VPC内のALB前段にCloudFrontを設置しようとした際に出たエラーについて記録しておきます。
エラー内容
1 2 3 4 5 6 7 8 9 |
504 ERROR The request could not be satisfied. CloudFront attempted to establish a connection with the origin, but either the attempt failed or the origin closed the connection. If you received this error while trying to use an app or access a website, please contact the provider or website owner for assistance. If you provide content to customers through CloudFront, you can find steps to troubleshoot and help prevent this error by following steps in the CloudFront documentation (https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/http-504-gateway-timeout.html). Generated by cloudfront (CloudFront) Request ID: xxxxx |
504 は Gateway Timeout なので、宛先はあってそう?な感じしますが応答が無いようです。
対応方法
ALBのVPCセキュリティグループでIP制限をしておりました。CloudFrontはCDNでVPC外となりますので、IPは外部のものになります。これのIP制限の為、CloudFrontからALBにアクセスが届かなかったという事でした。
VPCのセキュリティグループを見直すか、セキュリティグループを外してしまい、一番外側となったCloudFrontにIP制限を付け直すかです。
CloudFrontにIP制限をつけるには、WAFをCloudFrontと連携させれば可能です。WAFのルールで指定IPアドレスを許可or拒否出来ます。
CloudFrontまとめ記事
以下にまとめました。