Fügen Sie einen Load Balancer mit Elastic Load Balancing für hinzu AWS CloudHSM(optional) - AWS CloudHSM
Schritt 1. Erstellen eines Subnetzes für einen zweiten WebserverSchritt 2. Erstellen des zweiten WebserversSchritt 3. Erstellen Sie den Load Balancer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fügen Sie einen Load Balancer mit Elastic Load Balancing für hinzu AWS CloudHSM(optional)

Nachdem Sie einen Webserver SSL TLS eingerichtet/ausgelagert haben, können Sie weitere Webserver und einen Elastic Load Balancing Load Balancer erstellen, der den HTTPS Datenverkehr an die Webserver weiterleitet. Ein Load Balancer kann die Auslastung Ihrer einzelnen Webserver reduzieren, indem der Verkehr auf zwei oder mehr Webserver verteilt wird. Er kann zudem die Verfügbarkeit Ihrer Website erhöhen, da er den Zustand Ihrer Webserver überwacht und den Datenverkehr nur an stabile Server weiterleitet. Wenn ein Webserver ausfällt, beendet der Load Balancer automatisch die Weiterleitung des Datenverkehrs an diesen.

Schritt 1. Erstellen eines Subnetzes für einen zweiten Webserver

Bevor Sie einen weiteren Webserver erstellen können, müssen Sie in demselben ein neues Subnetz erstellenVPC, das Ihren vorhandenen Webserver und Cluster enthält. AWS CloudHSM

So erstellen Sie ein neues Subnetz

  1. Öffnen Sie den Abschnitt Subnetze der VPC Amazon-Konsole.

  2. Wählen Sie Create Subnet aus.

  3. Führen Sie im Dialogfeld Create Subnet Folgendes aus:

    1. Geben Sie unter Name tag(Namens-Tag) einen Namen für Ihr Subnetz ein.

    2. Wählen Sie für den aus VPC AWS CloudHSM VPC, der Ihren vorhandenen Webserver und AWS CloudHSM Cluster enthält.

    3. Wählen Sie als Availability Zone eine Availability Zone aus, die sich von der unterscheidet, die Ihren vorhandenen Webserver enthält.

    4. Geben Sie IPv4CIDRunter Block den CIDR Block ein, der für das Subnetz verwendet werden soll. Geben Sie beispielsweise 10.0.10.0/24 ein.

    5. Wählen Sie Ja, erstellen aus.

  4. Aktivieren Sie das Kontrollkästchen neben dem öffentlichen Subnetz, das Ihren vorhandenen Webserver enthält. Dieses unterscheidet sich von dem öffentlichen Subnetz, das Sie im vorherigen Schritt erstellt haben.

  5. Klicken Sie im Inhaltsbereich auf die Registerkarte Routing-Tabelle. Wählen Sie dann den Link für die Routing-Tabelle aus.

    Wählen Sie den Link zur Routentabelle in der VPC Amazon-Konsole.

  6. Aktivieren Sie das Kontrollkästchen neben der Routing-Tabelle.

  7. Wählen Sie die Registerkarte Subnetz-Verknüpfungen aus. Wählen Sie dann Bearbeiten aus.

  8. Wählen Sie das Kontrollkästchen neben dem öffentlichen Subnetz aus, das Sie zuvor erstellt haben. Wählen Sie dann Speichern.

Schritt 2. Erstellen des zweiten Webservers

Führen Sie die folgenden Schritte aus, um einen zweiten Webserver mit der gleichen Konfiguration wie der des vorhandenen Webservers zu erstellen.

So erstellen Sie einen zweiten Webserver

  1. Öffnen Sie den Bereich Instances der EC2 Amazon-Konsole unter.

