2021-09-07Zone Apex 和网络服务器重定向

最新推荐文章于 2022-11-24 18:24:54 发布
最新推荐文章于 2022-11-24 18:24:54 发布
阅读量679 收藏
点赞数
文章标签: 数据库
原文链接:https://cloudjourney.medium.com/zone-apex-and-webserver-redirect-4c0ef2dd3f3d
版权

概述

当您在云基础架构中或由第三方托管您的网站时,它带有供应商特定的 DNS 名称,例如 *.amazonaws.com。您通常希望在您的 DNS 区域中创建别名,例如,别名 www.xyz.com 指向规范名称 <sth.sth>.amazonaws.com。

您的客户可能还希望使用 xyz.com 访问您的站点。

使用 Amazon Route 53,这是可能的,因为 Amazon Route 53 支持别名记录集。别名记录集可让您将区域顶点 DNS 名称映射到某些 AWS 服务的 DNS 名称。

虽然没有 明确禁止,但对于许多 DNS 服务提供商,不可能为区域顶点创建 CNAME 记录,因为它有效地重写了同一域的所有其他 DNS 记录。RFC 1034指出,“如果节点上存在 CNAME RR,则不应存在其他数据;这确保了规范名称及其别名的数据不能不同。”

在这篇博文中,我们将解释为什么我们不能在 zone apex 中创建 CNAME 记录并探索作为替代解决方案的网络服务器重定向。

为什么在 Zone Apex 没有 CNAME

DNS 协议中严格定义了 CNAME 记录的含义和解释。最初的概念是允许将“也称为”名称添加到 DNS 中的区域,然后将其重定向到“官方”(或“规范”)名称。

如果我们在 Zone Apex 定义 CNAME,Zone Apex 的 SOA 和 NS 记录以及区域中的所有其他记录类型将不再起作用。

如果不同时更改世界上所有的 DNS 服务器实现,我们就无法更改特殊 CNAME 记录的使用方式。试图“放松” CNAME 在权威服务器中的使用方式,而不同时更改当前运行的所有 DNS 解析器,将导致名称解析中断。

基础设施图

POC 设置

请参考我的另一篇文章配置 Zone Apex 和 Webserver Redirect | by 云之旅 | 2021 年 9 月 | 中等的

POC 演示

网站托管在 AWS NLB 和 EC2 中

 通过CNAME访问网站

<span style="background-color:#f2f2f2"><span style="color:rgba(0, 0, 0, 0.8)"><span style="color:#292929">C:\Users\rquan>nslookup www.rquan.work</span><span style="color:#292929">非权威回答:
姓名:nlbsite-94dbb43e06908040.elb.us-east-1.amazonaws.com
地址:34.238.xx
别名:www.rquan.work</span><span style="color:#292929">C:\Users\rquan>curl -vI http://www.rquan.work 
* 重建 URL 到:http: 
//www.rquan.work/ * 尝试 34.238.xx.. 
* TCP_NODELAY 设置
* 连接到 www.rquan .work (34.238.xx) port 80 (#0) 
> HEAD / HTTP/1.1 
> Host: www.rquan.work 
> User-Agent: curl/7.55.1 
> Accept: */* 
> 
< HTTP/1.1 200 OK</span></span></span>

访问没有www前缀的网站

Zone Apex A 类型记录,目标是 AWS 全球加速器静态 IP。

<span style="background-color:#f2f2f2"><span style="color:rgba(0, 0, 0, 0.8)"><span style="color:#292929">C:\Users\rquan>nslookup</span><span style="color:#292929">> 服务器 8.8.8.8
默认服务器:dns.google
地址:8.8.8.8</span><span style="color:#292929">> <strong>rquan.work</strong>
服务器:dns.google
地址:8.8.8.8</span><span style="color:#292929">非权威回答:
姓名:rquan.work
地址:<strong>52.223.xx 
          35.71.xx</strong></span><span style="color:#292929">> 设置类型=ptr</span><span style="color:#292929">> <strong>52.223.xx</strong>
服务器:dns.google
地址:8.8.8.8</span><span style="color:#292929">非权威答案:
xx223.52.in-addr.arpa name = <strong>a57b87154f84c465c.awsglobalaccelerator.com</strong></span><span style="color:#292929">> <strong>35.71.xx</strong>
服务器:dns.google
地址:8.8.8.8</span><span style="color:#292929">非权威答案:
x.x1.71.35.in-addr.arpa name = <strong>a57b87154f84c465c.awsglobalaccelerator.com</strong></span></span></span>

