Подчиненное устройство Windows Jenkins не может подключиться
Попытка запустить подчиненное устройство Jenkins в Windows с помощью Java Web start дает мне следующее:
Можно ли заблокировать доступ к ALB при использовании IP-адреса или DNS-имени и разрешить доступ только при использовании имени домена (aaa.bbbbbbb.com)? Если да, то как мне это настроить?
Option 1.
Machen Sie die Standardzielgruppe Ihres ALB zu einer leeren Zielgruppe ohne Instanzen. Dies ist eine gültige Konfiguration.
100% der an diese Zielgruppe gesendeten Anforderungen schlagen immer fehl, sodass diese Anforderungen mit 503 Service nicht verfügbar begrüßt werden.
Fügen Sie dann eine zweite Zielgruppe hinzu, die "echte". mit den angehängten Instanzen und konfigurieren Sie den Balancer so, dass nur Anforderungen, die dem gewünschten Host entsprechen, an diese Gruppe gesendet werden.
https://serverfault.com/a/868017/153161 ist ähnlich, aber Das Gegenteil von diesem Fall, in dem die Standardgruppe die meisten Anforderungen verarbeitet, die Dummy- / Blackhole-Zielgruppe jedoch die Anforderungen verarbeitet, die Sie blockieren möchten, was zu demselben Verhalten führt. Die blockierten Anforderungen werden niemals an die Instanzen gesendet.
Option 2.
Amazon Web Application Firewall (WAF) kann dies auch.durch Erstellen einer Zeichenfolgenübereinstimmungsregel zum Vergleich mit dem Host -Header der eingehenden Anforderung. WAF lässt sich in ALB integrieren.
Dieses Setup würde wahrscheinlich höhere Kosten bedeuten, da Sie für WAF zahlen müssten (0,60 USD pro Million Webanfragen, derzeit nicht in allen Regionen verfügbar) ... aber wenn Sie bereits sind Wenn WAF auf diesem ALB für andere Zwecke (Ratenbegrenzung, XSS, SQL, Zeichenfolgenabgleich usw.) verwendet wird, sind die Kosten einer zusätzlichen Regel je nach aktueller Konfiguration vernachlässigbar oder Null.
Es liegt ein Missverständnis vor dass Ihr Verkehr "durch" WAF geht, was es nicht tut. ALB klont die ersten KB von jeder Anforderung und sendet ein Paket an WAF, um ein Urteil darüber anzufordern, ob die Anforderung zugelassen werden soll oder nicht. Wenn es erfolgreich ist, ist die Anforderung zulässig und WAF befindet sich nicht in der Verkehrsschleife. Wenn dies fehlschlägt, gibt ALB eine 403 zurück. Wenn ALB überhaupt keine Antwort von WAF erhält (z. B. aufgrund eines Systemfehlers), ist die Anforderung immer zulässig, wodurch verhindert wird, dass WAF ein Fehlerpunkt ist.
Option 3. (h / t @ceejayoz)
Konfigurieren Sie das virtuelle Hosting-Verhalten Ihrer Webserver mit der Standardkonfiguration so, dass eine Fehlerantwort zurückgegeben wird, wenn ein unerwarteter / unbekannter Host -Header in einer eingehenden Anforderung vorhanden ist. Ihr Server sollte aus Best Practices nicht positiv auf solche Anfragen reagieren.
Diese Optionen sind in keiner bestimmten Reihenfolge.