问题[amazon-cloudfront](server)

我已经公开了 API Gateway (HTTP)。要进行身份验证，您必须提供有效的 JWT。

我想用 Cloudfront + WAF 保护这个 APIGW。阅读文档后，我认为 API Gateway 端点仍然暴露在 Internet 上。保护 API Gateway 的唯一方法是验证 WAF 中的 Header。攻击者仍然可以在 Internet 中找到 API Gateway 并直接对 API Gateway 端点进行 DDOS 攻击，而无需经过 Cloudfront。

这种方法被认为是安全的吗？Cloudflare 使用Tunnel来确保您的基础设施不会暴露在 Internet 上。我认为这种方法更安全。AWS 中有类似的功能吗？

刚刚使用这个 repo 在 fedora server 35 上安装了 influxdb：

https://repos.influxdata.com/rhel/8/x86_64/stable/

每次我重新启动服务influxdb（默认配置）时，它都会连接到 aws cloudfront 上的随机 IP：

tcp   ESTAB     0      0            192.168.6.233:44522 143.204.224.81:443   users:(("influxd",pid=45731,fd=16)) timer:(keepalive,20sec,0) uid:988 ino:149215 sk:31 cgroup:/system.slice/influxdb.service <->

tcp   ESTAB     0      0            192.168.6.233:47106   18.64.79.51:443   users:(("influxd",pid=45632,fd=16)) timer:(keepalive,12sec,0) uid:988 ino:148945 sk:29 cgroup:/system.slice/influxdb.service <->

我对 influxdb 很陌生，还没有阅读手册。

有人可以向我解释这种行为吗？

谢谢

问候。

我有两个不同的 Vue.JS 应用程序部署到 AWS S3 + Cloudfront。第一个在 Route53 中设置域，而第二个在 Google 的域服务中设置域。

这两个应用程序都运行良好。最近我尝试在“行为”设置下使用云端预定义的安全标头：

标头策略具有以下所有内容：

第一个应用程序（在 Route53 中配置了域）继续正常工作，但是对于第二个应用程序，我开始遇到 CORS 问题。

这有点令人难以置信，因为我从同一个域中得到了 CORS 错误。

在 wordpress 站点上，我们有请求进入 CloudFront，它将请求发送到通过 ELB 的源（如有必要），并发送到将为请求提供服务的两个或三个实例。

大多数请求都有效，但是当我们将 JSON 文件上传到 时admin-ajax.php，会导致我们从 CloudFront 日志中捕获的 504 错误：

2022-01-31  21:32:24    MIA3-C2 1462    67.190.247.197  POST    d2q8ixmwt0jy43.cloudfront.net   /wp-admin/admin-ajax.php    504 https://xxxxxxx.com/wp-admin/edit.php?post_type=elementor_library&tabs_group=library    Mozilla/5.0%20(Windows%20NT%2010.0;%20Win64;%20x64)%20AppleWebKit/537.36%20(KHTML,%20like%20Gecko)%20Chrome/97.0.4692.99%20Safari/537.36%20Edg/97.0.1072.76 -   -   Error   Ae0gLzThCiZR2N5D8gLO6s-o8IwwlmYrxWvUbUgr1A64_nMpzN0qRg==    evolvetelemed.com   https   167737  30.107  -   TLSv1.3 TLS_AES_128_GCM_SHA256  Error   HTTP/2.0    -   -   64798   30.107  OriginCommError text/html   1033    -   -