从浏览器打开http://rquan.work/,解析为全局加速器IP,然后通过全局加速器的ALB端点重定向到http://www.rquan.work/。承载 www.rquan.work 的 ELB 和 EC2 响应网页。

弹性

AWS 全球加速器静态 IP

Global Accelerator 为您提供一组从 AWS 边缘网络任播的两个静态 IP 地址。

网络区域为来自唯一 IP 子网的加速器的静态 IP 地址提供服务。与 AWS 可用区类似,网络区是一个独立的单元,拥有自己的一组物理基础设施。配置加速器时,默认情况下,Global Accelerator 会为其分配两个 IPv4 地址。如果某个网络区域中的一个 IP 地址由于某些客户端网络的 IP 地址阻塞或网络中断而变得不可用,则客户端应用程序可以重试来自另一个隔离网络区域的健康静态 IP 地址。

此处显示客户端使用两个静态 IP 连接到 AWS 全局加速器。

使用 35.71.xx 静态 IP

<span style="background-color:#f2f2f2"><span style="color:rgba(0, 0, 0, 0.8)"><span style="color:#292929">C:\Users\rquan>curl -IvL http://rquan.work 
* 重建 URL 到:http: <strong>//rquan.work/</strong>
 * 尝试<strong>35.71.xx ...</strong>
 * TCP_NODELAY 设置
* 连接到 rquan.work ( <strong>35.71.xx</strong> ) port 80 (#0) 
> HEAD / HTTP/1.1 
> Host: rquan.work 
> User-Agent: curl/7.55.1 
> Accept: */* 
> 
< HTTP/1.1 301 Moved Permanently 
HTTP/1.1 301 Moved Permanently 
< 服务器:awselb/2.0
服务器:awselb/2.0 
< 日期:2021 年 9 月 6 日星期一 01:54:46 GMT
日期:2021 年 9 月 6 日星期一 01:54:46 GMT 
< 内容类型:文本/html
内容类型:文本/ html 
< 内容长度:134
内容长度:134 
< 连接:保持活动
连接:keep-alive 
< 位置:http 
://www.rquan.work :80/位置:http ://www.rquan.work :80/</span><span style="color:#292929">< 
* 主机 rquan.work 的连接 #0 保持不变
* 向此 URL 发出另一个请求:'http: 
//www.rquan.work:80 /' * 尝试 34.238.xx ... 
* TCP_NODELAY 设置
* 连接到<a data-cke-saved-href="http://www.rquan.work/" href="http://www.rquan.work/" class="dy kc">www.rquan。工作</a>(34.238.xx) 端口 80 (#1) 
> HEAD / HTTP/1.1 
> 主机:www.rquan.work 
> 用户代理:curl/7.55.1 
> 接受:*/* 
> 
< HTTP/1.1 200 OK</span></span></span>

