1. Dom
  2. Pytanie i odpowiedź
  3. Amazon API Gateway przed ELB i ECS Cluster

Amazon API Gateway przed ELB i ECS Cluster

2017-01-31 12 views
7

Próbuję umieścić Amazon API Gateway przed Load Balancer Application, który równoważy ruch do mojego ECS Cluster, gdzie wszystkie moje mikroserwisy są wdrożone. Motywacją do korzystania z bramy API jest użycie niestandardowego autoryzatora za pośrednictwem funkcji lambda.Amazon API Gateway przed ELB i ECS Cluster

Schemat instalacji

enter image description here

w Amazon słów (https://aws.amazon.com/api-gateway/faqs/): "wnioski pełnomocnika do operacji backend również muszą być publicznie dostępne w Internecie". To zmusza mnie do tego, by ELB stał się publiczny (internetowy), a nie wewnętrzny. Następnie potrzebuję sposobu, aby zapewnić, że bramka API może uzyskać dostęp do ELB poza VPC.

Moim pierwszym pomysłem było użycie certyfikatu klienta w API Gatway, ale ELB nie obsługuje go.

Wszelkie pomysły będą wysoko cenione!

Źródło

2017-01-31 Ricardo García Martín

+2

I nie sądzę, że istnieje proste rozwiązanie. Brama API nie jest dla Ciebie lub musisz zrobić trochę więcej. Rozwiązania obejmują umieszczanie HAProxy przed ALB, który zweryfikuje certyfikat klienta. Lub umieść lambda przed ALB, ale to wymaga buforowania całej odpowiedzi, co może spowolnić działanie. Lub jeśli możesz wstrzyknąć tajny nagłówek do żądania z bramy API do ALB. Ten sekret zostanie następnie zweryfikowany w backendach. Nie polecam korzystania z białej listy adresów IP, ponieważ zakresy adresów IP bramy API nie są statyczne i mogą zmieniać błędy. – doorstuck

+0

Dzięki @doorstuck. Chciałbym uniknąć wprowadzania nowych komponentów, takich jak HAProxy. Domyślam się, że ten scenariusz (API Gateway, ELB, ECS Cluster) jest dość powszechny. Czy AWS nie dostarcza do tego rozwiązania z pudełka? –

+0

Bramka interfejsu API jest bardziej dostosowana do usług funkcji Lambda. Po umieszczeniu kontenerów dockera w hostowanych usługach wydaje mi się, że dodaje on zbyt wiele opóźnień i złożoności. Używam innego proxy zamiast API Gateway, ponieważ mimo to korzystam tylko z części proxy bramki API. Użyłem Skippera przez Zalando z sukcesem. Ale jeśli chcesz korzystać z autoryzacji, buforowania w chmurze itd., To być może bramka API nadal jest drogą do zrobienia. – doorstuck

Odpowiedz

1

Obecnie nie ma możliwości umieszczenia bramki API przed prywatnym ELB, więc masz rację, że musi to być internet. Najlepszym sposobem na rozwiązanie tego problemu jest umieszczenie ELB w trybie przechodzenia TCP i zakończenie certyfikatu klienta na końcowych hostach za ELB.

Źródło

2017-02-01 19:05:30

4

Wydaje się, że jest to ogromny brakujący element dla technologii bramy API, biorąc pod uwagę sposób, w jaki jest on popychany. Brak możliwości połączenia się z serwerem wewnętrznym w VPC znacznie ogranicza jego przydatność jako drzwi wejściowe do uwierzytelniania dla dostępu do Internetu. FWIW, w systemie Azure, zarządzanie interfejsem API obsługuje to po wyjęciu z pudełka - może przyjmować żądania z Internetu i wywoływać połączenia bezpośrednio w sieci wirtualnej, która w przeciwnym razie jest blokowana. Jedynym sposobem, który wydaje się możliwy w AWS, jest użycie Lambdas, która dodaje znaczną warstwę złożoności, szczególnie. jeśli potrzebujesz obsługiwać różne protokoły binarne.

Źródło

2017-10-15 20:49:12

2

Wygląda na to, że ta pomoc została dodana. Nie testowane, YMMV:

https://aws.amazon.com/about-aws/whats-new/2017/11/amazon-api-gateway-supports-endpoint-integrations-with-private-vpcs/?sc_channel=em&sc_campaign=Launch_2017_reInvent_recap3&sc_medium=em_66769&sc_content=other_la_tier1&sc_country=global&sc_geo=global&sc_category=mult&sc_outcome=other&trk=em_66769&mkt_tok=eyJpIjoiT0dJNU1ETTJNamswTkRZNSIsInQiOiJva3h0anN1ZFlPMFwvSkpzSFJDR2IwTWp0YzBuVnZpcnYrOW4wOVc5cGEyMlVsbG9DVmp3Z1phZURjZjlaNCswXC8wbktXSFh2UDlrWnErR1wvXC9wRTFpMUYwOUNkVUY0RVYyeGZlRzIxYk9ITjkxbEEybmN2OTBGQXJ4M0UzS1FUZHMifQ%3D%3D

Źródło

2017-12-04 22:07:59

+1

BTW W końcu wypróbowałem to i tak, działa, ale nie jest to super wygodne - na początek można tylko podłączyć bramkę API do modułu równoważenia obciążenia sieciowego, a nie do mechanizmu równoważenia obciążenia aplikacji, więc jeśli obecnie zewnętrzne ALB-y są konfiguracja, z którą komunikuje się brama, musisz zastąpić ją równoważnikami obciążenia sieci (co oznacza, że ​​tracisz protokół SSL i różne inne opcje, których możesz używać lub nie) lub dodać NLB przed ALB-ami, która może teraz być tylko wewnętrzna. Zmiana istniejącej trasy z "HTTP" na "VPC link" nie jest całkowicie płynna. –

+1

Wszelkie porady dotyczące ustawiania NLB przed ALB? –

Powiązane problemy

 Powiązane problemy