Route 53 からの不要なヘルスチェックを特定して解決する方法を教えてください。

簡単な説明

ヘルスチェックをエンドポイントに関連付けると、Amazon Route 53 はエンドポイントの IP アドレスにヘルスチェックリクエストを送信します。これらのヘルスチェックは、エンドポイントのIPアドレスが意図したとおりに動作していることを検証します。誤った IP アドレスが指定されていたり、必要に応じてヘルスチェックが更新または削除されなかったりすると、問題が発生する可能性があります。

解像度

望ましくないリクエストの発信元を特定

1.Route 53 の IP アドレス範囲を使用して、不要なリクエストの送信元 IP アドレスを見つけます。詳細については、「Route 53 serversの IP アドレス範囲内の **ROUTE53\ _HEALTHCHECKS」**を参照してください。

2.アプリケーションサーバーのログをチェックして、Route 53 ヘルスチェックサーバーがリクエストを送信したかどうかを確認します。ヘルスチェックを実行すると、Route 53 ヘルスチェックは次の HTTP ヘッダーを設定します:

"Amazon-Route53-Health-Check-Service (ref <reference ID/ b5996862-d894-4595-88da-7940808e9665>; report http://amzn.to/1vsZADi)"

アプリケーションロードバランサーのアクセスログの例:

http 2020-05-12T14:14:25.000265Z app/myapplicationloadbalancer 54.241.32.97:49816 10.0.3.64:80 -1 -1 -1 502 - 241 288 "GET http:// <ALB DNS NAME>:80/ HTTP/1.1" "Amazon-Route53-Health-Check-Service (ref b5996862-d894-4595-88da-7940808e9665; report http://amzn.to/1vsZADi)" - - arn:aws:elasticloadbalancing:us-east-1:<account ID>:targetgroup/mytargetgroup

Microsoft インターネットインフォメーションサービス (IIS) アクセスログの例:

Amazon+Route+53+Health+Check+Service;+ref:b5996862-d894-4595-88da-7940808e9665;+report+http://amzn.to/1vsZADi

Apacheno のアクセスログの例:

54.228.16.1 - - [time] "GET / HTTP/1.1" 403 3839 "-" "Amazon Route 53 Health Check Service; ref:47d9bc51-39d6-4cd9-9a7f-4c981c5db165; report http://amzn.to/1vsZADi"

NGINX のアクセスログの例:

NGINX access log entry: 54.232.40.80 - - [time] "GET / HTTP/1.1" 200 3770 "-" "Amazon Route 53 Health Check Service; ref:2e44063d-3b85-47c3-801e-6748cd542386; report http://amzn.to/1vsZADi" "-"

不要なリクエストの送信元を削除またはブロックする

1.アプリケーションサービスログからヘルスチェック ID をコピーします。

2.AWS アカウントからヘルスチェックを利用できる場合は、ヘルスチェックを更新して対象の IP アドレスまたはドメイン名を監視してください。または、不要になった場合は、ヘルスチェックを削除してください。

AWS アカウントからヘルスチェックを利用できない場合は、ヘルスチェックの IP アドレスをブロックしてください。IP アドレスをブロックするには、ファイアウォールルール、セキュリティグループ、またはネットワークアクセスコントロールリスト (NACL) を使用します。

**重要:**Route 53 ヘルスチェックの不正使用の疑いを報告するには、「不要な Amazon Route 53 ヘルスチェックを停止する」を参照してください。

関連情報

アプリケーションに送信される Route 53 ヘルスチェックリクエストを停止する方法を教えてください。