该错误似乎是OriginCommError，但我不明白为什么会出现该错误。在我们的 Web 服务器上跟踪实例上的日志表明请求甚至没有到达那里。

我不确定为什么有些请求会起作用而有些则不会。再进一步总结一下，当媒体库中的二进制文件上传到 时async-upload.php，它可以工作。

我们nginx用作前端的网络服务器，php-fpm用于处理 php。

注意 - 我看到其他几个关于重定向到其 S3 静态网站根目录的问题，但我没有看到任何关于从域名根目录重定向到CloudFront/S3 站点的任何内容。

我将我的个人网站部署到 AWS CloudFront 并静态托管在 S3 上。我有一个万维网。CNAME 记录指向 CloudFront 主机名，并且工作正常，但我发现您不能拥有域根目录的 CNAME 记录。我已经有一个带有 nginx 的 VPS，它托管了我的几个其他项目 - 只需将域根目录中的 A 记录添加到我的 VPS IP，并让 nginx 将对域根目录的请求重定向到 CloudFront 主机名，是否可以？

编辑：澄清 - 我希望将所有前往 example.com 的流量转发到分配给我的网站的 CloudFront 主机名。我可以通过为“www.”创建 CNAME 记录来使用www.example.com执行此操作。指向所需的主机名。但是，Google Domains 似乎不允许为根创建 CNAME 记录（即只是 example.com），所以我想知道如何将流量从 example.com 转发到我的 CloudFront 主机名（而不是我可以现在就做，这只是将www.example.com转发到 cloudfront）。

如果它是相关的，我不能做任何类型的通配符重定向，因为我在域上使用其他主机名用于需要特定 A 记录的不同项目。

这将是该站点的可接受/良好实践的 nginx 配置吗？我认为它会起作用，因为www.example.com已经正确转发到 CloudFront 主机名。

server {
        listen 443 ssl;
        server_name example.com;
        rewrite ^/$ https://www.example.com permanent;
        ssl_certificate           /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key       /etc/letsencrypt/live/example.com/privkey.pem;
}

我们将把我们的数据库从 Aurora Serverless 迁移到 Aurora 集群。在此之前，我们想在实时流量场景中测试新数据库的性能。我们曾考虑克隆当前的 API 网关，以新数据库为目标并将流量从生产 API 镜像到测试 API。

这是疯了吗？有什么方法可以在不影响生产 API 网关的性能的情况下实现这一点？（我们的 API 网关前面有一个 CloudFront）也许在 Cloudwatch 中监听 API 网关事件并触发一个 lambda 来针对测试 API 网关运行查询？

似乎有两种方法可以在 S3/CloudFront 上托管静态网站。

1. 创建具有完全公共访问权限且静态网站设置为已启用 + CloudFront 配置的 S3 存储桶
2. 创建没有公共访问权限的 S3 存储桶并将静态网站设置为已禁用 + CloudFront 配置

我不喜欢 (1) 是公开访问的刺眼的“不要这样做”红色文本。但它完美地工作。

我不喜欢 (2) 的地方是我失去了静态网站设置为已启用的好处，就像所有内容都自动重定向到index.html. 现在我看到root originCloudFront 设置中有一个对象，但这仅适用于我的基本域（例如mysite.com）。我的网站是一个 SPA，并且（1）如果我去mysite.com/profile它会正确地去mysite.com/index.html我认为因为我设置了 404 重定向。但是（2）去mysite.com/profile的不是 404，而是 403 访问被拒绝，我认为像 404 那样重定向并不明智。

那么即使是关于公共访问的刺眼红色文本，我是否应该坚持选项（1）？或者是否有适当的方法在没有公共访问/静态网站托管的情况下进行 SPA？

我在我的 Route 53 托管区域中添加了一条指向 CloudFront 的 A 记录。但由于某种原因，它不起作用。

当我做dig mywebsite.com

我明白了

; <<>> DiG 9.16.1-Ubuntu <<>> mywebsite.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42985
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;mywebsite.com.         IN  A

;; Query time: 71 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Пт окт 01 20:29:47 MSK 2021
;; MSG SIZE  rcvd: 41

我只是不明白为什么我的 A 记录在这里是空的。

我将 ns 记录添加到我的域注册器面板中。

; <<>> DiG 9.16.1-Ubuntu <<>> ns mywebsite.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2245
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;mywebsite.com.         IN  NS

;; ANSWER SECTION:
mywebsite.com.      2435    IN  NS  ns-1899.awsdns-45.co.uk.
mywebsite.com.      2435    IN  NS  ns-881.awsdns-46.net.
mywebsite.com.      2435    IN  NS  ns-494.awsdns-61.com.
mywebsite.com.      2435    IN  NS  ns-1077.awsdns-06.org.

