Обратный прокси к домену AWS Elasticsearch на основе VPC без обхода AWS Cognito

Question

Заранее извиняюсь - я чрезвычайно новичок в Nginx.

У меня есть два домена AWS Elasticsearch на основе VPC, мы будем называть dev и prod. Я хочу, чтобы оба домена были недоступны для открытого Интернета, но доступны в некоторых сетях за пределами VPC. Для этого я настроил их в качестве доменов Elasticsearch на основе VPC и планировал использовать обратный прокси-сервер, доступный только из сетей, которые я желаю. Я настроил кластер dev, который не имеет аутентификации, используя обратный прокси-сервер NGINX со следующей конфигурацией:

events{

}

http{
  server {
    listen       80;
    server_name kibana-dev.[domain name];

    location / {

      proxy_http_version 1.1;
      proxy_set_header Connection "Keep-Alive";
      proxy_set_header Proxy-Connection "Keep-Alive";

      proxy_pass https://[vpc id].[vpc region].es.amazonaws.com/_plugin/kibana/;
      proxy_redirect https://[vpc id].[vpc region].es.amazonaws.com/_plugin/kibana/ https://kibana-dev.[domain name]/;
    }

      location ~ (/app/kibana|/app/timelion|/bundles|/es_admin|/plugins|/api|/ui|/elasticsearch|/app/opendistro-alerting) {
         proxy_pass          https://[vpc id].[vpc region].es.amazonaws.com;
         proxy_set_header    Host $host;
         proxy_set_header    X-Real-IP $remote_addr;
         proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header    X-Forwarded-Proto $scheme;
         proxy_set_header    X-Forwarded-Host $http_host;
    }

  }
}

Это отлично работает.

Однако для домена prod у меня возникла проблема. Я хочу, чтобы все пользователи, даже те, которые используют прокси-сервер, проходили аутентификацию с помощью AWS Cognito (поэтому я не хочу, например, создавать политику доступа с IP-исключением для IP-адреса прокси-сервера, поскольку это обходит Cognito ).

Я использовал аналогичную конфигурацию NGINX для своего экземпляра "prod" Elasticsearch, но безуспешно. Страница входа в Cognito после аутентификации перенаправляется на URL-адрес на основе VPC. Я попытался вручную добавить URL-адрес моего прокси-сервера в URL-адреса обратного вызова приложения Cognito, но он по-прежнему перенаправляет по умолчанию на URL-адрес на основе VPC. Я также попытался вручную изменить URI перенаправления в URL-адресе Cognito для ссылки на мой прокси-сервер, но обнаружил, что после аутентификации я снова перенаправляюсь на страницу входа в Cognito - возможно, заголовок или что-то не получается?

Как (или можно) запустить это в Nginx, чтобы пользователи могли получить доступ к домену "prod" Elasticsearch, при этом все еще требуя аутентификации в AWS Cognito?

Спасибо!

Answer 1

Doh!Я должен был прочитать документацию более внимательно.AWS предоставляет пример файла конфигурации Nginx для прокси-сервера Kibana с Cognito:

{
server {
    listen 443;
    server_name $host;
    rewrite ^/$ https://$host/_plugin/kibana redirect;

    ssl_certificate           /etc/nginx/cert.crt;
    ssl_certificate_key       /etc/nginx/cert.key;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    location /_plugin/kibana {
        # Forward requests to Kibana
        proxy_pass https://$kibana_host/_plugin/kibana;

        # Handle redirects to Cognito
        proxy_redirect https://$cognito_host https://$host;

        # Update cookie domain and path
        proxy_cookie_domain $kibana_host $host;
        proxy_cookie_path / /_plugin/kibana/;

        # Response buffer settings
        proxy_buffer_size 128k;
        proxy_buffers 4 256k;
        proxy_busy_buffers_size 256k;
    }

    location ~ \/(log|sign|fav|forgot|change|saml|oauth2) {
        # Forward requests to Cognito
        proxy_pass https://$cognito_host;

        # Handle redirects to Kibana
        proxy_redirect https://$kibana_host https://$host;

        # Update cookie domain
        proxy_cookie_domain $cognito_host $host;
    }
}