Почему некоторые IP-адреса заблокированы CloudFront?

Question

Моя компания использует CloudFront для обслуживания своих услуг более года. Предполагается перенаправить trafi c на балансировщик нагрузки, который распределяет нагрузку на ECS. Прошлой ночью неожиданно для определенных IP-адресов, таких как IP-адрес нашего офиса, IP-адрес центра обработки вызовов, начали появляться ошибки тайм-аута шлюза CloudFront HTTP 504. Если я переключаюсь на мобильный inte rnet по телефону - все будет в порядке. Время выполнения совсем не долгое - одна из служб представляет собой простой веб-сайт, предназначенный только для конечных пользователей.

То же самое произошло без настройки параметров или чего-либо еще. Кроме того, то же самое произошло с нашими средами производства и разработки, которые используют разные учетные записи AWS. WAF отключен, поэтому здесь это не должно быть проблемой (в среде разработки его никогда не было).

Самое главное, что некоторые из наших интеграций перестали работать именно по этой причине, поэтому это критично.

Буду признателен за любую помощь.

Answer 1

Существует группа безопасности auto-cloudfront , которая вносит в белый список IP-адреса пограничных серверов CloudFront, поэтому Load Balancer будет принимать только соединения от них. Существует лямбда-функция для автоматического обновления группы безопасности новыми IP-адресами.

В день выпуска AWS добавлено 12 новых пограничных серверов CloudFront. Всего их было 69. Причина root состояла в том, что группа безопасности может содержать до 60 IP-адресов, в то время как существует 69 серверов / IP-адресов. Поэтому Группа безопасности не обновлялась, а некоторые пограничные серверы не были включены в белый список.