,我想指向一个目标 EC2,该 EC2 具有在端口 80 上运行的 tomcat 服务器,而无需任何 SSL 配置。 我不想在雄猫级别配置 SSL 我的监听器指向端口80上的一个目标EC2(运行tomcat) 我收到503坏网关错误 我已经尝试在服务器上进行以下配置.xml (

    • CloudFront是CDN (Content Delivery Network) 。 它从Amazon S3存储桶中检索数据并将其分发到多个数据中心位置。 它通过称为edge locations的数据中心网络提供数据。 当用户请求数据时,最近的边缘位置被路由,导致最低延迟,低网络流量,快速访问数据等。 AWS CloudFront如何提供内容? AWS CloudFront按以下步骤提供内容。

    • 我有一个应用程序使用Django和vue.js。目前,API在上提供,API.mydomain.com将流量发送到路由到Fargate服务的应用程序负载均衡器,而vue.js静态站点在上提供,vue.js静态站点将流量发送到存储站点静态资产的S3 bucket前的CloudFront分发版。 我希望在上服务API,而不使用子域,并继续在上服务静态站点。 ALB工作得很好,我可以转到ALB自动生成的

    • 对于我工作的项目,我需要从AWS S3在Android上消费视频。 Im使用带有签名URL的专用文件访问。一切正常,但视频流的初始化时间相当长(可能6-10秒)。 Im无法生成正确的url,因此文件是从CloudFront而不是S3中使用的。 我似乎找不到任何关于CloudFront+Android的文档,也找不到任何gradle依赖关系。 我找到的在线资源指向依赖CloudFrontUrlSig