限制從API網關（客戶端證書）對Elastic Beanstalk的訪問

Question

如何限制只能從API網關處理請求的Elastic Beanstalk訪問？

從API網關的角度來看這是很簡單的：

1. 生成（通過API網關儀表板）簡單的客戶端證書，
2. 後端驗證證書上的每一個要求。

（A）但是，我應該如何驗證這個客戶端證書。在使用NGINX的multidocker配置中使用Elastic Beanstalk（EB）？

我讀過Elastic Load Balancer（ELB）（EB的組件）無法驗證它。我必須使用NGINX作爲ELB後面的EC2上的Docker容器進行驗證。

（B）我應該在EB的Elastic Load Balancers上設置什麼（端口配置：HTTP（S）/ TCP）？我是否購買了Elastic Beanstalk可以使用443端口的經過驗證的SSL證書？

（C）我應該在EC2實例上設置什麼？ （除了NGINX - 我相信我知道如何設置nginx.conf）

（D）在ELB中使用TCP代替HTTP有一些缺點嗎？

我已閱讀了一些關於此問題的文章和其他SO帖子，但目前我對此主題感到困惑。任何澄清將非常有幫助！

Answer 1

你是對的，你需要驗證你的服務器主機上的證書。具體配置會根據您的設置而有所不同，但應該非常簡單 - 我建議您查閱NGINX文檔。

爲了驗證主機上的證書，您需要配置ELB以使用TCP負載平衡。請參閱ELB docs關於HTTP和TCP負載平衡的區別。