Bas*_*ers 4 domain-name-system ip-address whitelist amazon-web-services amazon-elb
我正在通过ELB在端口 80 上提供 HTTP 流量。不久之后,越来越多的客户问我我们的 IP 地址是什么(以收集数据)。显然他们不能将ELB的DNS列入白名单,只能将IP地址列入白名单(“您的IP地址一直在变化,我们应该如何应对! ”)。
我能想到的一种解决方案是跟踪我的 ELB 的 IP 地址池,并将服务器上的一些文件列出给客户端?也许这很麻烦,但我很难找到有关这方面经验的信息或文章,尽管我无法想象这是一种罕见的情况。
有没有什么通用的方法可以向人们提供我的 ELB 使用的 IP 地址池?或者这很荒谬,他们只需要使用一些可以将 DNS 地址列入白名单的解决方案?
有没有什么通用的方法可以向人们提供我的 ELB 使用的 IP 地址池?
是的,ELB 建立在 EC2 之上,AWS 发布了特定区域使用的所有公共 IP 范围的列表。可以安全地假设您的 ELB 可以使用的每个 IP 都在其区域的发布范围内。
这些 IP 范围如有更改,恕不另行通知,但 AWS以 JSON 格式维护当前列表,可用于自动维护白名单。
另一方面,这有点多余,因为 DNS 的全部意义在于提供与主机名关联的当前 IP 列表。
或者这很荒谬,他们只需要使用一些可以将 DNS 地址列入白名单的解决方案?
他们不能将主机名列入白名单作为任何支持必须在运行时将 DNS 主机名解析为 IP 然后尊重 TTL 以保持此列表最新的防火墙解决方案,这并不完全荒谬第 7 层并检查主机 HTTP 标头字段。
有点不寻常的是,他们想要将出站连接列入白名单,更常见的是想要将入站连接列入白名单(例如当您尝试访问他们的 API 时),在这种情况下,您可以将实例分配给您的ELB 是 EIP,因此当您的应用程序服务器启动出站连接时,它们具有静态 IP(尽管这样做会妨碍自动缩放)。
一般来说,ELB 并不打算成为每个人的灵丹妙药,它做出妥协,以牺牲少数潜在用户为代价,为 90% 的用例提供显着的好处(例如透明缩放)。如果您的负载均衡器确实需要一个静态 IP,那么OpsWorks 可以让编排 HAProxy几乎同样简单。
| 归档时间: |
|
| 查看次数: |
14542 次 |
| 最近记录: |