Какую конфигурацию безопасности следует использовать, чтобы разрешить развертывание?

jhon.martinez

02.07.2023, 18:12

Во время развертывания контейнера в кластере AWS Fargate ECS, хотя контейнер Docker остается в состоянии Running, когда я открываю публичный IP-адрес сервиса, с которого должен загружаться сайт, я получаю это сообщение.

Предоставленное имя хоста недопустимо для этого сервера.

Это внутренний сайт, работающий на Drupal 8.

Какую конфигурацию безопасности должен иметь Drupal, чтобы разрешить развертывание, принимая во внимание, что развертываемые контейнеры являются эфемерными, а это означает, что их IP-адрес может измениться в любое время?

0 + 0

Рейтинг:1

Drupal

cilefen

02.07.2023, 23:42

Это исключение связано с тем, что trust_host_patterns как настроено в settings.php, не соответствует заголовку хоста в HTTP-запросах к сайту.Таким образом, вы должны назначить DNS-имя хоста для адреса IP-адреса с балансировкой нагрузки, предоставленного Fargate (если это интрасеть, это будет IP-адрес гибкого сетевого интерфейса, который вы подключаете с помощью шлюза NAT), просмотрите сайт с этим именем хоста и настройте trust_host_patterns с этим именем хоста.

Более подробная информация о сети Fargate находится в официальная документация.

0 + 0

cilefen

02.07.2023, 23:46

Это не часть ответа, но «trusted_host_patterns» — это функция усиления безопасности.

Ответить

jhon.martinez

03.07.2023, 14:25

Большое спасибо за ответы, уточнение пожалуйста, на тот случай, если доступ осуществляется не из частной сети (IP ENI меняется при каждом развертывании и известен только при развертывании контейнера в Fargate), а из публичной сети (нет NAT), идея заключается в том, что DNS-имя балансировщика помещается в файл settings.php (это балансировщик нагрузки приложения, который вызывает спорадическое изменение его IP-адресов)?

Ответить

cilefen

03.07.2023, 22:12

По этому поводу в документации Fargate говорится: «При использовании общедоступной подсети вы можете назначить общедоступный IP-адрес задаче ENI». Вы должны назначить имя хоста этому IP-адресу в DNS и добавить это имя хоста в `trusted_host_patterns` и просматривать сайт на этом имени хоста.

Ответить

Admin

Этот вопрос на других языках:

EN: What security configuration should I use in order to allow deployment?

TH: ฉันควรใช้การกำหนดค่าความปลอดภัยแบบใดเพื่อให้สามารถปรับใช้ได้

RO: Ce configurație de securitate ar trebui să folosesc pentru a permite implementarea?

RU: Какую конфигурацию безопасности следует использовать, чтобы разрешить развертывание?

VI: Tôi nên sử dụng cấu hình bảo mật nào để cho phép triển khai?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.