为什么某些 IP 地址被 CloudFront 阻止?

Why certain ip addresses are blocked by CloudFront?

我的公司使用 CloudFront 为其提供服务已有一年多了。它应该将流量重定向到负载均衡器,负载均衡器将负载分配给 ECS。 昨晚,突然某些 IP 地址,例如我们的办公室 IP 地址、呼叫中心 IP 地址,开始收到 CloudFront HTTP 504 网关超时错误。 如果我通过 phone 切换到移动互联网 - 一切似乎都很好。执行时间一点也不长 - 其中一项服务是一个简单的前端网站。

在不修改设置或任何其他内容的情况下发生了同样的情况。此外,同样的情况也发生在我们的生产和开发环境中,它们使用不同的 AWS 账户。 WAF 已关闭,因此这里应该不是问题(开发环境从一开始就没有)。

最重要的是,我们的一些集成正是因为这个原因而停止工作,因此这很关键。

如有任何帮助,我将不胜感激。

有一个 auto-cloudfront 安全组,它将 CloudFront 边缘服务器 IP 地址列入白名单,因此 Load Balancer 将只接受来自它们的连接。 有一个 lambda 函数可以使用新的 IP 地址自动更新安全组。

发布当天,AWS新增了12台CloudFront边缘服务器。总共有 69 个。问题的根本原因是安全组最多只能容纳 60 个 IP 地址,而有 69 个 servers/ip 地址。因此安全组没有得到更新,一些边缘服务器没有被列入白名单。