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Пт окт 01 20:34:00 MSK 2021
;; MSG SIZE  rcvd: 181

[跳到底部查看更新和最新尝试]

首先，如果我在这里滥用术语，我深表歉意。我作为 FE 开发人员工作，而在网络和设置域和 aws 服务方面的这个领域真的不是我最擅长的。我把这个任务当作学习的好机会。

我在 S3 存储桶上托管一个应用程序。我们的想法是为analytics.gleechi.io提供一个存储桶，另一个用于staging-analytics.gleechi.io，我将在其中用作登台。gleechi.io本身没有内容，因此用户只需重定向到 analytics.gleechi.io

域名 gleechi.io 以前在不同的注册商 (godaddy) 上，我将其转移到 aws。

经过一番努力，我能够为其创建托管区域和 CloudFront 分配，并将它们链接到我的 S3 存储桶。

CF 工作正常，如果我打开它的链接d10yu7tqracz7m.cloudfront.net我的应用程序加载正确。

现在缺少的是将analytics.gleechi.io 地址指向该CF。我无法弄清楚我在这里做错了什么，因为我已经多次遵循 aws 指南并且一切似乎都已到位。我有一些线索表明 DNS 有问题，也许这与之前所有内容都在 aws 之外的某个地方注册的事实有关，我可能需要在这些地方做些什么？

• 我登录了godaddy，但我在那里什么也看不到，但是当我打开gleechi.io时，它向我显示了一个明显来自godaddy的页面。
• 运行命令dig +short gleechi.io给了我来自 1) 的地址，但运行dig +short analytics.gleechi.io没有给我任何东西
• whois gleechi.io让我在运行它时更加混乱 ，给了我Registrar WHOIS 服务器：whois.gandi.net Registrar URL：http ://www.gandi.net 为什么是 gandi？它不应该是aws，因为它是转移的地方吗？或者，如果有的话……那么老爹。有没有可能只有域名在 godaddy 中注册但 DNS 可能在 gandi 中设置？（我没有自己做设置，而是几年前的前雇员，所以我可能在这里处理未知场景）

这是我设置 Route 53 的方法：

1. 我创建了一个托管区域analytics.gleechi.io，并在其中创建了一条记录 A，它指向我的 CF d10yu7tqracz7m.cloudfront.net。
2. 我从那里复制了 4 个 NS 值
3. 我添加了来自analytics.gleechi.io的 4 个 NS 值以及gleechi.io中已经存在的 4 个 NS 值
4. 在 Domains -> Registered Domains -> gleechi.io 我有最初由 Route 53 在 gleechi.io 上创建的 4 个 NS（但不是来自 analytics.gleechi.io 的 4 个），我认为这是正确的做法

这是我遵循的 aws 指南https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-routing-traffic-for-subdomains.html 我还尝试了第一个选项（在托管区域创建记录域），但这也没有成功。

这是我在 Route 53 上的配置和值的屏幕截图

评论和回答后更新：

我删除了 analytics.gleechi.io 的主机区域，并将其添加为 gleechi.io 下的 A 记录。仍然没有成功尝试在https://lookup.icann.org/lookup上查找 gleechi.io 或 analytics.gleechi.io 时会出现此错误：无法使用 WHOIS 服务执行查找：TLD_NOT_SUPPORTED

下面是我更新配置的屏幕截图，我在这里没有想法

如果我有一个运行 Web 应用程序 (HTTP) 的 EC2 实例，并且我有一个 Amazon 提供的 SSL 证书，我可以使用 CloudFront 使 EC2 实例可以通过 HTTPS 访问，自动处理证书。这是对 CloudFront 的合法使用，还是应该以不同的方式进行？