【发布时间】:2020-11-30 08:05:28
【问题描述】:
我们公司刚搬到新办公室,因此也获得了新的网络设备。事实证明,我们的新防火墙不允许通过 VPN 推送路由,它首先必须查找 IP 地址。
众所周知,亚马逊 AWS 不允许其应用负载均衡器使用静态 IP 地址。
所以我们的想法是简单地在应用程序负载平衡器前面放置一个网络负载平衡器(aws 本身描述了一种非常 hacky 的方式 (https://aws.amazon.com/blogs/networking-and-content-delivery/using-static-ip-addresses-for-application-load-balancers/) 似乎工作正常(即使我不是真的就像使用 lambda 脚本注册和注销目标的方法一样)
所以这是我们的问题:事实证明,应用程序负载均衡器只能看到网络负载均衡器的 IP 地址。这可以防止我们使用安全组进行 ip 白名单,我们非常重视这一点。除此之外,我们的一些应用程序(基于 Nginx/PHP)还进行 ip 地址验证和用于将客户端 ip 地址作为 x-forwarded-for 标头传递的 alb。现在我们的应用程序只能看到来自 nlb 的那个。
我们知道使用全球加速器的可能性,但这是一项巨大的投资,因为我们并不真正需要 GA 试图解决的问题。
那么你们是怎么解决这个问题的呢?
感谢您的帮助:)
问候
【问题讨论】:
-
是否像现在一样运行 NLB + ALB,比运行 GA 和 ALB 便宜得多?
-
所以你最终决定什么?我也有同样的问题。
标签: amazon-web-services amazon-ec2