我在facebook上刮我的网页时遇到了问题。 Facebook调试器给了我一个504超时。我开始认为这是因为我的EC2实例支持IPv6。
我正在设置ELB来测试它。
任何人都有这个问题。它过去工作得很好,但你知道云会如何改变你。
ELB是唯一支持IPv6的吗?那么API网关呢?
最后,实践是终止ELB上的SSL / TLS并依赖AWS中的私有内部网络来保护您的数据免受ELB到EC2实例的影响。
我是否可以依赖AWS来获取我的EC2实例的流量,而无需嗅探器挑选我的敏感数据?
提前致谢。
答案 0 :(得分:2)
不幸的是,到目前为止,EC2并不支持IPv6。 API网关无法为您提供帮助。对ELB的IPv6支持实际上是作为一种解决方法而设计的。有关详细信息,请参阅forum。
关于您的数据包被嗅探,我认为您不必担心它。一旦您的数据包在您的VPC内部路由,他们就无法从外部或任何其他VPC用户嗅探。我确定AWS的某个工程师是否真的想要(因为他们拥有基础设施),他们可以嗅探您的数据包,但它会在他们宣传的安全和隐私保证之外运行。我认为可以不担心在你的VPC中加密数据包,我相信大多数VPC用户(包括我自己)都没有达到这些长度。
答案 1 :(得分:1)
来自re:Invent 2013的presentation描述了VPC以及如何在子网中和子网之间路由数据包。 24分钟标志的特殊细节。一句话:您不必担心第三方嗅探您的数据包。 根据描述,在发送方和接收方都验证了数据包,因此即使结构发生故障并将数据包发送给其他人的实例,该实例上的低级驱动程序也将拒绝接受该数据包(和它会触发警报)。
亚马逊可以嗅探你的数据包吗?从理论上讲,一个流氓员工可以,但是他们可以做到这一点并侥幸逃脱,亚马逊声称没有。但是,如果亚马逊被认为是威胁,那么他们可能会从内存中拉出数据包甚至将任何TLS密钥拉出内存,因为他们拥有虚拟机管理程序......您要么信任亚马逊,要么您不使用EC2。那里没有中间地带。