  2. Aktivieren Sie das Kontrollkästchen neben Ihrer vorhandenen Webserver-Instance.

  3. Wählen Sie Aktionen, Image und dann Image erstellen.

  4. Führen Sie im Dialogfeld Create Image (Abbild erstellen) die folgenden Schritte aus:

    1. Geben Sie für Image name (Image-Name) einen eindeutigen Namen für das Image ein.

    2. Geben Sie unter Image description (Image-Beschreibung) eine Beschreibung für das Image ein.

    3. Wählen Sie Image erstellen aus. Mit dieser Aktion wird Ihr vorhandener Webserver neu gestartet.

    4. Wählen Sie die Option Ausstehendes Bild anzeigen<AMI ID>Link.

      Wählen Sie in der EC2 Amazon-Konsole den Link „Ausstehendes Bild anzeigen“.

      Beachten Sie den Abbildstatus in der Status-Spalte. Lautet der Abbildstatus available (verfügbar), dies kann einige Minuten dauern, fahren Sie mit dem nächsten Schritt fort.

  5. Wählen Sie im Navigationsbereich Instances aus.

  6. Aktivieren Sie das Kontrollkästchen neben Ihrem vorhandenen Webserver.

  7. Wählen Sie Aktionen und dann Weitere solche starten aus.

  8. Wählen Sie „Bearbeiten“ AMI.

    Wählen Sie in der EC2 Amazon-Konsole den AMI Link Bearbeiten.

  9. Wählen Sie im linken Navigationsbereich Meine ausAMIs. Löschen Sie anschließend den Text im Suchfeld.

  10. Wählen Sie neben Ihrem Webserverabbild Auswählen aus.

  11. Wählen Sie Ja, ich möchte damit fortfahren AMI (<image name> - ami-<AMI ID>).

  12. Wählen Sie Weiter.

  13. Wählen Sie einen Instance-Typen und danach Weiter: Instance-Details konfigurieren aus.

  14. Führen Sie für Step 3: Configure Instance Details (Schritt 3: Instance-Details konfigurieren) Folgendes aus:

    1. Wählen Sie für Netzwerk den ausVPC, der Ihren vorhandenen Webserver enthält.

    2. Wählen Sie für Subnetz das öffentliche Subnetz aus, das Sie für den zweiten Webserver erstellt haben.

    3. Wählen Sie für Öffentliche IP automatisch zuweisen Aktivieren aus.

    4. Ändern Sie die verbleibenden Instance-Details wie gewünscht. Wählen Sie dann Weiter: Speicher hinzufügen aus.

  15. Ändern Sie die Speichereinstellungen wie gewünscht. Wählen Sie dann Weiter: Tags hinzufügen aus.

  16. Bearbeiten Sie Tags nach Bedarf oder fügen Sie diese hinzu. Wählen Sie dann Als Nächstes: Sicherheitsgruppe konfigurieren aus.

  17. Führen Sie für Schritt 6: Sicherheitsgruppe konfigurieren die folgenden Schritte aus:

    1. Wählen Sie für Sicherheitsgruppe zuweisen die Option Existierende Sicherheitsgruppe auswählen aus.

    2. Aktivieren Sie das Kontrollkästchen neben der Sicherheitsgruppe mit dem Namen cloudhsm-<cluster ID>-sg. AWS CloudHSM hat diese Sicherheitsgruppe in Ihrem Namen erstellt, als Sie den Cluster erstellt haben. Sie müssen diese Sicherheitsgruppe auswählen, damit die Webserver-Instanz eine Verbindung mit der HSMs im Cluster herstellen kann.

    3. Aktivieren Sie das Kontrollkästchen neben der Sicherheitsgruppe, die eingehenden HTTPS Datenverkehr zulässt. Sie haben diese Sicherheitsgruppe zuvor erstellt.

    4. (Optional) Aktivieren Sie das Kontrollkästchen neben einer Sicherheitsgruppe, die eingehenden SSH (für Linux) oder RDP (für Windows) Datenverkehr aus Ihrem Netzwerk zulässt. Das heißt, die Sicherheitsgruppe muss eingehenden TCP Datenverkehr auf Port 22 (für SSH Linux) oder Port 3389 (für RDP Windows) zulassen. Andernfalls können Sie keine Verbindung zu Ihrer Client-Instance herstellen. Wenn Sie keine solche Sicherheitsgruppe haben, müssen Sie sie erstellen und Ihrer Client-Instance zu einem späteren Zeitpunkt hinzufügen.

