如何識別和解決 Route 53 中不需要的運作狀態檢查?

1 分的閱讀內容
0

我的伺服器正在接收來自 Amazon Route 53 運作狀態檢查伺服器的不需要請求。

簡短描述

當您將運作狀態檢查與端點建立關聯時,Amazon Route 53 會將運作狀態檢查請求傳送到端點 IP 地址。這些運作狀態檢查會驗證端點 IP 位址是否如預期運作。如果指定的 IP 位址不正確,或者在必要時未更新或刪除運作狀態檢查,則可能會發生問題。

解決方案

識別不需要的請求的來源

1.    使用 Route 53 IP 位址範圍來尋找不需要的請求的來源 IP 位址。如需詳細資訊,請參閱路由 53 伺服器之 IP 位址範圍中ROUTE53_HEALTHCHECKS

2.    檢查應用程式伺服器日誌,判斷 Route 53 運作狀態檢查伺服器是否傳送要求。執行運作狀態檢查時,Route 53 運作狀態檢查會設定下列 HTTP 標頭:

"Amazon-Route53-Health-Check-Service (ref <reference ID/ b5996862-d894-4595-88da-7940808e9665>; report http://amzn.to/1vsZADi)"

應用程式負載平衡器存取日誌範例:

http 2020-05-12T14:14:25.000265Z app/myapplicationloadbalancer 54.241.32.97:49816 10.0.3.64:80 -1 -1 -1 502 - 241 288 "GET http:// <ALB DNS NAME>:80/ HTTP/1.1" "Amazon-Route53-Health-Check-Service (ref b5996862-d894-4595-88da-7940808e9665; report http://amzn.to/1vsZADi)" - - arn:aws:elasticloadbalancing:us-east-1:<account ID>:targetgroup/mytargetgroup

微軟網際網路資訊服務(IIS)存取日誌示例:

Amazon+Route+53+Health+Check+Service;+ref:b5996862-d894-4595-88da-7940808e9665;+report+http://amzn.to/1vsZADi

Apache 存取日誌示例:

54.228.16.1 - - [time] "GET / HTTP/1.1" 403 3839 "-" "Amazon Route 53 Health Check Service; ref:47d9bc51-39d6-4cd9-9a7f-4c981c5db165; report http://amzn.to/1vsZADi"

NGINX 存取日誌示例:

NGINX access log entry: 54.232.40.80 - - [time] "GET / HTTP/1.1" 200 3770 "-" "Amazon Route 53 Health Check Service; ref:2e44063d-3b85-47c3-801e-6748cd542386; report http://amzn.to/1vsZADi" "-"

刪除或封鎖不需要的請求的來源

1.    從應用程式服務日誌複製運作狀態檢查 ID。

2.    如果您的 AWS 帳戶提供運作狀態檢查,請更新運作狀態檢查以監控預期的 IP 位址或域名稱。或者,如果不再需要,請刪除運作狀態檢查

如果您的 AWS 帳戶無法使用運作狀態檢查,請封鎖運作狀態檢查的 IP 位址。若要封鎖 IP 位址,請使用防火牆規則](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)、[安全群組或網路存取控制清單 (NACL)

**重要事項:**要報告可疑的 Route 53 運作狀態檢查濫用情況,請參閱停止不需要的 Amazon Route 53 運作狀態檢查

相關資訊

如何停止傳送至我的應用程式的 Route 53 運作狀態檢查請求?

AWS 官方
AWS 官方已更新 2 年前