刷新 DNS 缓存,现在客户端选择其他静态 IP。

<span style="background-color:#f2f2f2"><span style="color:rgba(0, 0, 0, 0.8)"><span style="color:#292929">C:\Users\rquan> <strong>ipconfig /flushdns</strong></span><span style="color:#292929">Windows IP 配置</span><span style="color:#292929">成功刷新 DNS 解析器缓存。</span><span style="color:#292929">C:\Users\rquan>curl -IvL http://rquan.work 
* 重建 URL 到:http: <strong>//rquan.work/</strong>
 * 尝试<strong>52.223.xx ...</strong>
 * TCP_NODELAY 设置
* 连接到 rquan.work ( <strong>52.223.xx</strong> ) port 80 (#0) 
> HEAD / HTTP/1.1 
> Host: rquan.work 
> User-Agent: curl/7.55.1 
> Accept: */* 
> 
< HTTP/1.1 301 Moved Permanently 
HTTP/1.1 301 Moved Permanently 
< 服务器:awselb/2.0
服务器:awselb/2.0 
< 日期:2021 年 9 月 6 日星期一 01:58:31 GMT
日期:2021 年 9 月 6 日星期一 01:58:31 GMT 
< 内容类型:文本/html
内容类型:文本/ html 
< 内容长度:134
内容长度:134 
< 连接:保持活动
连接:keep-alive 
< 位置:http 
://www.rquan.work :80/位置:http ://www.rquan.work :80/</span><span style="color:#292929">< 
* 主机 rquan.work 的连接 #0 保持不变
* 向此 URL 发出另一个请求:'http: //www.rquan.work:80 /'</span></span></span>

 

端点组区域冗余

每个终端节点组都与一个特定的 AWS 区域相关联。端点组包括区域中的一个或多个端点。使用标准加速器,您可以通过调整称为流量拨号的设置来增加或减少以其他方式定向到端点组的流量百分比。流量拨号让您可以轻松地进行性能测试或蓝/绿部署测试,例如,跨不同 AWS 区域的新版本。

当您希望端点组处理来自最佳区域的所有用户请求时,您可以将流量拨号设置为 100%。

 当您不希望端点组处理任何用户请求时,您可以将流量拨号设置为 0%。

此处显示即使全局加速器端点未占用流量,其他 ALB 仍在工作,并且全局加速器响应用户请求。

<span style="background-color:#f2f2f2"><span style="color:rgba(0, 0, 0, 0.8)"><span style="color:#292929">$ curl -vvvvLI -H '主机:rquan.work' http://a57b87154f84c465c.awsglobalaccelerator.com</span><span style="color:#292929">* 尝试 35.71.xx.. 
* TCP_NODELAY 设置
* 3 次(传输 0x6548d0)在 149943 毫秒后
过期 * 4 次(传输 0x6548d0)后 200 毫秒内过期
* 连接到 a57b87154f84c465c.global3c584c465c5 端口。 ) 
> HEAD / HTTP/1.1 
> Host: rquan.work 
> User-Agent: curl/7.64.0 
> Accept: */* 
> 
< HTTP/1.1 301 Moved Permanently 
< Server: awselb/2.0 
< Date: Mon, 06 Sep 2021 01:44:37 GMT 
< Content-Type: text/html 
< Content-Length: 134 
< Connection: keep-alive 
< Location: http://www.rquan.work:80/ 
< 
  0 134 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
* 与主机 a57b87154f84c465c.awsglobalaccelerator.com 的连接 #0 保持不变
* 向此 URL 发出另一个请求:'http: //www.rquan.work:80 /'</span><span style="color:#292929">* 200 毫秒后过期 1(传输 0x6548d0)
* 尝试 34.238.xx.. 
* TCP_NODELAY 设置
* 4 后 200 毫秒过期(传输 0x6548d0)
* 连接到 www.rquan.work(34.238.94.94.237)端口(34.238.94.94.5) ) 
> HEAD / HTTP/1.1 
> Host: www.rquan.work 
> User-Agent: curl/7.64.0 
> Accept: */*</span></span></span>

