Gli AWS Network Load Balancer (NLB) sono un potente strumento per distribuire il traffico applicativo in entrata su più target, come le istanze Amazon EC2, in una o più Availability Zone. Forniscono throughput elevato, bassa latenza e sono progettati per gestire milioni di richieste al secondo mantenendo latenze ultra-basse. Tuttavia, una limitazione degli NLB è l'impossibilità di modificare direttamente gli header HTTP. Questo articolo esplora varie tecniche per aggirare questa limitazione, fornendo esempi completi per aiutarti a implementare queste soluzioni nel tuo ambiente AWS.

Introduzione agli AWS Network Load Balancer

Gli AWS Network Load Balancer operano a livello di connessione (Layer 4), instradando le connessioni ai target in base ai dati del protocollo IP. Gli NLB sono ideali per applicazioni che richiedono prestazioni estreme e bassa latenza, rendendoli adatti per applicazioni in tempo reale come gaming, transazioni finanziarie o streaming video.

Caratteristiche Principali degli NLB:
  1. IP Statico: A ogni NLB viene assegnato un IP statico per ogni Availability Zone (AZ) in cui opera.
  2. Elastic IP: Puoi associare uno o più indirizzi Elastic IP al tuo NLB.
  3. Terminazione TLS: Gli NLB possono delegare la terminazione TLS per ridurre il carico CPU sui server applicativi.
  4. Bilanciamento Cross-Zone: Distribuisce il traffico equamente su tutti i target in tutte le AZ abilitate.
  5. Monitoraggio dello Stato dei Target: Controlla automaticamente lo stato dei target e instrada il traffico solo verso target sani.

Esigenze di Modifica degli Header

La modifica degli header HTTP è spesso essenziale per una varietà di casi d'uso, come:

  • Aggiunta di header di sicurezza (es. Content-Security-Policy).
  • Iniezione di header personalizzati per logging o tracciamento.
  • Modifica degli header User-Agent per l'elaborazione backend.
  • Implementazione di policy di sicurezza basate sugli header.

Data l'operatività a Layer 4 degli NLB, la modifica diretta degli header non è fattibile. Tuttavia, possiamo ottenerla utilizzando AWS Lambda, Amazon API Gateway e Application Load Balancer (ALB).

Soluzione 1: Utilizzare AWS Lambda e Amazon API Gateway

Passo 1: Creare una Funzione AWS Lambda

Per prima cosa, crea una funzione Lambda che modificherà gli header delle richieste in arrivo.

  1. Vai alla console AWS Lambda.
  2. Crea una nuova funzione Lambda:
    • Scegli "Author from scratch".
    • Inserisci un nome per la funzione (es. ModifyHeadersFunction).
    • Scegli un runtime (es. Python 3.8).
    • Crea un ruolo di esecuzione con permessi Lambda di base.
  3. Scrivi il codice della funzione Lambda:

def lambda_handler(event, context):
    # Logga l'evento in arrivo
    print("Received event: " + json.dumps(event, indent=2))

# Modifica gli header
event['headers']['X-Custom-Header'] = 'CustomHeaderValue'

return {
    'statusCode': 200,
    'headers': {
        'Content-Type': 'application/json'
    },
    'body': json.dumps({
        'message': 'Header modified successfully',
        'input': event
    })
}</code></pre>

  1. Distribuisci la funzione.
Passo 2: Creare un Amazon API Gateway
Successivamente, crea un API Gateway che instraderà le richieste alla funzione Lambda.
  1. Vai alla console Amazon API Gateway.
  2. Crea una nuova API:
    • Scegli "HTTP API".
    • Configura una nuova API.
  3. Integra l'API con la funzione Lambda:
    • Aggiungi un'integrazione selezionando la funzione Lambda creata in precedenza.
    • Configura route e metodi (es. POST /modify).
  4. Distribuisci l'API e annota l'URL dell'endpoint.
Passo 3: Puntare l'NLB all'API Gateway
Infine, imposta l'URL dell'API Gateway come target per il tuo NLB.
  1. Vai alla console EC2.
  2. Naviga su Load Balancer e seleziona il tuo NLB.
  3. Configura un target group per puntare all'endpoint API Gateway.
Questa configurazione instrada tutto il traffico attraverso l'API Gateway, dove la funzione Lambda modifica gli header prima di inoltrare le richieste ai tuoi servizi backend.
Soluzione 2: Utilizzare AWS WAF
AWS WAF può essere utilizzato per ispezionare e modificare le richieste prima che raggiungano i tuoi servizi backend, anche se questo metodo riguarda più il filtraggio che la modifica diretta degli header.
  1. Crea una Web ACL in AWS WAF.
  2. Definisci le regole per ispezionare gli header e intraprendere azioni (es. bloccare, consentire o contare le richieste).
  3. Associa la Web ACL al tuo NLB.
Regola di Esempio:
IF request.headers['User-Agent'] matches 'bad-bot'
THEN block request
Questa configurazione aiuta a filtrare le richieste malevole o a modificare le richieste in base a determinate condizioni.
Riepilogo
Sebbene gli AWS Network Load Balancer forniscano prestazioni e scalabilità robuste, la loro natura a Layer 4 limita la modifica diretta degli header. Tuttavia, sfruttando AWS Lambda con Amazon API Gateway o AWS WAF, puoi ottenere la funzionalità di modifica degli header desiderata.
Ogni soluzione ha i propri punti di forza ed è adatta a diversi casi d'uso:
  • AWS Lambda e API Gateway: Ideale per manipolazioni di header specifiche e complesse.
  • AWS WAF: Ideale per applicazioni focalizzate sulla sicurezza che necessitano di ispezione e filtraggio.
Comprendendo queste tecniche e le loro implementazioni, puoi gestire e modificare efficacemente gli header HTTP nel tuo ambiente AWS, garantendo che le tue applicazioni rimangano sicure, efficienti e altamente disponibili.
Se hai domande o hai bisogno di ulteriore assistenza per implementare queste soluzioni, non esitare a contattarmi! Buon building su AWS!