    Klicken Sie auf Review and Launch.

  18. Überprüfen Sie die Instance-Details. Wählen Sie anschließend Start aus.

  19. Legen Sie fest, ob Ihre Instance mit einem vorhandenen Schlüsselpaar oder ohne Schlüsselpaar gestartet werden soll, oder ob ein neues Schlüsselpaar erstellt werden soll.

    • Um ein vorhandenes Schlüsselpaar zu verwenden, führen Sie die folgenden Schritte aus:

      1. Wählen Sie Vorhandenes Schlüsselpaar auswählen aus.

      2. Wählen Sie für Schlüsselpaar auswählen das zu verwendende Schlüsselpaar aus.

      3. Aktivieren Sie das Kontrollkästchen neben Ich bestätige, dass ich Zugriff auf die ausgewählte private Schlüsseldatei habe (<private key file name>.pem), und dass ich mich ohne diese Datei nicht bei meiner Instanz anmelden kann.

    • Wenn Sie ein neues Schlüsselpaar erstellen möchten, führen Sie die folgenden Schritte aus:

      1. Wählen Sie Ein neues Schlüsselpaar erstellen aus.

      2. Geben Sie für Key pair name (Schlüsselpaarname) einen Schlüsselpaarnamen ein.

      3. Wählen Sie Schlüsselpaar herunterladen aus und speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren, zugänglichen Ort.

        Warnung

        Nach diesem Zeitpunkt können Sie die Datei mit dem privaten Schlüssel nicht erneut herunterladen. Wenn Sie die Datei mit dem privaten Schlüssel jetzt nicht herunterzuladen, können Sie sich auf die Client-Instance zugreifen.

    • Zum Starten Ihrer Instance ohne Schlüsselpaar führen Sie die folgenden Schritte aus:

      1. Wählen Sie Ohne Schlüsselpaar fortfahren aus.

      2. Aktivieren Sie das Kontrollkästchen neben Ich bestätige, dass ich keine Verbindung zu dieser Instanz herstellen kann, es sei denn, ich kenne das darin integrierte Passwort bereitsAMI.

    Wählen Sie Instances starten aus.

Schritt 3. Erstellen Sie den Load Balancer

Gehen Sie wie folgt vor, um einen Elastic Load Balancing Load Balancer zu erstellen, der den HTTPS Datenverkehr an Ihre Webserver weiterleitet.

Erstellen Sie einen Load Balancer wie folgt:

  1. Öffnen Sie den Bereich Load Balancers der EC2 Amazon-Konsole.

  2. Klicken Sie auf Load Balancer erstellen.

  3. Klicken Sie im Bereich Network Load Balancer auf Create.

  4. Führen Sie für Step 1: Configure Load Balancer (Schritt 1; Konfigurieren von Load Balancer) die folgenden Schritte aus:

    1. Geben Sie als Name einen Namen für den Load Balancer ein, den Sie erstellen.

    2. Ändern Sie im Bereich Listeners den Wert in 443 für Load Balancer Port.

    3. Wählen Sie im Abschnitt Availability Zones für die aus VPC, VPC die Ihre Webserver enthält.

    4. Wählen Sie im Bereich Availability Zones die Subnetze aus, die Ihre Webserver enthalten.

    5. Wählen Sie Weiter: Routing konfigurieren aus.

  5. Führen Sie für Step 2: Configure Routing (Schritt 2: Routing konfigurieren) die folgenden Schritte aus:

    1. Geben Sie als Name einen Namen für die Zielgruppe ein, die Sie erstellen.

    2. Ändern Sie für den Port den Wert in 443.

