我需要能够通过防火墙启用对服务器的访问,以便在Heroku上构建应用程序。不幸的是,来自Heroku的AWS实例的IP似乎有所不同。是否有一种“正确”的方法来确定Heroku的AWS平台对应用程序的期望是什么?
答案 0 :(得分:1)
尽管如此不幸 - 没有一个好方法可以不断获取这些信息。但是,在AWS论坛上,EC2工程师偶尔会发布他们的IP范围(这是最近的例子:https://forums.aws.amazon.com/ann.jspa?annID=1701)。
然而,缺点是它需要大量的手工工作。
答案 1 :(得分:0)
在防火墙中没有可靠的方法来接受Heroku公共IP。即使有,你也会损害你的应用程序并通过Heroku上的其他应用程序打开攻击媒介。
解决方案是在您的公开服务中拥有足够的身份验证层。
答案 2 :(得分:0)
几年前,当Proximo之类的服务不存在时,或者在Heroku社区内未知时,就提出了这个问题。
今天,如果您希望您的出站流量来自可以在防火墙中列入白名单的静态IP,您可以使用像Proximo这样的代理服务(另一个例子是Fixie)。
使用这些服务有一些缺点:
虽然这些插件的设置相对简单,但了解它们如何影响应用程序非常重要。
例如,对于Proximo,您需要将流程包装在特殊实用程序中。 该实用程序将“自动转发由包装进程通过代理进行的出站TCP连接。”
要使出站流量来自静态IP,这些服务会通过代理路由流量。这意味着您将为出站通信添加另一个跃点。
我知道在Heroku上运行的应用程序通常对网络延迟不是很敏感,但考虑这个问题很重要。
虽然这些服务相对稳定,但应注意通过专门的第三方代理路由流量会增加另一个故障点,并可能影响应用程序的整体稳定性。
总而言之,这些服务将帮助您解决问题。但是,我会考虑将它们用作临时解决方法,而不是完整的解决方案。
请放心,这些类型的修复程序可能会持续很长时间,但如果安全性对于您在Heroku上运行的应用程序变得越来越重要,那么开始计划迁移到AWS可能是个好主意。 / p>
如果您想知道何时可以成为您的团队过渡到AWS的最佳时间,我在这里分享了一些注意事项:“Will Heroku always be perfect?”
希望有所帮助。