.netcore в производстве (aws) обратный прокси и elb?

Question

Я собираюсь разместить несколько основных приложений .net в производстве в aws.После тщательного изучения передового опыта, есть много советов по использованию прокси-сервера revserse для предварительной обработки запроса https и пересылки в kestrel.Итак, мы настроили наш ec2 ami с помощью nginx, и он отлично работает.

Мой вопрос заключается в том, что если мы также используем балансировщик нагрузки, нам все еще нужен обратный прокси-сервер?Мы используем elb для распределения трафика между нашими ами и ssl-терминациями.

Значит ли это, что мы можем отказаться от nginx?

Answer 1

Скорее всего, нет, если вам не нужен прокси-сервер, чтобы сделать что-то умное.

Обычным примером является использование облачного фронта (aws cdn / reverse proxy) перед загрузочным балансировщиком перед вашими экземплярами.

Cdn - это, в основном, обман DNS и набор обратных прокси, распределенных географически.

Вы можете улучшить эту конфигурацию, подключив WAF (брандмауэр веб-приложения) к elb или cdn для активной блокировки.хитрые запросы.

Когда вы используете cf + elb, настройте группы безопасности таким образом, чтобы разрешить elb доступ только к экземплярам и только облачный доступ к elb.

Cloudfront может автоматически обрабатывать перенаправление с http на https, и вы можете использовать бесплатный ssl-сертификат из менеджера сертификатов aws.Предполагая, что вы предотвращаете прямой доступ между Интернетом, elb и интернетом и инстансами, вы можете разгрузить https на фронте облака и использовать http для своих инстансов elb и backend.