    3. Klicken Sie auf Weiter: Ziele registrieren.

  6. Führen Sie für Step 3: Register Targets (Schritt 3: Ziele registrieren) die folgenden Schritte aus:

    1. Aktivieren Sie im Bereich Instances die Kontrollkästchen neben Ihren Webserver-Instances. Wählen Sie dann Zu registrierten hinzufügen aus.

    2. Wählen Sie Weiter: Prüfen aus.

  7. Überprüfen Sie die Load Balancer-Details und wählen Sie dann Erstellen aus.

  8. Wenn der Load Balancer erfolgreich erstellt wurde, klicken Sie auf Close (Schließen).

Nachdem Sie die vorherigen Schritte abgeschlossen haben, zeigt die EC2 Amazon-Konsole Ihren Elastic Load Balancing Load Balancer an.

Wenn der Status Ihres Load Balancers „aktiv“ ist, können Sie verifizieren, dass der Load Balancer funktioniert. Das heißt, Sie können mitSSL/TLSoffload with überprüfen, ob er HTTPS Traffic an Ihre Webserver sendet. AWS CloudHSM Sie können dies mit einem Webbrowser oder einem Tool wie Open SSL s_client tun.

So stellen Sie sicher, dass der Load Balancer mit einem Webbrowser arbeitet

  1. Suchen Sie in der EC2 Amazon-Konsole nach dem DNSNamen für den Load Balancer, den Sie gerade erstellt haben. Wählen Sie dann den DNS Namen aus und kopieren Sie ihn.

  2. Verwenden Sie einen Webbrowser wie Mozilla Firefox oder Google Chrome, um über den Namen des Load Balancers eine Verbindung zu Ihrem Load Balancer herzustellen. DNS Stellen Sie sicher, dass das URL in der Adressleiste mit https://beginnt.

    Tipp

    Sie können einen DNS Service wie Amazon Route 53 verwenden, um den Domainnamen Ihrer Website (z. B. https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing Traffic to an Amazon EC2 Instance im Amazon Route 53 Developer Guide oder in der Dokumentation zu Ihrem DNS Service.

  3. Zeigen Sie das Webserverzertifikat mit Ihrem Webbrowser an. Weitere Informationen finden Sie hier:

    • Wenn Sie Mozilla Firefox nutzen, sehen Sie sich die Informationen auf der Mozilla Support-Website unter Zertifikat anzeigen an.

    • Wenn Sie Google Chrome verwenden, sehen Sie sich die Informationen auf der „Google Tools für Web Developers“-Website unter Sicherheitsprobleme verstehen an.

    Andere Webbrowser unterstützen möglicherweise ähnliche Funktionen, über die Sie das Webserverzertifikat anzeigen können.

  4. Stellen Sie sicher, dass das Zertifikat dasjenige ist, das Sie für die Nutzung im Webserver konfiguriert haben.

Um zu überprüfen, ob Ihr Load Balancer mit Open SSL s_client funktioniert

  1. Verwenden Sie den folgenden SSL Open-Befehl, um eine Verbindung zu Ihrem Load Balancer herzustellen. HTTPS Ersetzen <DNS name> mit dem DNS Namen Ihres Load Balancers. 

    openssl s_client -connect <DNS name>:443
    Tipp

    Sie können einen DNS Service wie Amazon Route 53 verwenden, um den Domainnamen Ihrer Website (z. B. https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing Traffic to an Amazon EC2 Instance im Amazon Route 53 Developer Guide oder in der Dokumentation zu Ihrem DNS Service.

  2. Stellen Sie sicher, dass das Zertifikat dasjenige ist, das Sie für die Nutzung im Webserver konfiguriert haben.

Sie haben jetzt eine Website, die mit dem privaten Schlüssel des Webservers gesichert istHTTPS, der in einem HSM in Ihrem AWS CloudHSM Cluster gespeichert ist. Ihre Website verfügt über zwei Webserver und einen Load Balancer, um Effizienz und Verfügbarkeit zu verbessern.