Application Load Balancer 的集成 - Elastic Load Balancing
亚马逊 CloudFront + Amazon WAFAmazon Global AcceleratorAmazon ConfigAmazon WAF
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Application Load Balancer 的集成

您可以通过与其他几项 Amazon 服务集成来优化 Application Load Balancer 架构,从而增强应用程序的性能、安全性和可用性。

亚马逊 CloudFront + Amazon WAF

Amazon CloudFront 是一项网络服务,可帮助您提高所使用的应用程序的性能、可用性和安全性 Amazon。 CloudFront 充当使用应用程序负载均衡器的 Web 应用程序的分布式单一入口点。它可以扩展应用程序负载均衡器的全球覆盖范围,使其能够从附近的边缘位置高效地为用户提供服务,优化内容交付并减少全球用户的延迟。这些边缘位置的自动内容缓存可显著减少Application Load Balancer的负载,从而提高其性能和可扩展性。

Elastic Load Balancing 控制台中提供的一键式集成可创建具有推荐 Amazon WAF 安全保护的 CloudFront 分配,并将其关联到您的应用程序负载均衡器。在到达您的负载均衡器之前,这些 Amazon WAF 保护措施会阻止常见的 Web 漏洞。您可以从控制台中负载均衡器的 “集成” 选项卡访问该 CloudFront 分配及其相应的安全控制面板。有关更多信息,请参阅《亚马逊 CloudFront 开发者指南》中的 “管理 Amazon WAF CloudFront 安全控制面板” 和 aw s.amazon.com/blogs 上的 “ CloudFront 安全控制面板、统一 CDN 和安全体验简介”。

作为安全最佳实践,请将面向 Internet 的应用程序负载均衡器的安全组配置为仅允许来自 Amazon托管前缀列表的入站流量 CloudFront,并删除任何其他入站规则。有关更多信息,请参阅《亚马逊 CloudFront 开发者指南》中的使用 CloudFront 托管前缀列表配置为 CloudFront 向请求添加自定义 HTTP 标头配置 Application Load Balancer 以仅转发包含特定标头的请求 >。

注意

CloudFront 仅支持美国东部(弗吉尼亚北部)us-east-1 区域的 ACM 证书。如果您的 Application Load Balancer 在 us-east-1 以外的区域中配置了 ACM 证书的 HTTPS 侦听器,则需要将源连接从 HTTPS 更改 CloudFront 为 HTTP,或者在美国东部(弗吉尼亚北部)区域配置 ACM 证书并将其附加到您的分配中。 CloudFront

Amazon Global Accelerator

要优化应用程序的可用性、性能和安全性,请为负载均衡器创建加速器。加速器将 Amazon 全球网络上的流量引导到静态 IP 地址,这些地址在离客户端最近的区域中充当固定端点。 Amazon Global Accelerator 受 Shield Standard 保护,该标准最大限度地减少了 DDo S 攻击造成的应用程序停机时间和延迟。

有关更多信息,请参阅《Amazon Global Accelerator 开发人员指南》中的在创建负载均衡器时添加加速器。

Amazon Config

要优化负载均衡器的监控和合规性,请进行设置 Amazon Config。 Amazon Config 提供了您 Amazon 账户中 Amazon 资源配置的详细视图。这包括资源如何相互关联,以及它们过去是如何配置的,以便您可以看到配置和关系如何随着时间的推移而变化。 Amazon Config 简化审计、合规和故障排除。

有关更多信息,请参阅什么是 Amazon Config? 在《Amazon Config 开发人员指南》中。

Amazon WAF

您可以将 Application Load Balancer Amazon WAF 与 Application Load Balancer 配合使用,根据网络访问控制列表 (Web ACL) 中的规则允许或阻止请求。

默认情况下,如果负载均衡器无法从中获得响应 Amazon WAF,则会返回 HTTP 500 错误并且不会转发请求。如果您需要负载均衡器即使无法联系目标也能将请求转发到目标 Amazon WAF,则可以启用 Amazon WAF 失效打开。

预定义网页 ACLs

启用 Amazon WAF 集成后,您可以选择使用预定义的规则自动创建新的 Web ACL。预定义的 Web ACL 包括三个 Amazon 托管规则,可针对最常见的安全威胁提供保护。

  • AWSManagedRulesAmazonIpReputationList ‐ Amazon IP 信誉列表规则组会阻止通常与机器人或其他威胁关联的 IP 地址。有关更多信息,请参阅《Amazon WAF 开发人员指南》中的 Amazon IP reputation list managed rule group

  • AWSManagedRulesCommonRuleSet ‐ 核心规则集(CRS)规则组有助于防止利用各种漏洞,包括 OWASP 出版物(如 OWASP Top 10)中描述的一些高风险和经常发生的漏洞。有关更多信息,请参阅《Amazon WAF 开发人员指南》中的 Core rule set (CRS) managed rule group

  • AWSManagedRulesKnownBadInputsRuleSet ‐ 已知错误输入规则组阻止请求模式,这些模式确认无效且与漏洞攻击或发现相关联。有关更多信息,请参阅《Amazon WAF 开发人员指南》中的 Known bad inputs managed rule group

有关更多信息,请参阅《Amazon WAF 开发人员指南》 ACLs Amazon WAF中的使用 Web