web-dev-qa-db-fra.com

Problèmes avec un client impliquant AWS CloudFront et des adresses IP statiques

J'ai un site Web de médias sociaux qui utilise largement AWS.

À travers le site, nous diffusons la vidéo stockée dans S3, qui est ensuite transmise via CloudFront.

J'ai un client qui est l'un de nos plus gros utilisateurs et qui souhaite que notre contenu provienne d'une adresse IP statique.

Apparemment, il possède un pare-feu, qui ne peut être configuré que pour les adresses IP, pas pour les noms de domaine.

Malheureusement, aucun de nos contenus vidéo ne passe par une adresse IP statique. Le domaine est le même, mais l'adresse IP ne l'est pas.

J'ai suggéré d'utiliser un proxy, mais apparemment cela ne fonctionnera pas (aucune explication n'a été fournie quant à la raison pour laquelle cela ne fonctionnerait pas).

Toute cette situation me laisse perplexe, car je me souviens très bien de la configuration de mon routeur Internet bon marché chez moi, il y a 20 ans, pour bloquer ou débloquer les deux adresses IP et noms de domaine. Chaque logiciel pare-feu que j'ai utilisé a la capacité de bloquer ou de débloquer les deux adresses IP et noms de domaine.

Le client auquel je parle est très sympathique, mais il assure la liaison entre moi et un "ingénieur réseau" qui travaille dans son entreprise.

Cet ingénieur réseau semble juste dire non, sans aucune explication à moi-même ni au client, à toutes les suggestions que je fais. Il est apparemment "impossible" de configurer le pare-feu d'entreprise pour bloquer ou débloquer les noms de domaine. Un proxy "ne fonctionnera tout simplement pas". Il insiste sur le fait que nous devons lui fournir une adresse IP statique.

L’ingénieur réseau a également suggéré à un moment donné de devenir "le seul site Web utilisant une adresse IP dynamique". J'ai dû expliquer à mon client que ce n'était tout simplement pas vrai.

Je ne suis pas un expert en réseaux, mais je suis à peu près sûr que ce que nous essayons de faire ici peut être fait sans adresse IP statique, mais je ne sais pas comment procéder lorsque cet ingénieur réseau me bloque à chaque tour.

Ce client est l'un de nos plus gros utilisateurs et je ne veux pas le perdre, mais je crains que ce ne soit le cas si je ne trouve pas de solution que son ingénieur réseau peut accepter.

Quelqu'un peut-il suggérer un plan d'action pour moi?

Désolé si c'est le mauvais endroit pour poser cette question. Je commence juste à être désespéré et je veux trouver une solution positive à cette situation avant qu'elle ne devienne incontrôlable. Si c'est le mauvais endroit, des suggestions quant à l'endroit où je pourrais poser cette question seraient grandement appréciées.

amazon-awsamazon-cloudfrontstatic-ip
1
Jimmery

Je suppose que la meilleure approche, plus évolutive, consiste à déterminer le système utilisé par votre client et à éduquer cet ingénieur réseau.

Mais si vous avez réellement besoin d'une adresse IP statique pour le contenu Cloudfront pour votre client très important et si un sous-domaine différent vous convient, vous pouvez configurer un proxy de votre côté.

Cela dit, vous perdrez les avantages de l'utilisation du cloud avant pour ce client particulier. Tout le trafic de ce client destiné à l'origine au cloud aura été envoyé par proxy via cette instance EC2. Un autre inconvénient est que si le chargement du proxy devient trop important sur cette instance EC2, le seul moyen de redimensionner cette zone est de l’augmenter (obtenir une instance plus grande).

Détails:

  1. Vous aurez besoin d'une adresse IP Elastic sur une instance EC2, par exemple 101.11.12.13.

  2. Configurez un sous-domaine pour votre client avec le DNS pointant vers cette adresse IP:

    myclient.mydomain.com A 101.11.12.13

  3. Exécutez nginx ou Apache sur l’instance EC2 en exécutant un proxy pour proxy sur le contenu du cloud.

Nginx:

    server {
        location / {
            proxy_pass http://yourdistribution.cloudfront.net;
        }
    }

Apache:

ProxyPass / http://yourdistribution.cloudfront.net/
ProxyPassReverse http://yourdistribution.cloudfront.net/ /
3
maskie

Je suis ingénieur réseau, peut-être pas si spécifique, mais juste un autre exemple et je me heurte tout le temps à cette question ...

Il existe un certain nombre de pare-feu qui, lorsqu'ils sont à l'échelle de l'entreprise, ont des problèmes avec les ACL basées sur DNS. Il y a des problèmes de sécurité et de performance à prendre en compte.

Pensez-vous que le DNS ne sera pas corrompu ou corrompu - probablement, mais cela ne signifie toujours pas que vous voulez que vos pare-feu effectuent des recherches.

En ce qui concerne les performances - certains pare-feu suspendent la recherche, ce qui ajoute un délai supplémentaire si la recherche échoue pour une raison quelconque - ne serait-ce que pour une durée extrêmement courte. C'est une grande considération. Aucun problème sur votre routeur domestique, problème majeur dans une grande entreprise où il existe des milliers (des millions, des milliards!) De flux de trafic simultanés.

La bonne solution dans cette instance consiste à utiliser un serveur proxy avec une description quelconque.

1
jim Bob Mc Slim