Mam witrynę mediów społecznościowych, która intensywnie korzysta z AWS.
Za pośrednictwem witryny przesyłamy strumieniowo wideo przechowywane w S3, a wideo jest dostarczane przez CloudFront.
Mam klienta, który jest jednym z naszych największych użytkowników, który chce, aby nasze treści pochodziły ze statycznego adresu IP.
Najwyraźniej ma zaporę ogniową, którą można skonfigurować tylko dla adresów IP, a nie dla nazw domen.
Niestety żadna z naszych treści wideo nie przechodzi przez statyczny adres IP. Domena jest taka sama, ale adres IP nie.
Zasugerowałem użycie proxy, ale najwyraźniej to nie zadziała (nie otrzymałem żadnego wyjaśnienia, dlaczego to nie działa).
Cała ta sytuacja mnie dezorientuje, ponieważ wyraźnie pamiętam konfigurowanie mojego taniego routera internetowego w domu sprzed 20 lat, aby blokować lub odblokowywać zarówno adresy IP, jak i nazwy domen. Każde oprogramowanie Firewall, z którego kiedykolwiek korzystałem, miało możliwość blokowania lub odblokowywania zarówno adresów IP, jak i nazw domen.
Klient, z którym rozmawiam, jest bardzo przyjazny, ale współpracuje między mną a „Inżynierem sieci”, który pracuje w jego firmie.
Ten Inżynier ds. Sieci wydaje się po prostu odmawiać, bez żadnego wyjaśnienia sobie lub klientowi, każdej mojej sugestii. Najwyraźniej skonfigurowanie zapory biznesowej w celu blokowania lub odblokowywania nazw domen jest „niemożliwe”. Serwer proxy „po prostu nie działa”. Jest nieugięty, że musimy mu zapewnić statyczny adres IP.
Inżynier sieci zasugerował także w pewnym momencie, że jesteśmy „jedyną witryną w Internecie używającą dynamicznego adresu IP”. Musiałem wyjaśnić mojemu klientowi, że to po prostu nieprawda.
Nie jestem ekspertem od sieci, ale jestem całkiem pewien, że to, co próbujemy osiągnąć tutaj, można osiągnąć bez statycznego adresu IP, ale nie wiem, jak postępować, gdy inżynier sieci blokuje mnie za każdym razem.
Ten klient jest jednym z naszych największych użytkowników i nie chcę go stracić, ale obawiam się, że może tak być, jeśli nie znajdę rozwiązania, które jego inżynier sieci może zaakceptować.
Czy ktoś może zaproponować mi sposób działania?
Przepraszam, jeśli to niewłaściwe miejsce, aby zadać to pytanie. Robię się bardzo zdesperowany i chcę znaleźć pozytywne rozwiązanie tej sytuacji, zanim wymknie się ona spod kontroli. Jeśli to niewłaściwe miejsce, sugestie, gdzie jeszcze mogę zadać to pytanie, byłyby bardzo mile widziane.
Odpowiedzi:
Oficjalną listę zakresów adresów IP, które CloudFront może przesyłać z serwera, można uzyskać na Forum programistów AWS (ten temat: https://forums.aws.amazon.com/ann.jspa?annID=2051 ). Jest zastrzeżenie - lista jest okresowo aktualizowana, więc aby upewnić się, że system działa niezawodnie, ty i twój klient musicie znaleźć sposób na aktualizację reguł zapory ogniowej
źródło