înregistrare Logare
Puncte:1
Xeven avatar Server

AWS NLB cu IP de intrare în listă albă

drapel in
Xeven

În primul rând, sunt începător cu serviciile docker-compose și AWS, dar am încercat să învăț despre el și să-l pregătesc corect, orice sfat este binevenit.

Trebuie să public o aplicație cu ECS (această parte funcționează bine, folosesc un docker-compose pentru a o face.Se publică corect cu un ip public elastic și funcționează), dar accesul la aplicație trebuie limitat de IP-uri permise. Ideea mea a fost să public aplicația cu un IP public (IP elastic alocat echilibrului de încărcare) și să limitez accesul grupurilor de securitate de acolo.

Dar pot adăuga orice tip de grup de securitate la echilibratorii de încărcare și, dacă am modificat grupul de securitate al serviciilor mele, acestea nu funcționează.

Întrebarea mea este, pot aloca o listă albă IP-uri unui NLB? Am văzut că pot face ca o listă albă IP în ALB, dar nu atribuie ip elastic.

574
0 + 0
Puncte:1
Tim avatar Server
drapel gp
Tim

Publicați o aplicație web/API? Dacă da, probabil că ar trebui să utilizați un echilibrator de încărcare a aplicației, mai degrabă decât un echilibrator de încărcare de rețea. NLB-urile sunt de obicei folosite pentru aplicații non-http(e), le puteți folosi cu http(e), dar ALB-urile tind să fie mai potrivite.

Considerații de proiectare

Vă sugerez să vă gândiți dacă aveți într-adevăr nevoie de un IP static. Unele sisteme vechi sau încorporate ar putea avea nevoie de el, dar majoritatea sunt de acord cu o adresă DNS. Dacă într-adevăr aveți nevoie de un IP static, îl puteți folosi una dintre aceste tehnici (sau altele pe care le găsiți pe Google) pentru a da unui ALB un IP static, AWS Global Accelerator ar face-o, dar nu sunt sigur că este o soluție bună pentru dvs. De asemenea, ar trebui să luați în considerare disponibilitatea ridicată.

În ceea ce privește IP-urile statice pentru lista albă, ați putea lua în considerare autentificarea fie cu AWS Cognito integrat cu ALB (cel mai bun), fie în interiorul containerului. De obicei, ne federam cu Azure AD, dar puteți defini utilizatori/grupuri în Cognito. Traficul utilizatorilor către ALB ajunge la containerul/serverul țintă numai dacă Cognito autorizează traficul.

Recomandare principală: AWS ALB integrat cu AWS Cognito pentru autentificare, grup de securitate în jurul ALB dacă doriți, dar nu este necesară înscrierea în lista albă.

Întrebare originală

ALB-urile au grupuri de securitate. Echilibratoarele de sarcină de rețea nu. Un NLB este invizibil pentru trafic, așa că puneți un grup de securitate în jurul resursei (containerului) mai degrabă decât al echilibrului de încărcare.

Opțiuni de înscriere în lista albă IP ALB:

  • Puteți lista albă accesul la un ALB cu un grup de securitate, dar nu puteți lista neagră cu un grup de securitate. Există un număr maxim de reguli, dar fiecare ALB poate avea, probabil, mai multe SG atașate - deși aveți grijă, deoarece poate afecta performanța. Aceasta este recomandarea mea secundară pentru tine dacă nu vrei să folosești Cognito.
  • Puteți lista albă sau lista neagră cu Listele de control al accesului la rețea (NACL)
  • Puteți face ceva în interiorul containerului cu un firewall local, dar nu sugerez asta

Opțiuni de înscriere în lista albă IP NLB:

  • Grup de securitate în jurul containerului ECS
  • NACL în jurul subrețelelor
0 + 0
Xeven avatar
drapel in
Xeven
Da, public o aplicație web (în viitor și API-ul ei).Am folosit un NLB pentru că îi pot atribui un IP elastic (îmi permite să accesez aplicația web și api), dar în cazul ALB, am văzut că pot folosi SG pentru un acces pe lista albă, deși nu pot atribui un IP elastic la acesta. Cum îl pot atribui sau un IP public static unui ALB?
0
Răspunde
Tim avatar
drapel gp
Tim
Mi-am editat răspunsul - al doilea paragraf. Aveți o cerință grea pentru un IP static? IP-urile statice vă pot limita capacitatea de a oferi disponibilitate ridicată. ALB cu nume DNS este o soluție mai bună în majoritatea cazurilor, pentru aplicația web și API
0
Răspunde
Xeven avatar
drapel in
Xeven
Poate că un IP static nu este obligatoriu, deoarece este o aplicație web pe care vrem doar să o permitem acces la anumite IP-uri. Sunt atât de nou în rețea, îmi poți recomanda niște documentație sau ceva despre asta? Oricum o sa incerc. Multumesc Tim.
0
Răspunde
Tim avatar
drapel gp
Tim
Aplicația Load Balancer cu un grup de securitate pentru a oferi o listă albă va fi de departe cea mai bună / cea mai ușoară opțiune. Documentația AWS este excelentă și există o mulțime de resurse / tutoriale online. Aruncă o privire și la răspunsul meu actualizat, în jurul Cognito.
1
Răspunde
Xeven avatar
drapel in
Xeven
Sunt interesat de AWS Cognito, ar putea simplifica câțiva pași. Am nevoie de o funcție de bază săptămâna aceasta, așa că voi încerca mai întâi opțiunea ALB/NLB și apoi voi integra o opțiune bună pentru a învăța și a ști cum să o fac în viitor. În timp ce căutam informații, am văzut această adresă URL în AWS https://aws.amazon.com/about-aws/whats-new/2021/09/application-load-balancer-aws-privatelink-static-ip-addresses-network-load-balancer/ Îmi va rezolva și problema? Offtopic: Îmi puteți recomanda un material bun care să explice despre AWS și rețea, este intestin, dar știu foarte puține despre el. Multumesc foarte mult pentru ajutorul tau
0
Răspunde
MLu avatar
drapel id
MLu
@Tim haide, Global Accelerator nu este o „soluție complicată”! Este de fapt răspunsul corect atunci când cineva are nevoie de un ALB cu IP-uri statice ;)
0
Răspunde
Tim avatar
drapel gp
Tim
@MLu ha, nu am folosit încă acel serviciu, așa că nu știu prea multe despre el, în afară de ceea ce a trebuit să învăț pentru diferitele certificate AWS :) Cred că cheia aici este înțelegerea cerințelor și arhitectura pentru ce este necesar, mai degrabă decât să facă ideea inițială să funcționeze. ALB cu Cognito este probabil cel mai bun, ALB cu SG este următorul pas în jos, apoi poate GA cu ALB.
0
Răspunde
MLu avatar
drapel id
MLu
@Tim într-adevăr și ai perfectă dreptate. Tocmai comentam despre acea declarație de âludgy workoutâ w.r.t. GA - este de fapt un serviciu extraordinar și nu atât de scump. Consultați https://speedtest.globalaccelerator.aws/ ;)
1
Răspunde
Tim avatar
drapel gp
Tim
@MLu care arată ca un serviciu util și nu un kludge, și chiar și Wellington la Sydney beneficiază puțin. Nu mai folosisem GA până acum, alte zeci de servicii, dar nu acela! Nu este soluția potrivită pentru această întrebare, dar ar putea fi bună pentru alte soluții - în special pentru întreprinderi. Prețul este destul de rezonabil pentru AWS ;)
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.