aws ec2 跨帐号共享

最近，我一直在发布一个新版本，与往常一样，通过将DNS记录切换为指向以前的“备用”组的负载平衡器来利用蓝绿色部署 。 但是在切换DNS之前，我检查了新发布版本的日志并发现了一些奇怪的现象– Web框架（Spring MVC）连续出现HTTP错误，表明某个端点不支持HTTP方法。

奇怪的是–我根本没有这样的终点。 我启用了进一步的日志记录，结果发现请求URL根本与我的域无关。 备用组还没有针对它的流量，它正在接收指向一个完全不同的域的请求，而这个域不是我所拥有的。

我向域所有者以及AWS传达了消息，以告知他们该问题。 域所有者表示，他们不知道这是什么，并且他们没有任何未使用或遗忘的AWS资源。 但是，AWS做出了如下回应：

ELB服务会随着流量需求的变化而动态扩展，因此，在进行扩展时，ELB服务将从未使用的AWS公共IP地址池中获取IP地址，并将其分配给为您配置的ELB节点。 您在本例中看到的外部域名可能属于另一位AWS客户，该客户的AWS资源不再使用您的ELB节点现在拥有的IP地址，因为它在某个阶段被释放到AWS未使用的IP池中， Web客户端很可能过度为这些DNS名称缓存DNS（不遵守DNS TTL），或者它们自己的DNS服务器配置了静态条目，因此正在与现在属于您的ELB的IP地址进行通信。 [Link 1]中简要介绍了从Route53添加和删除IP的ELB，DNS名称附带的TTL为60秒。 只要客户尊重TTL，就不会出现此类问题。

我可以简单地忽略流量，但是如果我担任此角色，会发生什么情况–在突发IP释放后，但是某些客户端（或某些中间DNS解析器）将信息缓存的时间超过了指示的时间。 然后，对我的服务的请求（包括密码，API密钥等）将转发给其他人。

在浏览器中使用HTTPS可能会有所帮助，因为新负载均衡器的证书与我的域不匹配，但是在其他未执行此验证或将其缓存的工具的情况下，HTTPS则无济于事。证书固定。

AWS表示无法在负载均衡器上解决此问题，但实际上可以通过在IP，所有者和Host标头之间保持映射来解决。 这不会很琐碎，但是如果我的经验不是特殊情况，则值得探索。 如果HTTPS解决了它是否值得修复-可能不是。

因此，这是始终使用HTTPS并在通过HTTP建立连接时强制使用HTTPS的另一个原因。 但也提醒您不要进行聪明的客户端IP缓存（由DNS解析器处理），并始终验证服务器证书。

翻译自: https://www.javacodegeeks.com/2018/08/caveat-aws-shared-resources.html

aws ec2 跨帐号共享