🧤K
За рисовалки спасибо
Size: a a a
2020 June 28
ПС
CloudFront это паблик ресурс в паблик сетях - он в приватную не завернет никак
ПС
паблик адрес alb сам по себе нигде доступен не будет - и там не редирект, а форвард - суть разное
ПС
CloudFront сам средиректит http->https
РР
И ещё вопрос немного вбок, может кто подскажет онлайн ресурсы где можно нарисовать простые схемы приложения в стиле https://docs.aws.amazon.com/AmazonECS/latest/developerguide/images/overview-fargate.png
РР
Не совсем нарисовать, но тоже хорошо
AT
CloudFront сам средиректит http->https
@L0nliL0kli вы также можете если хотите сделать https между cloudfront и ALB
🧤K
Не совсем нарисовать, но тоже хорошо
Спасибо, питон не знаю но вроде бы не сильно сложно )
РР
Спасибо, питон не знаю но вроде бы не сильно сложно )
Там от питона ничего нет толком, свой синтаксис простейший
ПС
Я стараюсь делать феншуйно как могу в рамках free tier) пока в силу ценника nat gateway сделал без private subnet поэтому дырка есть ) но в теории я видел так что alb делает редирект на хттпс, сама терминейтит и шлёт http трафик в приватный хост. Я в этой схеме не очень понимаю как запилить такое же с cloudfront - по идее форвардить и терминейтить надо там, но тогда если будет доступен где-либо в респонсе паблик адрес alb то будет возможность доступа по хттп они , тк редирект с alb придется убрать.
феншуй, феншую рознь
главное порнимать зачем так или иначе делать
а так любое решение может быть оправданным - с NAT и без, с CloudFront и без, и т.д.
главное порнимать зачем так или иначе делать
а так любое решение может быть оправданным - с NAT и без, с CloudFront и без, и т.д.
🧤K
феншуй, феншую рознь
главное порнимать зачем так или иначе делать
а так любое решение может быть оправданным - с NAT и без, с CloudFront и без, и т.д.
главное порнимать зачем так или иначе делать
а так любое решение может быть оправданным - с NAT и без, с CloudFront и без, и т.д.
Если исходить из задачи сделать gzip/br то похоже в случае AWS есть только опция cloudfront. Либо пытаться переделать с alb -> nlb. Хттпс онли было для меня хотя бы полезным экспериментом )
🧤K
Al T
@L0nliL0kli вы также можете если хотите сделать https между cloudfront и ALB
А как это будет выглядеть? На cloud front терминейтится, потом энкриптиться и снова шлется хттпс на alb? Это кажется уже оверхедом и по скорости будет не очень
ПС
А как это будет выглядеть? На cloud front терминейтится, потом энкриптиться и снова шлется хттпс на alb? Это кажется уже оверхедом и по скорости будет не очень
Если есть задача трафик всегда держать зашифрованным - то это норм. Оверхедла тут минимум, при соверменных процессорах зашифровать дело простое.
технически будет так что и от клиента до CDN https, дальше развернули и послали на alb опять о https
два разных сертификата будет в такой схеме
технически будет так что и от клиента до CDN https, дальше развернули и послали на alb опять о https
два разных сертификата будет в такой схеме
AT
Петр быстрее печатает ))
ПС
Если исходить из задачи сделать gzip/br то похоже в случае AWS есть только опция cloudfront. Либо пытаться переделать с alb -> nlb. Хттпс онли было для меня хотя бы полезным экспериментом )
если задача только сделать gzip или что-то нестандартное по сжатию - тогда NLB прекрасно решит задачу, а енркипт уходит на ваши CPU
если же просто gzip - то CDN решит задачу успешно, но останется траффик CDN <-> ALB который возможно тое захочется жать - и тогда нужно всеже билже к ALB сжатие органризовывать
если же просто gzip - то CDN решит задачу успешно, но останется траффик CDN <-> ALB который возможно тое захочется жать - и тогда нужно всеже билже к ALB сжатие органризовывать
AT
у многих, например финтех какой-нить это обязательное условие..
ПС
опять же - само по себе gzip не цель обычно, цель это либо трафик сэкономить либо latency понизить
ПС
Al T
у многих, например финтех какой-нить это обязательное условие..
да, финтех или PCI DSS - и там оч много жестких требований
🧤K
Если есть задача трафик всегда держать зашифрованным - то это норм. Оверхедла тут минимум, при соверменных процессорах зашифровать дело простое.
технически будет так что и от клиента до CDN https, дальше развернули и послали на alb опять о https
два разных сертификата будет в такой схеме
технически будет так что и от клиента до CDN https, дальше развернули и послали на alb опять о https
два разных сертификата будет в такой схеме
Но цель ведь получить прирост в рамках кеширования. Я не уверен что такая схема будет быстрее чем если бы я развернул нгинкс в том же ECS
ПС
Но цель ведь получить прирост в рамках кеширования. Я не уверен что такая схема будет быстрее чем если бы я развернул нгинкс в том же ECS
ну так как звучит - мне это целью не видится.
цель это скорость загрузки, трафик - все что бизнес валью принесет
цель это скорость загрузки, трафик - все что бизнес валью принесет