web-dev-qa-db-ja.com

AWS CloudFrontおよび静的IPを含むクライアントの問題

AWSを広範囲に使用するソーシャルメディアウェブサイトがあります。

サイトを通じてS3に保存されたビデオをストリーミングし、このビデオはCloudFrontを介して配信されます。

私たちのコンテンツを静的IPアドレスから取得したい最大のユーザーの1人であるクライアントがいます。

どうやら彼にはファイアウォールがあり、ドメイン名ではなくIPアドレスに対してのみ設定できます。

残念ながら、ビデオコンテンツはいずれも静的IPアドレスを介して送信されません。ドメインは同じですが、IPは異なります。

プロキシを使用することをお勧めしましたが、明らかにこれは機能しません(なぜ機能しないのかについての説明はありません)。

20年前から自宅で安価なインターネットルーターを構成して両方のIPアドレスをブロックまたはブロック解除することを明確に覚えているので、この状況は私を混乱させますandドメイン名。これまでに使用したファイアウォールソフトウェアには、両方のIPアドレスをブロックまたはブロック解除する機能がありますおよびドメイン名。

私が話すクライアントは非常に友好的ですが、彼は私と彼のビジネスで働く「ネットワークエンジニア」と連絡を取り合っています。

このネットワークエンジニアは、自分自身やクライアントへの説明なしに、私が行うすべての提案に対してノーと言っているようです。どうやら、ドメイン名をブロックまたはブロック解除するようにビジネスファイアウォールを構成することは「不可能」です。プロキシは「機能しません」。彼は、静的IPアドレスを提供する必要があると断言します。

ネットワークエンジニアはまた、ある時点で、「動的IPアドレスを使用するインターネット上の唯一のWebサイト」であると提案しました。私はクライアントにこれが真実ではないことを説明しなければなりませんでした。

私はネットワークの専門家ではありませんが、ここで達成しようとしていることは静的IPアドレスがなくても実行できると確信していますが、このネットワークエンジニアが毎回私をブロックした場合の対処方法はわかりません。

このクライアントは私たちの最大のユーザーの1人であり、私は彼を失いたくはありませんが、彼のネットワークエンジニアが受け入れることができる解決策を見つけられない場合、これが当てはまるかもしれません。

誰かが私のために一連の行動を提案できますか?

これがこの質問をするのに間違った場所である場合は申し訳ありません。私は非常に必死になっており、手に負えなくなる前にこの状況に対する肯定的な解決策を見つけたいと思っています。これが間違った場所である場合、この質問を他にどこに依頼できるかについての提案は大歓迎です。

amazon-awsamazon-cloudfrontstatic-ip
1
Jimmery

クライアントが使用しているシステムを見つけ、そのネットワークエンジニアを教育することが、より優れた、よりスケーラブルなアプローチだと思います。

しかし、本当に重要なクライアントのCloudfrontコンテンツにサービスを提供するために静的IPが本当に必要な場合、および別のサブドメインが受け入れられる場合は、彼の側にプロキシを設定できます。

ただし、この特定のクライアントにクラウドフロントを使用する利点は失われます。もともとクラウドフロントを対象としたこのクライアントのすべてのトラフィックは、このEC2インスタンスを介してプロキシされます。もう1つの欠点は、このEC2インスタンスでプロキシの負荷が重くなりすぎた場合、このボックスをスケーリングする唯一の方法はスケールアップすることです(より大きなインスタンスを取得する)。

詳細:

  1. EC2インスタンスのElastic IPアドレス、たとえば101.11.12.13が必要になります

  2. このIPを指すDNSを使用して、クライアントのサブドメインをセットアップします。

    myclient.mydomain.com A 101.11.12.13

  3. EC2インスタンスでnginxまたはApacheを実行して、プロキシをクラウドフロントコンテンツにプロキシします。

Nginx:

    server {
        location / {
            proxy_pass http://yourdistribution.cloudfront.net;
        }
    }

Apache:

ProxyPass / http://yourdistribution.cloudfront.net/
ProxyPassReverse http://yourdistribution.cloudfront.net/ /
3
maskie

私はネットワークエンジニアと言われていますが、おそらく特定のものではなく、別の例であり、私は常にこの質問に答えます...

エンタープライズ規模では、DNSベースのACLに問題があるファイアウォールが数多くあります。考慮すべきセキュリティとパフォーマンスの問題があります。

DNSが破壊されたり破損したりしないことを信頼できますか?おそらく、それでもファイアウォールで検索を実行する必要はありません。

賢明なパフォーマンス-一部のファイアウォールは検索を実行するために一時停止し、何らかの理由で検索が失敗した場合は遅延を追加します(非常に短い時間の場合のみ)。これは大きな考慮事項です。自宅のルーターでは問題ありません。数千(数百万、数十億!)の同時トラフィックストリームがある大規模な組織では大きな問題です。

この場合の正しい解決策は、何らかの説明のプロキシサーバーを使用することです。

1
jim Bob Mc Slim