Puncte:0

Puteți împiedica rutarea traficului către un AWS ALB dacă gazda este o adresă IP și nu un nume de domeniu?

drapel in

Rulez un ALB pe AWS cu mai multe certificate SSL. Numele de domeniu este gestionat dinamic prin aplicația de pe EC2. În prezent, ALB va direcționa cererile către adresa IP a ALB către aplicație. Chiar dacă aplicația are o excepție adecvată pentru aceste interogări, acest lucru cauzează intrări inutile în jurnalele în toate jurnalele de solicitări și în WAF.

Primele mele două gânduri au fost...

  1. Adăugați o regulă de ascultător care blochează adresele IP. Din păcate, singura modalitate pe care o văd de a face asta este să am un filtru de antet gazdă activat *.*.*.*. Nu va funcționa pentru că am putea deservi un site site.group.example.com.
  2. Redirecționați cererea către grupul țintă numai dacă antetul gazdă se potrivește cu unul dintre certificatele SSL atașate ascultătorului. Problema aici este că nu găsesc nicio modalitate de a executa acest tip de regulă.
Appleoddity avatar
drapel ng
Ceea ce descrii NU este modul în care funcționează de obicei un ALB.Ați configurat regula implicită să redirecționeze către aplicație, mai degrabă decât să o renunțați cu un http 404. Sau, ați creat o regulă care include aceste solicitări. https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#listener-rules
Tim avatar
drapel gp
Tim
Vrei să spui că adresezi ALB-ului prin adresa IP? Adresa IP a unui ALB se modifică în momente aleatorii, cum ar fi în timpul întreținerii sau când se extinde/degradează. Trimiterea totul de la ALB la aplicație nu este ceva ce am auzit despre cineva să facă, aceasta ar trebui să fie folosind numele de domeniu / SLI.
Bryan Phillips avatar
drapel in
Mulțumiri. Toate acestea au sens și ceea ce mi-am asumat. Pot, și în prezent o fac, să blochez acele cereri la nivel de aplicație. Se pare că singura noastră alternativă de a o bloca înainte de a ajunge la aplicație este să construim reguli specifice domeniului pe ascultător pentru fiecare domeniu la care aplicația va răspunde și apoi să lăsați o regulă implicită pentru a bloca orice altceva. Deoarece am mai multe ALB-uri care deservesc numărul maxim de certificate SSL fiecare, am căutat o opțiune mai automată. Apreciez timpul acordat pentru a comenta.
Puncte:0
drapel in

Actualizarea acestui răspuns, pe baza comentariilor. În esență, este o situație de „nepuneți întrebarea”, deoarece soluția este să enumerați toate numele de domenii ca filtre și să aveți o regulă implicită finală care respinge cererea.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.