个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
25
4
使用 Amazon Elastic Load Balancing 的一种方式(或服务器端)TLS/HTTPS 是 well documented
文档中对双向(或客户端)TLS/HTTPS 的支持并不明确。
假设 ELB 正在终止 TLS/HTTPS 连接:
ELB 确实支持 TCP 转发,因此 EC2 托管服务器可以建立双向 TLS/HTTPS 连接,但在这种情况下,我对 ELB 终止 TLS/HTTPS 连接并识别客户端感兴趣。
最佳答案
在双端 HTTPS 模式下,我看不出它是如何实现的,因为 ELB 正在建立到后端服务器的第二个 TCP 连接,并且在内部它正在解密/加密来自客户端和服务器的负载...所以服务器不会直接看到客户端证书,并且除了 -For、-Proto 和 -Port 之外没有记录的 X-Forwarded-* header 。
另一方面,对于以 TCP 模式运行的 ELB,SSL 协商直接在客户端和服务器之间完成,ELB 盲目地将流绑定(bind)在一起。如果服务器支持 PROXY protocol , 你可以 enable that functionality in the ELB这样您就可以在服务器上识别客户端的原始 IP 和端口,并直接识别客户端证书,因为客户端将直接与您协商......尽管这意味着您不再将 SSL 卸载到 ELB,这可能成为你正在尝试做的事情的一部分。
更新:
看起来似乎没有一种方法可以单独使用 ELB 来完成您想做的所有事情——卸载 SSL 并识别客户端证书。以下信息“物有所值”。
显然 HAProxy 有 support for client-side certificates in version 1.5 , 并在 X- header 中传递证书信息。由于 HAProxy 还通过配置支持 PROXY 协议(protocol)(类似于 tcp-request connection expect-proxy )...连接和转发来自 ELB 的客户端 IP/端口信息(通过 PROXY 协议(protocol)) 和客户端证书信息到应用程序服务器。 . 从而允许您仍然保持 SSL 卸载。
我提到这个是因为它似乎是一个互补的解决方案,可能比任何一个单独的平台都更完整,而且,至少在 1.4 中,这两个产品可以完美地协同工作——我在 ELB 后面成功地使用了 HAProxy 1.4我最大的网络平台上的请求(在我的例子中,ELB 正在卸载 SSL——没有客户端证书),尽管级联负载平衡器明显冗余,但它似乎是一个可靠的组合。我喜欢让 ELB 成为糟糕的互联网上唯一的东西,尽管我没有理由认为直接暴露的 HAProxy 本身会有问题。在我的应用程序中,ELB 用于在 A/Z 中的 HAProxies 之间进行平衡(我原本打算也自动缩放,但即使在我们的繁忙季节,CPU 利用率仍然很低,我从来没有超过一个可用区,而且我从来没有丢失过一个,但是......)然后它可以在将流量传递到实际平台之前进行一些过滤,转发和修改 header 除了给我ELB 本身没有的一些日志记录、重写和流量拆分控制。
关于ssl - 支持带 ELB 的双向 TLS/HTTPS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21245852/
25
4
0
这似乎与子网/可用区有关,但我是使用 VPC 的新手,它让我望而却步。 专有网络:10.80.0.0/16 子网:10.80.1.0/24 (us-east-1b) 子网:10.80.2.0/24 (
我想向 ELB 后面的所有实例发送更新。我更喜欢发送更新而不是从实例端轮询。是否可以向 ELB 发送将广播到所有实例的消息? 最佳答案 不直接,不。 一种编程解决方法是查询 ELB API 以发现健康
(我试图了解 ELB 网络如何在 VPC 中工作,并发布此问题) 当我们向公共(public) ELB 添加两个子网时,aws elb create-load-balancer --load-bala
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 去年关闭。 Improve this
我目前将我的 Web 应用程序托管在 AWS 上,我使用两个 ELB 实例,一个用于对应用服务器的前端请求进行负载均衡,另一个用于对从应用服务器到 API 服务器的后端请求进行负载均衡,像这样(抱歉糟
对于我的堆栈,我需要自动检索 AWS 上负载均衡器的 dns,因为我删除/创建以更新我的堆栈和服务器,名称一直在变化,或者我需要能够自动检索 dns来 self 在 AWS 中的 ELB 谢谢 最佳答
有谁知道带 SSL 的 AWS ELB 在幕后是如何工作的?在我的 ELB 域名上运行 nslookup,我得到 4 个唯一的 IP 地址。如果我的 ELB 启用了 SSL,AWS 是否可以与其他启用
在亚马逊的“经典负载均衡器”上,您可以创建一个规则来将 HTTPS 连接转发到 HTTP,通过将证书上传到负载均衡器并让服务器只处理 http 来简化 SSL 和服务器配置。 我现在正在尝试使用 Am
免责声明: 本主题适用于 HTTP 流量(在 Linux 平台上)。对于以下问题,ELB 可能有一个很好的解决方案(每个人都价格合理)。但到目前为止我找不到任何东西。这就是为什么我需要专家的建议。 问
ELB:弹性负载均衡器 ALB:应用程序负载均衡器 我正在尝试将 aws 上的 elb/alb 映射到另一个 elb(例如: http://my-elb-domain.com ), elb/alb -
我知道 Apigee 可以将请求转发/负载均衡到目标服务器。但是各种云提供商都出售他们的负载均衡器,如果在我的后端应用程序中,我只是公开 API 并且我使用 apigee 边缘,为什么我需要这些负载均
我想知道是否可以使用 CF 堆栈未导出的现有 ELB 在新的 CFT 中引用并在生成的 CF 堆栈中使用。唯一的在线资源似乎是现有的 CFT 需要导出 ELB,以便新的 CFT 导入它。然而,新的 C
我通过使用 ELB、自动缩放、RDS 和 ELB 外部的一个 Node ec2 实例在 AWS 上创建了一个架构(希望它不会错)。现在我不明白,我可以如何在此架构上实现 SSL。 让我简要解释一下:
我在两个 Ubuntu 实例中使用 Tomcat,它们位于 Amazon Web Services 云中的 ELB(弹性负载均衡器)后面。每个 Tomcat 安装在同一个引擎中都有多个虚拟主机。 EL
我已经配置了一个带有 443 HTTPS 端口的 AWS ELB 来支持 Https 传入请求。但是,我想从 ELB 指向一个目标 EC2,它有一个在端口 80 上运行的 tomcat 服务器,没有任
我在使用 ELB 的 aws 上有一个主节点和两个辅助节点。阅读和写作的最佳实践是什么? 1)我是否创建一个包含所有节点的单个LB,主节点和次节点都在ELB中,让python(pymongo)处理排序
我们有一组 EC2 服务器的多个 SSL 证书(由于旧版限制)。我们有多个 ELB 指向该组,每个 ELB 终止特定证书的 SSL。我们现在想要转向自动扩展,而不是硬编码的 EC2 实例列表。单个自动
mod_pagespeed 重写了我的 css 链接 链接 href="/css/file.css"rel="样式表" 类似于: 链接 href="http://example.com/css/fil
在此正则表达式中,https://regex101.com/r/SzzJDE/7如何对 __utm.gif 进行分组 我有 \"(\S+)\s+\w+:\/\/([\w\-\.]*):\S+(\/\S
我有一个发布请求,它将触发服务器代码以在所有实例的内存中缓存数据。所以我需要通过nginx将此请求路由到所有实例。是否可以在 ELB 中配置它? 最佳答案 不,这在 ELB 中是不可能的。我建议要么使
我是一名优秀的程序员,十分优秀!