ELB(Elastic Load Balancer)

如图所示，由于ELB不属于安全组，所以对于安全组实施限制并不会对ELB生效，经由ELB的客户端访问依然可以抵达EC2。

然而倘若限制ELB访问EC2，ELB对EC2发出HealthCheck（健康检查）动作时，ELB将无法访问成功检查，而判断该EC2出现异常情况。所以只有通过在EC2实例上的Web服务器上配置访问限制，才能对经由ELB的客户端访问加以限制。

可是在对访问的客户端实施限制时，由于访问全部经由ELB，则检知的访问IP均为ELB的IP，此时需要借助XFF头（X-Forwarded-For）实施确认和限制。

举例说明

1.只允许地址为172.24.40.83的IP访问该网站。

编辑网站配置文件，添加或修改配置文件如下：

SetEnvIf X-Forwarded-For "172.24.40.83" allow_ip
Order deny,allow
Deny  from all
Allow from env=allow_ip

2.拒绝地址为172.24.40.83和17224.40.84的IP访问该网站。

编辑网站配置文件,添加或修改配置文件如下：

SetEnvIf X-Forwarded-For "172.24.40.83" deny_ip01
SetEnvIf X-Forwarded-For "172.24.40.84" deny_ip02
Order allow,deny
Allow from all
Deny  from env=allow_ip01
Deny  from env=allow_ip02

X-Forwarded-For的功能是在ELB接受客户端的请求后，分配到EC2时在数据包的尾部添加上真正客户端的IP地址。

采用Apache的Web服务器，通过mod_extract_forwarded的安装和配置，可以将客户端的IP修改成X-Forwarded-For，具体的方法目前还有待研究。

# yum install mod_extract_forwarded

负载均衡器分配方式简介

ELB弹性负载均衡器是一款比较简单易用的负载均衡器，其采用Round Robin方式平均的将外部访问分配到ELB管理下的EC2实例中，保障实例群在大访问量下最好的分配使用系统资源。

此外，常见的高性能的负载均衡器，一般含有：Least Connections，Observed，Dynamic Ratio，Round Robin，Ratio，Fastest，Predictive等等。由于ELB只提供Round Robin功能所以说是简单的，通过万维网只几步就可以拥有负载均衡器,因此说它又是易用的。

前话

在AWS的所有服务中，EC2应该是使用最多的服务了。

在很多有关EC2的项目或者需求中，经常会需要配置从EC2中发送邮件。但是,这里也是经常出现问题的一个地方，本文主要说明，在实施配置EC2邮件服务器之前，我们要做什么样的前期准备，确保在正确的配置了邮件服务器后，邮件可以正常的发送。

邮件发送限制解除申请

在AWS取得了公网IP后，以Elastic IP的方式提供给各种各样的用户，所以用户在购买了EC2以后从AWS获得的公网IP（Elastic IP），很有可能是一个被RBL(Real-time Blackhole List)记录的IP。即由于前一个使用该IP的用户发送了大量的垃圾邮件，从而被记录到了RBL黑名单。

所以，第一步我们要做的就是向AWS申请解除邮件发送限制。

登录下面的网址，填写必要的项目后，发送给AWS申请解除。

URL：Request to Remove Email Sending Limitations其中，Emaill Address和AWSAccount Number是登录AWS之后自动填写的，无法更改，需要填写的是申请理由。

1.需要注意的是，填写需要解除的IP地址时，一次只能够填写两个Elastic IP地址，如果需要对三个及三个以上的IP地址申请解除限制时，则在该页面重新操作。

2.Reverse DNS Record是填写DNS逆向解析(PTR )的记录，AWS会进行登录。但是有以下条件：

• 用户必须使用自己的域名，不可以使用AWS分配的默认域名，如ec2-XX-XX-XX-XX.ap-northeast-1.compute.amazonaws.com等。
• 提前在DNS登录连接主机名和Elastic IP的A记录(DNS可使用Route 53以外的A记录)。

等待几天之后，AWS会将申请结果发送到您的邮箱，如果申请通过的话，即可从EC2中对外发送邮件了，不会再出现偶尔无法发送邮件的情况了。

DNS配置

申请过了解除发送邮件限制之后，理论上应该可以正常发送邮件了。但是，利用邮件列表(ML)给多个用户发送邮件的话，通过DNS配置SPF(Sender Policy Framework)和DKIM(DomainKeys Identified Mail)可以提高发送邮件的精确度。

SPF配置如果从fuwuqiok.com中发送邮件以后，可以从DNS的A记录中获悉这是可被信任的邮件。

fuwuqiok.com. IN TXT "v=spf1 a:fuwuqiok.com -all"

DKIM通过OpenDKIM的opendkim-genkey命令生成DKIM键，同时将生成好的DKIM键的记录添加进DNS中。其中，EPEL源中已经包含了OpenDKIM，导入EPEL源后可通过yum直接安装。

OpenDKIM官网：OpenDKIM

default._domainkey IN TXT ( "v=DKIM1; k=rsa;" "p=XXXXXXXXXXXXXXXXX.." ) ; ----- DKIM key default for fuwuqiok.com

备注

如果不想自己安装并配置邮件服务器，可以使用AWS提供的简单邮件服务SES(Simple Email Service)。

此外，还可以通过搭建一台Mail GateWay服务器，通过该服务器向外部发送邮件。这样做的优点是可以应对自动扫描（Auto Scalling），因为无法预测经过了Auto Scalling后产生的EC2的IP地址。

后话

以上就是一些有关利用EC2配置邮件服务器之前所需做的一些准备工作，或者说在EC2配置了邮件服务器后邮件发送异常时，可能需要注意的地方，希望给各位广大读者在日常的生活工作中一点小小的启发。