Application Load Balancer 的整合 - Elastic Load Balancing
Amazon CloudFront + AWS WAFAWS Global AcceleratorAWS ConfigAWS WAF

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Application Load Balancer 的整合

您可以將 Application Load Balancer 架構與數個 AWS 其他服務整合來最佳化,以增強應用程式的效能、安全性和可用性。

Amazon CloudFront + AWS WAF

Amazon CloudFront 是一種 Web 服務,可協助改善使用的應用程式的效能、可用性和安全性 AWS。CloudFront 可做為使用 Application Load Balancer 之 Web 應用程式的分散式單一進入點。它將 Application Load Balancer 的觸角擴展到全球,讓它能夠從附近的節點有效率地為使用者提供服務、最佳化內容交付,並減少全球使用者的延遲。這些節點的自動內容快取可大幅降低 Application Load Balancer 的負載,進而改善其效能和可擴展性。

Elastic Load Balancing 主控台中可用的一鍵式整合會建立具有建議 AWS WAF 安全性保護的 CloudFront 分佈,並將其與您的 Application Load Balancer 建立關聯。在到達負載平衡器之前, 會針對常見的 Web 漏洞 AWS WAF 進行保護區塊。您可以從主控台的負載平衡器整合索引標籤存取 CloudFront 分佈及其對應的安全儀表板。如需詳細資訊,請參閱《Amazon CloudFront 開發人員指南》中的在 CloudFront 安全儀表板中管理 AWS WAF 安全保護,以及《https:// 中的 CloudFront 安全儀表板、統一 CDN 和安全體驗簡介。 aws.amazon.com/blogs

作為安全最佳實務,請將面向網際網路的 Application Load Balancer 安全群組設定為僅允許來自 CloudFront AWS受管字首清單的傳入流量,並移除任何其他傳入規則。如需詳細資訊,請參閱《Amazon CloudFront 開發人員指南》>中的使用 CloudFront 受管字首清單設定 CloudFront 將自訂 HTTP 標頭新增至請求,以及設定 Application Load Balancer 僅轉送包含特定標頭的請求Amazon CloudFront

注意

CloudFront 僅支援美國東部 (維吉尼亞北部) us-east-1 區域的 ACM 憑證。如果您的 Application Load Balancer 在 us-east-1 以外的區域中設定了 HTTPS 接聽程式,您需要將 CloudFront 原始伺服器連線從 HTTPS 變更為 HTTP,或在美國東部 (維吉尼亞北部) 區域中佈建 ACM 憑證,並將其連接到您的 CloudFront 分佈。

AWS Global Accelerator

若要最佳化應用程式的可用性、效能和安全性,請為您的負載平衡器建立加速器。加速器會將透過 AWS 全球網路的流量導向靜態 IP 地址,做為最接近用戶端之區域中的固定端點。 AWS Global Accelerator 受到 Shield Standard 的保護,可將 DDoS 攻擊的應用程式停機時間和延遲降至最低。

如需詳細資訊,請參閱《 開發人員指南》中的在建立負載平衡器時新增加速器。 AWS Global Accelerator

AWS Config

若要最佳化負載平衡器的監控和合規,請設定 AWS Config。 AWS Config 提供 AWS 帳戶中 AWS 資源組態的詳細檢視。這包括資源彼此的關係,以及它們在過去的設定方式,以便您可以查看組態和關係如何隨著時間而變化。 AWS Config 簡化了稽核、合規和故障診斷。

如需詳細資訊,請參閱《 AWS Config 開發人員指南》中的什麼是 AWS Config?

AWS WAF

您可以使用 AWS WAF 搭配 Application Load Balancer,根據 Web 存取控制清單 (Web ACL) 中的規則來允許或封鎖請求。

根據預設,如果負載平衡器無法從中取得回應 AWS WAF,則會傳回 HTTP 500 錯誤,而不會轉送請求。如果您需要負載平衡器將請求轉送到目標 AWS WAF,即使無法聯絡,也可以啟用開啟 AWS WAF 失敗。

預先定義的 Web ACLs

啟用 AWS WAF 整合時,您可以選擇使用預先定義的規則自動建立新的 Web ACL。預先定義的 Web ACL 包含三個 AWS 受管規則,可針對最常見的安全威脅提供保護。

  • AWSManagedRulesAmazonIpReputationList - Amazon IP 評價清單規則群組會封鎖通常與機器人或其他威脅相關聯的 IP 地址。如需詳細資訊,請參閱《 AWS WAF 開發人員指南》中的 Amazon IP 評價清單受管規則群組

  • AWSManagedRulesCommonRuleSet - 核心規則集 (CRS) 規則群組提供保護,防止利用各種漏洞,包括 OWASP 出版品中所述的一些高風險和常見漏洞,例如 OWASP 前 10 名。如需詳細資訊,請參閱《 AWS WAF 開發人員指南》中的核心規則集 (CRS) 受管規則群組

  • AWSManagedRulesKnownBadInputsRuleSet ‐ 已知錯誤輸入規則群組會封鎖已知無效的請求模式,並與漏洞的利用或探索相關聯。如需詳細資訊,請參閱《 AWS WAF 開發人員指南》中的已知錯誤輸入受管規則群組

如需詳細資訊,請參閱《 AWS WAF 開發人員指南》中的在 中使用 Web ACLs AWS WAF