问题标签 [aws-alb]

我将在 AWS EKS 上安装 Istio 作为服务网格。我知道 Istio 提供了自己的 Ingress Gateway。我很困惑的是：在 Istio Ingress Gateway 前面我们还需要使用 AWS ALB 或 ELB 吗？

是否可以允许来自客户网关的流量直接访问内部应用程序负载均衡器？我可以通过 VPC 内的 ec2 实例访问内部 ALB，但是我想从我的网络访问它。

根据这些说明https://medium.com/@nZenitram/connecting-an-aws-vpc-to-your-vpn-from-the- ，我已经设置了一个 VPG，并通过路由将其附加到 VPC云到colo-ed1f2985ccf1。但我仍然无法直接访问内部 ALB。

有没有办法做到这一点？如果是这样，怎么做？

我正在为我的 10 个微服务使用 ALB 入口控制器。

但是基于路径的路由不起作用。每次入口都会为每个服务创建一个新的负载均衡器。

我的要求是拥有一个负载均衡器，然后使用基于路径的路由来浏览不同的服务。

请让我知道我缺少哪些注释以及如何实现这一点？

此处附有我当前正在使用的示例入口：

我想在 AWS Application Load Balancer 上设置重定向规则。我添加了 Route53 条目来为域分配 ALB。当我尝试在 ALB 侦听器上设置重定向规则时，它支持子域条件，但只允许为操作部分设置“主机”。

我想要做的是设置一个通配符条件，然后将该子域重定向到不同主机上的相同子域。

例如：

我们有不同的子域，每个月都会添加更多子域，所以我不想一一分配。相反，期望 ALB 获取通配符域并将其重定向到同一域。而且我不想仅仅为这个单一的工作分配一个 EC2 服务器并用它制造一个瓶颈。

我创建了一个连接到我的 VPC 的 AWS Client VPN 终端节点。我可以访问我的 VPC 中的所有 EC2，并将 EC2 安全组设置为仅允许来自 VPN 安全组的流量。我以 VPN 安全组为源向 Application Load Balancer 的 HTTPS 端口添加了一个入口规则，就像我为 EC2 入口规则所做的那样。但是当连接到我的 VPN 端点时，我无法访问 ALB。我还将客户端 VPN CIDR 块添加到 ALB 安全组。连接到 VPN 时，我也连接到互联网。

我们最近部署了一个与 AM 集群配合使用的 IS-KM 集群。我们在 AWS 实例上分配它，并按照 WSO2 官方网站上提供的文档安装和配置它。

我们现在遇到的问题与 cookie session 和 IS carbon 控制台有关。我们使用 ALB 将 IS-KM 节点暴露给互联网。我们在 Target Group 上启用了粘性会话属性，因为它是在 HA 上配置 WSO2 IS-KM 期间必须的。如果目标组上的两个实例都处于活动状态（ALB 应该平衡它们之间的流量），我们无法登录到 carbon 控制台，我们总是被重定向到登录。

我们在此问题期间检查了 IS-KM wso2carbon.log：

TID: [-1234] [] [2020-04-23 08:58:14,215] [9bab1156-3c57-4fdc-876e-c0edf46d4ed5] INFO {org.wso2.carbon.core.services.util.CarbonAuthenticationUtil} - 'admin@carbon.super [-1234]' logged in at [2020-04-23 08:58:14,215-0300]

在我们进行的每次登录重试时，此日志会出现在每个节点上。我们还注意到，两台服务器在登录期间都在接收请求，如下所示：

节点 1 日志：

节点 2 日志：

如日志所示，在登录期间请求被发送到不同的节点。如果我们只在目标组上放置一个节点，一切都会变得很棒。

所以问题是，为什么启用的粘性会话不能正常工作？可能是导致该行为的 IS-KM 配置上的一些问题？

有没有办法让 Keycloak 成为 AWS ALB 的 OIDC 提供商？

我已经尝试过，但我只是被 500 内部服务器卡住了。

我创建了一个新的机密客户端，并向 ALB 提供了客户端 ID 和机密以及 OIDC 网址。几年前，我在标题中读到了 Bearer vs Bearer 的问题，但我无法验证这是问题所在，或者它仍然是 ALB 的问题。

任何帮助表示赞赏。

编辑：这是我的配置。我已将 URL 调整为通用的。

aws_oidc_settings

keycloak_client_settings keycloak_cred_settings

我从这个配置中得到的响应只是一个 500 错误。负载均衡器日志报告：

这是获得 500 错误的请求：

希望我没有发布任何我不应该拥有的信息:)

我对浏览器版本是否会影响 ALB 路由（AWSALB、AWSALBCORS cookie）感兴趣？

例如，有一个应用程序由两个实例（A 和 B）管理，对于 Firefox 74.1 及更早版本的浏览器，大多数请求由 A 处理，如果使用 Firefox 75，则将请求发送到实例B. 我查看了https://www.mozilla.org/en-US/firefox/75.0/releasenotes/对最新版本浏览器所做的更改列表，但找不到可能影响此的更改。

我有一个 API，目前由我们的主要 CA 下的子域提供服务，例如api.domain.com。此 API 目前由 Nginx 入口控制器提供服务，计划用另一个入口控制器（即大使）替换它，并尽可能避免停机部署。由于我们使用的是 AWS EKS，因此我配置了以下内容：

• 一个配置为指向 Nginx 安装的 ALB
• 指向大使装置的单独目标群体
• 使用加权路由配置的 ALB 侦听器在安装之间进行循环（想法是随意增加/减少流量并监督新的入口控制器如何管理它）
• 指向负载均衡器 (api.domain.com) 的 Route53 记录集别名
• 通过 Nginx 暴露的入口与上面的记录相同（api.domain.com）

由于入口由 Kubernetes 内部 DNS 处理，我希望 LoadBalancer 将流量无缝引导到两个目标组（Nginx 和大使），但我得到的是它只将流量引导到大使目标组，而定义的目标组也作为 Nginx Ingress 规则，目前它只给出 503 Service Unavailable - 请注意，Nginx 安装可通过其他 dns 映射访问，因此一切正常。

知道我做错了什么吗？整个想法是在 LB 级别而不是 DNS 级别进行加权路由，以避免 DNS 传播问题。

我在我的弹性搜索节点上使用应用程序负载均衡器（ALB）并配置了健康检查，如图所示，健康检查工作正常，我能够使用负载均衡器访问我的 ES。

现在我添加了 x-pack 安全性，在我的情况下，它甚至要求运行状况检查通过用户（弹性超级用户及其密码），并且在运行状况检查停止工作后，因为 ALB 无法通过基本身份验证，并且由于这个问题 Health检查不起作用，如图所示，ALB 不断取消注册 Elasticsearch，这反过来又导致我的 Elasticsearch docker 停止/启动。

注意：-如果与此问题相关，我正在使用 ES 7.7。