限制从API网关（客户端证书）对Elastic Beanstalk的访问

Question

如何限制只能从API网关处理请求的Elastic Beanstalk访问？

从API网关的角度来看这是很简单的：

1. 生成（通过API网关仪表板）简单的客户端证书，
2. 后端验证证书上的每一个要求。

（A）但是，我应该如何验证这个客户端证书。在使用NGINX的multidocker配置中使用Elastic Beanstalk（EB）？

我读过Elastic Load Balancer（ELB）（EB的组件）无法验证它。我必须使用NGINX作为ELB后面的EC2上的Docker容器进行验证。

（B）我应该在EB的Elastic Load Balancers上设置什么（端口配置：HTTP（S）/ TCP）？我是否购买了Elastic Beanstalk可以使用443端口的经过验证的SSL证书？

（C）我应该在EC2实例上设置什么？ （除了NGINX - 我相信我知道如何设置nginx.conf）

（D）在ELB中使用TCP代替HTTP有一些缺点吗？

我已阅读了一些关于此问题的文章和其他SO帖子，但目前我对此主题感到困惑。任何澄清将非常有帮助！

Answer 1

你是对的，你需要验证你的服务器主机上的证书。具体配置会根据您的设置而有所不同，但应该非常简单 - 我建议您查阅NGINX文档。

为了验证主机上的证书，您需要配置ELB以使用TCP负载平衡。请参阅ELB docs关于HTTP和TCP负载平衡的区别。