我们使用以下AWS基础架构:
Route53-> CloundFront - > Elasticbeanstalk(+ LoadBalancer = ELB) - > EC2实例
现在我们在CloudFront级别设置了ssl证书,在ELB级别设置了相同的证书,从而为我们提供了CF和ELB之间的端到端加密。 AWS CF和origin之间的End2End被描述为最佳实践here。
这指的是picture上的完整SSL(严格)(这适用于CloudFlare堆栈,但它是为了更好的说明,所以不要紧。)。我们希望在AWS CF级别卸载SSL,以避免从CF到ELB的往返转移到灵活SSL,如图所示。
在CF级别卸载SSL是个好主意吗?在CF级别之后是否会有任何性能改进值得删除end2end加密?
我们能否以某种方式限制ELB仅接受来自某些AWS CF的连接?
此外,还有一些关于ELB SSL performance的性能问题(似乎证明它很擅长但我仍然有顾虑)。总的来说,如果AWS CF在SSL解密工作方面的表现优于ELB,那也很有意思。
答案 0 :(得分:2)
根据应用程序的性质和合规性要求,在CF处卸载SSL。
通常,如果所有实体都通过CF访问应用程序(例如,没有从某些客户端到后端VPC的VPN连接),则在CF处卸载就足够了。在两者中使用SSL的性能差异并不显着。
仅允许从CF到ELB的入站,目前没有直接的方法可用。一种可能的方法是使用Lambda函数更新ELB的安全组,从AWS提供的JSON URL获取CF IP范围。
与ELB相比,CF的SSL卸载速度更快,因为有许多服务器在边缘位置运行,接受您的连接,而ELB为每个AZ(通常为2或3)提供服务器。
