Как использовать ufw для предоставления IP доступа диапазонами
Я предполагаю, что Вы говорите о Трафике HTTP здесь (существует большая разница между протоколами состояний и протоколами без сохранения информации о состоянии).
Проблема состоит в том, что для получения лучшей производительности Вы хотите, чтобы возобновление сессии SSL работало - который способствует липкому подходу сессии - но если Ваши сессии будут слишком липкими, то у Вас не будет обработки отказа. Большие дорогие поля от f5, Cisco и др. может справиться с этим, но его трудным, чтобы сделать через товарные поля, работающие (например), stunnel.
Я все еще думаю, что лучшим решением большинства проблем выравнивания нагрузки является циклический DNS - где обнаружение отказов находится на единственном месте, что отказ может быть надежно обнаружен (клиент), и это - то, где обработка отказа реализована - это предусматривает привязку сервера, но все еще позволяет обработку отказа запросов (обратите внимание, что это не поддерживает возобновление запросов - но я должен все же столкнуться с чем-либо, что поддерживает это для HTTP).
Еще одна вещь принять во внимание состоит в том, что активная поддержка Microsoft HTTP по SSL отличается от реализованного всеми остальными. Это не просто openSSL вещь - другие поставщики дают тот же совет. Учитывая дополнительные издержки в согласовании SSL и огромной выплате с помощью сообщений проверки активности для Трафика HTTP это может быть MS-ISA использования достойный рассмотрения для завершения SSL - хотя я предполагаю, что возможно настроить программное обеспечение как таковое, и я никогда не впечатлялся масштабируемостью/надежностью продуктов. Таким образом, если бы у меня было много денег для расходов затем, то я, вероятно, посмотрел бы на MSISA для завершения SSL, но не использования программного обеспечения кластеризации Microsoft и перемещения обработки отказа в другом месте (например, клиенту!).
Для дешевого решения завершите SSL на полях веб-сервера с циклическим DNS. Добавьте много веб-серверов. Дополнительно используйте криптографическую карту акселератора (не SSL способная сетевая плата) в веб-сервере для дополнительной физической привлекательности.
Для очень быстрого решения - (возможно) несколько узлов MSISA, обращенных через циклический DNS, говоря с кластером LVS веб-серверов.
HTH
Вам нужно будет получить список IP-диапазонов , с которых могут начинаться ваши облачные экземпляры, а затем настроить UFW, чтобы разрешить доступ из этих диапазонов, примерно так для каждый диапазон:
ufw allow in on eth0 from 1.2.0.0/16 proto tcp to any port 1234
Ваш облачный провайдер может не пожелать предоставить вам эту информацию, и в этом случае вам придется ее угадать. Возьмите несколько IP-адресов, которые ваши облачные экземпляры использовали в прошлом, и выполните поиск по ним whois , чтобы определить диапазон, к которому он принадлежит.