修复了aws应用程序负载均衡器背后服务的IP地址
我们公司刚搬到一个新办公室,因此也有了新的网络设备。事实证明,我们的新防火墙不允许在VPN上推送路由,它首先必须查找ip地址。
众所周知,amazon aws不允许其应用程序负载平衡器使用静态ip地址。
因此,我们的想法是简单地将网络负载平衡器放在应用程序负载平衡器的前面(aws本身描述了一种非常黑客的方式(https://aws.amazon.com/blogs/networking-and-content-delivery/using-static-ip-addresses-for-application-load-balancers/)这似乎很好(即使我真的不喜欢lambda脚本注册和注销目标的方法)
所以这就是我们的问题:事实证明,应用程序负载均衡器只能看到网络负载均衡器的ip地址。这阻止了我们使用安全组进行ip白名单,我们经常这样做。最重要的是,我们的一些应用程序(基于Nginx/PHP)还进行ip地址验证,并使用alb将客户端ip地址作为x转发的标头传递。现在我们的应用程序只能看到来自nlb的那个。
我们知道使用全球加速器的可能性,但这是一项重大投资,因为我们并不真正需要大会试图解决的问题。
你们是怎么解决这个问题的?
感谢您的帮助:)
您好
共有2个答案
你能扩展一下吗?“我们知道使用全球加速器的可能性,但这是一项重大投资,因为我们并不真正需要遗传算法试图解决的问题。”遗传算法应该给你更好、更一致的性能,尤其是如果你的办公室远离ALB运行的AWS区域
您可以获取ALB所在区域的AWS IP地址列表,并允许在防火墙中使用这些地址。他们会发布列表,您可以对其进行筛选https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html
我自己还没有这样做,我不确定ALB的地址是否包含在EC2类别下,你会认为整个亚马逊服务“是安全的”。
-
我有一个java应用程序在两个ec2实例中运行,客户可以使用AWS应用程序负载均衡器访问它们。现在ALB可以作为SSL终止点工作。所有请求都通过端口443上的ALB。工作正常。问题是java应用程序有时需要重定向到不同的路径。由于java应用程序不知道它在SSL ALB后面运行,因此重定向路径包括超文本传输协议://而不是https:// 有什么方法可以在我的应用程序之外将协议修改为https?
-
问题内容: 我正在尝试将所有传入的Traefik从http重定向到https,用于Web应用程序,该应用程序从具有自定义端口的docker容器中获取。 如果我构建了这个docker compose文件,并扩展了应用程序,一切将按预期工作。我可以请求应用程序的http和https,但是我尝试实现仅提供https并将http重定向到https的目的。 由于我使用的是Docker-Compose文件,因
-
用于设置容器内pod的访问方式。 服务 服务定义了访问后端Pod的访问方式。 路由 路由是允许访问集群内路由的规则集合。
-
我在将https添加到我的EC2实例时遇到了一个问题,也许你们可以找到让它工作的答案。 我有一个负载平衡器,它正在将连接转发到我的EC2实例,我已将SSL证书添加到负载平衡器,一切正常,我已将侦听器添加到端口443,该端口将转发到我的实例的端口443,我已将Apache配置为在端口443和80上侦听,现在这里是我的负载平衡器的屏幕截图: SSL证书有效,在端口80(HTTP)上一切正常,但如果我尝
-
我在AWS ElasticBeanstek上运行laravel应用程序,我使用应用型负载均衡。 当我运行这段代码时,不会显示我的ip,它会显示负载平衡器的ip地址。 那些在cloudflare上使用相同问题的人也有过cloudflare的经验,并且有cloudflare的解决方案,但我找不到AWS应用程序负载平衡器的解决方案。 我在获取用户的ip地址和在维护模式下添加-允许ip时遇到问题。 当我运
-
我正在尝试学习负载平衡和服务器是如何工作的(既有云服务器,也有常规池服务器)。根据我的理解,负载均衡器将用户的请求重定向到压力/连接量最少的服务器,这样无论有多少用户在发出相同的请求,网页都可能快速加载。我感到困惑的部分是每个服务器所做的任务。从我在网上看到的图和诸如此类的东西来看,似乎有多个服务器执行不同的任务,例如发送视图文件(html)、发送静态内容或数据库服务器(MySQL)。但我也听说这