Route 53 health checking um servidor FTP

1

Gostaríamos de usar uma verificação de integridade TCP na porta 21 para o failover do Route 53 de um par de servidores FTP em execução em instâncias do EC2 com Elastic IPs.

O problema é que temos os servidores FTP em um grupo de segurança que só permite conexões de uma pequena lista de desbloqueio de blocos CIDR (FTP é ruim o suficiente, mas FTP aberto é assustador).

O grupo de segurança está bloqueando conexões dos verificadores de integridade do Route 53. Eu sei que existem maneiras de pesquisar a lista atual de verificadores de integridade e, teoricamente, você poderia atualizar seu grupo de segurança de acordo, mas isso parece bastante hacky.

Então, eu até tentei criar uma pequena página de status HTTP via PHP, que se conectaria à porta 21 (e, teoricamente, poderia até mesmo transferir um arquivo para ter certeza de que tudo estava funcionando). Imaginei que poderia ter o Route 53 atingido essa página de status (que infelizmente teria que estar aberta para o mundo, mas ainda é melhor do que deixar um servidor FTP aberto).

Como não conheço o endereço IP da instância do EC2 com antecedência, estou configurando o grupo de segurança para permitir conexões de todos os hosts do grupo de segurança.

Mas, aparentemente, se você tentar se conectar a um endereço IP elástico, as configurações do grupo de segurança não serão traduzidas (o que faz sentido, mas explode minha abordagem pela janela).

Então estou começando a ficar sem ideias. Alguém tem alguma boa abordagem para lidar com o problema geral das verificações de integridade do TCP em uma instância que limita o acesso por meio do bloqueio do CIDR?

    
por Jason Priebe 31.03.2017 / 23:16

2 respostas

2

Acompanhando o histórico da AWS publicou intervalos de IP de 2015 -07 (o primeiro instantâneo que tenho no sistema que consultei abaixo) até 2017-03 (o último que tenho) - um período de mais de um ano e meio - você descobre que houve exatamente zero alterações para os intervalos de endereços IPv4 para os verificadores de integridade do Route 53.

As listagens brancas no seu grupo de segurança parecem uma estratégia perfeitamente razoável.

Existem dois pequenos blocos de endereços IPv4 alocados para fins de verificação de saúde, em cada uma das 8 regiões das quais o Rota 53 pode checar cheques. (O Route 53 não origina verificações de todas as regiões da AWS).

Para cada região que está testando seu endpoint (o padrão é que todos eles testem seu endpoint), sua verificação de integridade será associada a um verificador em cada bloco de cada uma das regiões ... e quando você olhar para o " Verificadores de integridade "no console, você pode ver os resultados relatados pelos verificadores, individualmente, incluindo o endereço IP do verificador (que também será exibido nos logs do servidor).

Este é um extrato dos valores relevantes:

+-------------------+----------------+
| ip_prefix         | region         |
+-------------------+----------------+
| 54.183.255.128/26 | us-west-1      |
| 54.228.16.0/26    | eu-west-1      |
| 54.232.40.64/26   | sa-east-1      |
| 54.241.32.64/26   | us-west-1      |
| 54.243.31.192/26  | us-east-1      |
| 54.244.52.192/26  | us-west-2      |
| 54.245.168.0/26   | us-west-2      |
| 54.248.220.0/26   | ap-northeast-1 |
| 54.250.253.192/26 | ap-northeast-1 |
| 54.251.31.128/26  | ap-southeast-1 |
| 54.252.79.128/26  | ap-southeast-2 |
| 54.252.254.192/26 | ap-southeast-2 |
| 54.255.254.192/26 | ap-southeast-1 |
| 107.23.255.0/26   | us-east-1      |
| 176.34.159.192/26 | eu-west-1      |
| 177.71.207.128/26 | sa-east-1      |
+-------------------+----------------+

Eu não tive uma razão para rastrear o lado do IPv6, então eu não posso dizer conclusivamente que o mesmo é verdade, mas é lógico que a mesma situação se aplique, também.

    
por 01.04.2017 / 05:59
0

Você também pode usar um serviço como dyn-dns para fornecer nomes estáticos aos endereços dinâmicos. Toda vez que o host for ativado em um novo IP, o agente em execução na sessão atualizará o servidor dyn-DNS com o endereço dinâmico correto.

Descobrimos que isso aumenta as taxas de reconexão de alguns dos nossos mapeamentos vpn de ponto final.

    
por 04.04.2017 / 14:10