具有私有 EC2 源的 Cloudfront

Posted 2023-02-19

【中文标题】具有私有 EC2 源的 Cloudfront

【英文标题】：Cloudfront with private EC2 origin

【发布时间】：2021-12-30 06:00:04

【问题描述】：

我想将 cloudfront 与私有源集成，因为所有实例都将位于私有子网中并设置前哨。

在创建云端分发时，我尝试添加 EC2 的私有 DNS (ip-XX-XX-XX-XX.us-east-2.compute.internal)，但它给出错误：502 bad gateway

我有以下问题：

我们能否拥有私有来源的 aws cloudfront（EC2 实例）？ 我们可以将 Cloudfront 用作私有子网内的共享代理缓存吗？

【参考方案1】：

Amazon CloudFront 存在于 Internet 上。当它从 Origin 检索内容时，该内容必须可以从 Internet 访问。

私有子网中的 Amazon EC2 实例无法从 Internet 访问。因此，CloudFront 将无法访问内容。

私有 IP 地址只能在 VPC 内解析和使用。无法从 VPC 外部访问它们。

【讨论】：

有什么方法可以将云端连接到我们的专用网络？

您需要向 Internet 公开您的私有资源，以便 CloudFront 可以访问它们。您可以配置访问权限，以便只有 CloudFront 可以访问资源，但它是大量 IP 地址：Locations and IP address ranges of CloudFront edge servers - Amazon CloudFront

在 EC2 实例前面放置一个 ELB 怎么样？这是否足以让 CloudFront 转发流量而无需公开实例？

是的，但是负载均衡器需要可从 Internet 访问，这样人们就有可能绕过 CloudFront 并直接访问负载均衡器（除非您按照上面的建议限制它）。

我们可以让 NAT 网关从私有子网连接到互联网，并在私有子网中使用 EC2 实例配置 cloudFront 吗？