AWS API网关和负载均衡器安全通信
AWS API网关和负载均衡器安全通信
提问于 2017-08-16 21:15:36
我们在EC2集群前面使用了AWS API网关和负载均衡器。网关需要负载均衡公有托管,所以我们将负载均衡放在私有网络的公有子网中,我们所有的EC2实例都放在私有网络中。
我们面临的问题是,由于我们的负载均衡在公网私有网络中,如何使不是来自我们的API网关的请求无效。我们只想将请求从负载均衡器传递到EC2实例,当且仅当请求通过我们的API网关时。
当我探索可能的解决方案时,有人建议使用来自网关的公共客户端证书来验证您的请求。我能够从网关获得这个公共证书,但没有找到在负载均衡器中配置它的任何方法。
回答 3
Stack Overflow用户
发布于 2018-11-21 19:09:10
目前正确的解决方案是使用VPC链路和AWS的网络负载均衡器。您可以在您的私有网络资源(例如EC2实例)前面设置一个网络负载均衡,并创建一个网关私有网络链路。在API网关集成中,您选择了私有网络链路,您可以访问网络负载均衡,并扩展到您的私有EC2实例。
Stack Overflow用户
发布于 2017-08-17 00:14:12
您无法在负载均衡级别验证客户端证书。您需要在容器级别进行验证。
您还可以使用另一种方法,将负载均衡器保留为私有,并使用Lambda函数(放置在私有网络内)代理到负载均衡器,您可以在其中验证客户端证书。
Stack Overflow用户
发布于 2017-08-26 22:39:11
在进一步的分析中,我遇到了以下关于AWS API网关方法的问题。
当lambda容器未被重用或处于冷状态时,
- VPC会对lambda容器的初始化时间产生巨大影响。根据其他人的经验,这可能需要10到15秒,并且可能会延迟响应时间。即使是热lambda,在访问私有网络时也会产生时延开销,
- Lambda需要有足够的弹性网卡和内网网段来支持并行执行。表示运行时负载增加,如果没有空闲的网卡,则请求失败。我们不确定是否可以根据请求负载在运行时动态增加弹性网卡。
- 如果弹性网卡不可用导致出现错误或超时,AWS不会为其创建任何日志,您可能对错误的来源一无所知。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/45714650
复制相关文章
相似问题
腾讯云开发者
