星期六, 5月 21, 2011

ELB 的 IP 信任問題...

AWS ELBAmazon Web Services 提供的 Load balancing 方案,這個系統設計成 HA 架構,所以不需要自己煩惱要如何用 EC2 做到一樣的事情。而且也因為不需要自己架 server 起來弄,在機器成本上會比較便宜,不過他要照頻寬計費,會依照情況不同而有不同的費用...

他不是 DSR (Direct Server Return) 類型的架構,而是一般 proxy 的架構,也就是 server 會看到 ELB 的 IP,而非使用者的 IP address。這個問題 Amazon Web Services 提供的解法還蠻一般的:將使用者的 IP 加到 X-Forwarded-For header 裡面。到這邊都沒什麼問題...

但是,我沒辦法知道我沒辦法知道 ELB 會從哪些 IP address 連進來,所以我沒辦法設定 trusted IP list。另外一條路是找看看 EC2 的 security group 有沒有支援 ELB,但也找不到... 於是就變成無解的問題了... :o

不過在「ELB and Security Groups」這邊有些討論,像是:
What if all ELBs were members of a special security group, and you could then lock down your webservers by allowing only traffic from that security group? Note: this would be one giant security group that contains the ELBs from all AWS users, not just your security group. Would that suffice? or do you need the security group to be specific to only your loadbalancer?
然後 4 月的時候有 private beta 可以測,到 4 月 28 號的時候收起來,所以這陣子應該有機會看到了...

沒有留言: