AWS docs
ターゲットグループに異常な登録済みターゲットのみが含まれている場合、そのヘルスステータスにかかわらず、ロードバランサーはそれらすべてのターゲットにリクエストをルーティングします。つまり、有効なすべてのアベイラビリティーゾーン内で、すべてのターゲットが同時にヘルスチェックに失敗すると、ロードバランサーはオープンに失敗します。フェールオープンの効果は、ヘルスステータスにかかわらず、ロードバランシングのアルゴリズムに基づいて、有効なすべてのアベイラビリティーゾーン内のすべてのターゲットへのトラフィックを許可することです。
これはたぶんWAF関係なくて、単に「ヘルスチェック失敗してもまあ送りますよ(failしても送る)」的な意味で使っているのだと思われる🐰
Application Load Balancer(ALB)でAWS WAFを利用する場合、ウェブアクセスコントロールリスト (ウェブ ACL) のルールに基づいてリクエストを許可またはブロックできます。
今までは、WAFで問題を検知した場合、通信は遮断されていましたが、フェイルオープンを有効にすると通信の維持ができるようになりました。
デフォルトでは、ロードバランサーが AWS WAF から応答を取得できない場合、HTTP 500 エラーが返され、リクエストは転送されません。AWS WAF に接続できない場合でも、ロードバランサーがターゲットにリクエストを転送する必要がある場合は、AWS WAF フェールオープン属性を有効にできます。
平時 AWS WAF をカウントモード IDS(不正侵入検知) 相当として利用する環境や、 ブロック指定したルールに該当するリクエストが素通りする事があっても致命的な問題とならない環境で、 HTTP 500 エラー (waf-failed) の 抑制を必要とする場合、WAF のフェイルオープン設定の有効化をお試しください。
素通りしてもいい場合に、500エラーを抑えたい場合?
よくわかんね🐰
🐰つまりWAFでガードした場合でも通信を通す
必要性わかんねーけど
WAF外すのと何が違うんだ?
---
Links To ->