从 Web 客户端重试

当全局加速器静态 IP 之一没有响应时,客户端(curl 或浏览器)会尝试列表中的下一个 IP。

为了模拟失败,我将区域顶点 A 记录配置为假 IP 目标 10.0.191.201。

<span style="background-color:#f2f2f2"><span style="color:rgba(0, 0, 0, 0.8)"><span style="color:#292929">C:\Users\rquan>curl -vvvvL http://rquan.work 
* 重建 URL 为:http: <strong>//rquan.work/</strong>
 * 尝试<strong>10.0.191.201</strong> ... 
* TCP_NODELAY 设置
* 连接到 10.0.191.201 端口 80 失败: 超时
* 尝试<strong>15.197.xx</strong> ... 
* TCP_NODELAY 设置
* 连接到 rquan.work (15.197.xx) 端口 80 (#0) 
> GET / HTTP/1.1 
> Host: rquan.work 
> User-Agent: curl/ 7.55.1 
> 接受:*/* 
> 
< HTTP/1.1 301 永久移动
< 服务器:awselb/2.0 
< 日期:2021 年 9 月 6 日星期一 20:50:32 GMT 
< 内容类型:text/html 
< 内容长度: 134 
<连接:keep-alive 
<位置:http://www.rquan.work:80/
< 
* 忽略响应主体
* 与主机 rquan.work 的连接 #0 保持不变
* 向此 URL 发出另一个请求:'http: 
//www.rquan.work:80 /' * 尝试 3.138.xx.. 
* TCP_NODELAY 设置
* 连接到 www.rquan.work (3.138.xx) port 80 (#1) 
> GET / HTTP/1.1 
> Host: www.rquan.work 
> User-Agent: curl/7.55.1 
> Accept: */* 
> 

< 
!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" " <a data-cke-saved-href="http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd" href="http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd" class="dy kc">http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd</a> "></span><span style="color:#292929"><html xmlns=" <a data-cke-saved-href="http://www.w3.org/1999/xhtml" href="http://www.w3.org/1999/xhtml" class="dy kc">http://www.w3.org/1999/xhtml</a> " xml:lang="en"> 
        <head> 
                <title>Apache HTTP 服务器的测试页面</title> 
                <meta http-equiv= "Content-Type" content="text/html; charset=UTF-8" /> 
                <style type="text/css"> 
                        /*<![CDATA[*/</span></span></span>

 

 

