Eu tenho vários servidores de aplicativos em execução como instâncias do EC2. Apenas determinados servidores bare-metal em execução em outro local podem entrar em contato com eles e seus IPs na lista de permissões explicitamente nos servidores de aplicativos httpd.conf @.
Eu quero mover os servidores de aplicativos para o ELB para fins de balanceamento de carga, agora li sobre o cabeçalho X-Forwarded-For, que será encaminhado para o servidor de aplicativos do ELB e, com base nisso, é possível permitir determinados IPs. Minha pergunta é como eu configuro isso?
Atualmente, minha configuração do apache no servidor de aplicativos é assim:
<VirtualHost *:80>
ServerAdmin [email protected]
ServerName bar.foo.in
DocumentRoot /home/foo/bar
<Directory /home/foo/bar>
Options Indexes Multiviews FollowSymLinks
AllowOverride All
Order Deny,Allow
Deny from all
Allow from X.X.X.X Y.Y.Y.Y Z.Z.Z.Z A.A.A.A
</Directory>
Estou pensando em usar a diretiva SetEnvIf para permitir IPs com base no valor de X-Forwarded-For, mas não tenho certeza sobre isso. Eu tenho as seguintes mudanças em mente. Alguém pode verificar isso antes de colocar isso em produção?
<VirtualHost *:80>
...................
....................
<Directory /home/foo/bar>
SetEnvIF X-Forwarded-For "X.X.X.X|Y.Y.Y.Y|A.A.A.A" AllowIP
Options Indexes Multiviews FollowSymLinks
AllowOverride All
Order Deny,Allow
Deny from all
Allow from env=AllowIP
</Directory>
Obrigado
A melhor maneira de fazer isso seria ignorar todo o trabalho de configuração do Apache e usar o AWS VPC para fazer a limitação. Você pode usar o grupo de segurança ELBs para limitar as solicitações recebidas apenas para esses IPs. Depois disso, configure o grupo de segurança de instâncias do EC2 para aceitar apenas conexões HTTP do ELB.
Isso lhe dá o que você está procurando sem o incômodo com a configuração do Apache e é mais fácil e rápido de gerenciar, caso você precise mudar alguma coisa.