上一期学会了在S3的场景下配置Cloudfront,
今天要教大家
简单三步骤轻松配置CloudFront + EC2 OAI,
大幅提升源站安全性!
尝试跟我操作看看吧!
重温一下了OAI是什么?
l Origin Access Identity(OAI) 源访问身份,简单来说,就是使终端用户只能通过 CloudFront 访问您的文件,而不能直接从源站的URL或域名访问。
l OAI配置大幅提高源站的安全性,避免恶意流量绕过CloudFront对源站直接进行访问。
l OAI的设定使得CloudFront是唯一入口,透过CloudFront众多Pop点的特性,也能大幅提升流量承载量,避免恶意攻击发生时源站毫无抵御能力。
CloudFront + EC2 OAI
EC2及ALB皆可使用AWS 托管式前缀列表实现类似OAI效果,提高源站安全。
什么是AWS 托管式前缀列表?
简单地说,AWS 管理的前缀列表是 AWS 服务的 IP 地址范围集。
AWS已经把CloudFront的IP范围都进行管理及维护,无需自行维护及更新。
首先,创建 CloudFront 并将源指向所使用的EC2或ALB
接着我们只需要简单三步骤,将托管前缀列表写入源站的安全组即可实现。
1.在VPC界面找到CloudFront托管前缀列表 ID
2.修改源站安全组配置
❗❗注意:已创建的安全组无法直接添加前缀列表规则,会出现以下报错!
▪ 如果安全组规则不多,可以选择重新创建新的安全组
▪ 如果安全组规则较为复杂,可以选择复制到新的安全组,如下图:
❗❗您还可能会遇到以下报错!
因为Amazon CloudFront 托管前缀列表权重在影响 Amazon VPC 配额方面是独一无二的:
▪ 它算作安全组中的 55 条规则。而默认配额为每个安全组 60条规则。
▪ 它在路由表中计为 55 条路由。默认配额为 50 个路由。但不必担心,只需要申请提升配额即可解决此问题!
3.源站关联新的安全组
▪ 添加新的安全组,删除旧的安全组。
透过CloudFront域名访问测试 (成功!)
透过EC2域名访问测试 (失败!)
• end •