jeans5201
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云国际版跨境加速,全球加速和Squid 缓存代理解决方案
九河云的创作之路
04-14 1555
在这篇博客中,87cloud将详细讨论使用阿里云全球加速和Squid 缓存代理构建跨境加速解决方案所需的步骤。 解决方案概述 该解决方案利用阿里云全球加速(GA) 服务来加速访问中国境外托管的服务,例如 salesforce.com。 此解决方案中有 3 个主要组件: 一个在 海外区域运行 Squid 缓存代理的 ECS 实例。 一个具有跨境带宽包的GA实例,在中国大陆分配加速IP地址。 一个对象存储服务 (OSS) 存储桶托管用于客户端代理自动配置的 PAC 文件。 在此解决方案中..
joi-timezone:验证和转换不建议使用的时区
02-20
时区 提供Joi规则以使用moment-timezone验证IANA时区字符串 用法 注意:要求Joi版本> = 9 import BaseJoi from 'joi' ; import JoiTimezone from 'joi-timezone' ; const Joi = BaseJoi . extend ( JoiTimezone ) ; // Create a joi schema using the timezone validator; const schema = Joi . string ( ) . timezone ( ) ; 有效时区的结果: Joi . validate ( "Melbourne/Australia" , Joi . string ( ) . timezone ( ) ) ; /* { error: null, value:
zoneh:Zone-H 网络犯罪档案电报监控机器人
05-30
区域 Zone-H 网络犯罪档案监控电报机器人。 免责声明 仅用于调查/研究目的。 安装 确保你有 Python >= 3.6 使用pip3 clone repo 并安装依赖pip3 。 git clone https://github.com/tropicoo/zoneh.git pip3 install -r requirements.txt 配置 首先,您需要并获取其令牌。 在启动bot之前需要进行配置。 配置只是以JSON格式存储。 将默认config-template.json附带的默认配置文件config-template.json复制到config.json并编辑: { " telegram " : { " token " : " " , " allowed_user_ids " : [] }, " log_level " : " DE
windows全局代理软件-Proxifier3.21
05-24
windows全局代理软件-Proxifier3.21
Game-Time-Master:跟踪和转换游戏服务器时间
04-28
游戏时间大师 厌倦了记住要转换为游戏的时区及其每日重置时间吗? 那么这是给你的! 特征 自动检测您的本地时区。 将所有游戏服务器时间转换为您的本地时区。 显示直到游戏服务器每日重置之前的剩余时间。 每分钟自动刷新数据。 每秒刷新和显示的选项。 所有计算均考虑了夏时制。 默认情况下,这假设服务器保持相同的时间(例如,太平洋标准时间06:00-> PDT 06:00)。 如果没有游戏(例如PST 05:00-> PDT 06:00),则会针对该游戏进行调整。 在24小时和12小时制之间选择。 搜索特定的游戏。 过滤特定游戏,并在每个浏览器中保存此设置。 黑暗/夜晚模式,根据系统偏好设置自动启用。 可以通过创建问题或填写来请求添加更多游戏。 功能路线图 手动设置时区(用于自动检测错误时)。 添加自定义游戏服务器。 外部脚本 moment.min.js moment-timez
dead_zone.rar_dead zone_dead-zone
09-24
malab model of dead zone non linearity
cloudformation-aws-landing-zone:AWS Landing Zone模板v2.4.2(最新)
05-25
AWS着陆区 AWS Landing Zone可帮助您基于AWS最佳实践自动创建预配置,安全的多账户云环境。 通过这种方式,您可以高效地将AWS扩展到企业:通过中央控制和监视以可重复的方式 :books: Refreence: 反馈 如果您遇到错误或有任何反馈,请将该错误记录在我们的,或者随时通过向我们发送电子邮件。 如果您发现它值得您花时间,请继续在给我们一个★! 关于我们 在[CloudDrove] [网站],我们提供专家指导,实施支持和服务,以帮助组织加速其向云的旅程。 我们的服务包括docker和容器编排,云迁移和采用,基础架构自动化,应用程序现代化和修复以及性能工程。 我们是云专家! 我们 :red_heart: ,您可以查看以获取有关新Cloud想法的帮助。
AWS elbv2支持websocket获取用户真实IP和禁止国家地区访问
fenghuting的专栏
01-28 1582
一. 问题和需求 需求分析 1. 使用ELB要支持http,https访问,同时要支持websocket , 这个需求好办,直接开通http/https模式ELB用于支持普通http协议访问,开通TCP模式ELB用于支持websocket。 2. 通过ELB的访问要禁止中国区访问, 这个需求如果使用http/https 的ELB,很好实现,直接创建web acl并应用上ELB即可,但由于有websocket需求,这部分访问就不能走http/https模式的ELB,需要走TCP模式的ELB,而TCP模式
手游加速器代理改全局
m0_58655927的博客
01-08 5683
