Заранее извиняюсь - я чрезвычайно новичок в Nginx.
У меня есть два домена AWS Elasticsearch на основе VPC, мы будем называть dev и prod. Я хочу, чтобы оба домена были недоступны для открытого Интернета, но доступны в некоторых сетях за пределами VPC. Для этого я настроил их в качестве доменов Elasticsearch на основе VPC и планировал использовать обратный прокси-сервер, доступный только из сетей, которые я желаю. Я настроил кластер dev, который не имеет аутентификации, используя обратный прокси-сервер NGINX со следующей конфигурацией:
events{
}
http{
server {
listen 80;
server_name kibana-dev.[domain name];
location / {
proxy_http_version 1.1;
proxy_set_header Connection "Keep-Alive";
proxy_set_header Proxy-Connection "Keep-Alive";
proxy_pass https://[vpc id].[vpc region].es.amazonaws.com/_plugin/kibana/;
proxy_redirect https://[vpc id].[vpc region].es.amazonaws.com/_plugin/kibana/ https://kibana-dev.[domain name]/;
}
location ~ (/app/kibana|/app/timelion|/bundles|/es_admin|/plugins|/api|/ui|/elasticsearch|/app/opendistro-alerting) {
proxy_pass https://[vpc id].[vpc region].es.amazonaws.com;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $http_host;
}
}
}
Это отлично работает.
Однако для домена prod у меня возникла проблема. Я хочу, чтобы все пользователи, даже те, которые используют прокси-сервер, проходили аутентификацию с помощью AWS Cognito (поэтому я не хочу, например, создавать политику доступа с IP-исключением для IP-адреса прокси-сервера, поскольку это обходит Cognito ).
Я использовал аналогичную конфигурацию NGINX для своего экземпляра "prod" Elasticsearch, но безуспешно. Страница входа в Cognito после аутентификации перенаправляется на URL-адрес на основе VPC. Я попытался вручную добавить URL-адрес моего прокси-сервера в URL-адреса обратного вызова приложения Cognito, но он по-прежнему перенаправляет по умолчанию на URL-адрес на основе VPC. Я также попытался вручную изменить URI перенаправления в URL-адресе Cognito для ссылки на мой прокси-сервер, но обнаружил, что после аутентификации я снова перенаправляюсь на страницу входа в Cognito - возможно, заголовок или что-то не получается?
Как (или можно) запустить это в Nginx, чтобы пользователи могли получить доступ к домену "prod" Elasticsearch, при этом все еще требуя аутентификации в AWS Cognito?
Спасибо!