相信大家都遇到过手游加速器只会加速选定的游戏。 此方法可适用于所有手游加速器。 需root。 打开终端模拟器输入以下命令 ip rule add from all fwmark 0x0/0x20000 uidrange 0-99999 lookup tun0 pref 11600 ip route add 0.0.0.0/0 dev tun0 table tun0 这样加速后的ip就是全局代理了 ...
A记录与CNAME
smilesundream的博客
06-30 8032
A记录:A记录用来指定域名对应的IP地址。CNAME:将多个域名映射到同一台计算机上。举例:将一个域名作为A记录绑定服务器IP,同时设置几个不同的CNAME指向A记录,这样当服务器IP更改时,只需要更改A记录绑定的IP地址即可。...
AWS ELB 使用过程中由于协议认知不足引发的血案(AWS Elastic Load Balancing 与WebSocket并用报错)
The magic of fingertips
08-31 6053
案情描述: 中午过后,同事发现含有WebSocket的页面与后端的连接死掉了,红色的鲜血流满了屏幕,详情看图 Incompatibile SockJS! Main site uses: "1.1.1", the iframe: "1.0.0". 案情分析: 在ELB中,我们使用的是http协议,但是ELB却不支持WebSocket协议(仅支持HTTP, HTTPs,
多租户AWS漏洞暴露账户资源
smellycat000的专栏
11-24 414
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Amazon Web Services (AWS) 中存在一个多租户漏洞,可导致攻击者滥用 AWS AppSync 获得对组织机构账户中的资源。云安全公司 Datadog 安全实验室解释称,攻击者可利用该AWS AppSync 服务在其它 AWS 账户中承担身份和访问管理 (IAM) 角色,获得这些账户中的资源。该Appsync 服务可使开发人员...
AWS ELB技术要点
热门推荐
Swallow_he的博客
07-26 1万+
AWS ELB技术要点 一、ELB优点 l  ELB支持自动扩展; l  可对后端的EC2运行状态检查 l  支持TCP协议,支持加密协议SSL/TLS l  配置简单   二、ELB提供的功能 1、运行状况检查    为了查明AmazonEC2 实例的可用性,ELB会定期发送 ping,尝试进行连接或者发送请求来测试 Amazon EC2 实例。这些测试称为运行状况检查。若要让
亚马逊AWS产品学习 ------ ELB ---- 简介
幼儿园老大的博客
02-27 1万+
1.什么是ELB? ELB全称Elastic Load Balance,弹性负载均衡顾名思义就是负责将前端流量均衡地发放到后端服务器,见下图。 2.为什么要有ELB? 比如,如果一个系统只有一台Web服务器,对于访问流量大的网站,经常会出现响应时间长、无响应等情况,这时就会想要提升Web服务器的规格或者增加Web服务器台数,如果有两台Web服务器,那么流量进来时应该走哪个服务器呢?这个时...
亚马逊AWS产品学习 ------ ELB ---- 健康检查Health Check
幼儿园老大的博客
02-28 3490
1、啥是健康检查? 设想如果挂载在ELB上的某EC2出现故障,ELB却不知道,仍将请求转发给该EC2,这样就会造成请求丢失,因此,ELB要对EC2进行健康检查,只将请求转发给"健康的"EC2。 2、如何进行健康检查? ELB向后端EC2发送HTTP请求(80端口), 如果后端EC2在指定时间内回复HTTP 200即认为是"健康的"。指定时间默认为5秒,可设置范围为2-60秒。 当然,E...
AWS使用ELB为多实例应用创建负载均衡问题
kingu_crimson的博客
04-15 2900
问题描述 对于一个单体应用,我们在两个ec2实例上分别部署,并通过alb对其进行负载均衡 在我们配置alb上的监听器(listener)到目标后端服务器组(target group)后,发现无法分配后端服务器组内实例的权重占比。 和阿里云的slb以及华为云的elb不同的是,aws的alb的一个监听器可以绑定多个target group,而前两者一个监听器只能绑定一个后端服务器组。因此aws是修改不同target group组的权重,而华为云和阿里云是修改后段服务器组内的不同实例的权重 解决.
AWS: CloudFront(CDN)的使用系列之二——Load Balancer(ELB)源为例
wucong60的专栏
01-09 6513
系列 AWS: CloudFront(CDN)的使用系列之一——S3为例 AWS: CloudFront(CDN)的使用系列之二——Load Balancer(ELB)源为例 AWS: CloudFront(CDN)的使用系列之三——实战及SSL证书的问题 简介 本文是以EC2+ELB作为CloudFront的源的一个例子,首先创建一个EC2,然后在此EC2的上面加一层Lo...
AWS Elastic Load Balancing (Amazon ELB)学习笔记
pg_edb博客
02-21 3127
The Elastic Load Balancing service allows you to distribute traffic across a group of Amazon EC2 instances in one or more Availability Zones, enabling you to achieve high availability in your applicat...
解释firewall-cmd --set-default-zone=trusted
最新发布
03-30
防火墙的作用是保护计算机和网络免受来自互联网和其他网络的攻击,它通过过滤和阻止网络流量来保护系统。防火墙区域是针对网络连接的一种分类方式,每个区域都有一组规则来控制该区域中的网络流量。不同的防火墙区域...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值