HTTPSTerminierung am Load Balancer konfigurieren - AWS Elastic Beanstalk
Sicheren Listener mit der Elastic Beanstalk-Konsole konfigurierenKonfigurieren eines sicheren Listeners mit einer KonfigurationsdateiKonfigurieren einer Sicherheitsgruppe

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

HTTPSTerminierung am Load Balancer konfigurieren

Um Ihre zu AWS Elastic Beanstalk verwendende Umgebung zu aktualisierenHTTPS, müssen Sie einen HTTPS Listener für den Load Balancer in Ihrer Umgebung konfigurieren. Zwei Arten von Load Balancer unterstützen einen HTTPS Listener: Classic Load Balancer und Application Load Balancer.

Sie können die Elastic Beanstalk-Konsole oder eine Konfigurationsdatei verwenden, um einen sicheren Listener zu konfigurieren und das Zertifikat zuzuweisen.

Anmerkung

Single-Instance-Umgebungen haben keinen Load Balancer und unterstützen HTTPS keine Terminierung am Load Balancer.

Sicheren Listener mit der Elastic Beanstalk-Konsole konfigurieren

So weisen Sie ein Zertifikat zum Load Balancer Ihrer Umgebung hinzu

  1. Öffnen Sie die Elastic Beanstalk Beanstalk-Konsole und wählen Sie in der Liste Regionen Ihre aus. AWS-Region

  2. Wählen Sie im Navigationsbereich Environments (Umgebungen) aus und wählen Sie dann in der Liste den Namen Ihrer Umgebung aus.

    Anmerkung

    Wenn Sie viele Umgebungen haben, verwenden Sie die Suchleiste, um die Umgebungsliste zu filtern.

  3. Wählen Sie im Navigationsbereich Configuration (Konfiguration) aus.

  4. Wählen Sie in der Konfigurationskategorie Load Balancer die Option Edit (Bearbeiten) aus.

    Anmerkung

    Ist in der Konfigurationskategorie Load balancer die Schaltfläche Edit (Bearbeiten) nicht vorhanden, verfügt Ihre Umgebung über keinen Load Balancer.

  5. Auf der Seite Modify load balancer (Load Balancer ändern) variiert die Vorgehensweise je nach dem Typ des Load Balancer, der Ihrer Umgebung zugeordnet ist.

    • Classic Load Balancer

      1. Wählen Sie Add listener (Listener hinzufügen) aus.

      2. Konfigurieren Sie im Dialogfeld Classic Load Balancer listener die folgenden Einstellungen:

        • Geben Sie für Listener port (Listener-Port) den Port für eingehenden Datenverkehr ein, in der Regel 443.

        • Wählen Sie als Listener-Protokoll. HTTPS

        • Geben Sie für Instance port (Instance-Port) den Wert 80 ein.

        • Wählen Sie für Instanzprotokoll die Option HTTP.

        • Wählen Sie als SSLZertifikat Ihr Zertifikat aus.

      3. Wählen Sie Hinzufügen aus.

    • Application Load Balancer

      1. Wählen Sie Add listener (Listener hinzufügen) aus.

      2. Konfigurieren Sie im Dialogfeld Application Load Balancer listener die folgenden Einstellungen:

        • Geben Sie für Port den Port für eingehenden Datenverkehr ein, in der Regel 443.

        • Für Protocol (Protokoll) wählen Sie HTTPS aus.

        • Wählen Sie für das SSLZertifikat Ihr Zertifikat aus.

      3. Wählen Sie Hinzufügen aus.

      Anmerkung

      Wenn das Drop-down-Menü für Classic Load Balancer und Application Load Balancer keine Zertifikate anzeigt, sollten Sie ein Zertifikat für Ihren benutzerdefinierten Domainnamen in AWS Certificate Manager (ACM) erstellen oder hochladen (bevorzugt). Sie können auch ein Zertifikat IAM mit dem hochladen. AWS CLI

    • Network Load Balancer

      1. Wählen Sie Add listener (Listener hinzufügen) aus.

      2. Geben Sie im Dialogfeld Network Load Balancer-Listener für Port den Port für eingehenden Datenverkehr ein, normalerweise 443.

      3. Wählen Sie Hinzufügen aus.

  6. Wählen Sie unten auf der Seite die Option Apply (Anwenden) aus, um die Änderungen zu speichern.

Konfigurieren eines sicheren Listeners mit einer Konfigurationsdatei

Sie können einen sicheren Listener auf Ihrem Load Balancer mit einer der folgenden Konfigurationsdateien konfigurieren.

Beispiel .ebextensions/securelistener-clb.config

Verwenden Sie dieses Beispiel, wenn Ihre Umgebung über einen Classic Load Balancer verfügt. Das Beispiel verwendet Optionen im aws:elb:listener Namespace, um einen HTTPS Listener auf Port 443 mit dem angegebenen Zertifikat zu konfigurieren und den entschlüsselten Datenverkehr an die Instances in Ihrer Umgebung auf Port 80 weiterzuleiten.

option_settings:
  aws:elb:listener:443:
    SSLCertificateId: arn:aws:acm:us-east-2:1234567890123:certificate/####################################
    ListenerProtocol: HTTPS
    InstancePort: 80

Ersetzen Sie den markierten Text durch den Text Ihres ZertifikatsARN. Das Zertifikat kann eines sein, das Sie in AWS Certificate Manager (ACM) erstellt oder hochgeladen haben (bevorzugt), oder eines, in das Sie IAM zusammen mit dem hochgeladen haben AWS CLI.

Weitere Informationen zu Classic Load Balancer-Konfigurationsoptionen finden Sie unter Classic Load Balancer-Konfiguration in Namespaces.

Beispiel .ebextensions/securelistener-alb.config

Verwenden Sie dieses Beispiel, wenn Ihre Umgebung über einen Application Load Balancer verfügt. Das Beispiel verwendet Optionen im aws:elbv2:listener Namespace, um einen HTTPS Listener auf Port 443 mit dem angegebenen Zertifikat zu konfigurieren. Der Listener leitet den Datenverkehr an den Standardprozess weiter.

option_settings:
  aws:elbv2:listener:443:
    ListenerEnabled: 'true'
    Protocol: HTTPS
    SSLCertificateArns: arn:aws:acm:us-east-2:1234567890123:certificate/####################################
Beispiel .ebextensions/securelistener-nlb.config

Verwenden Sie dieses Beispiel, wenn Ihre Umgebung über einen Network Load Balancer verfügt. Im Beispiel werden Optionen im aws:elbv2:listener-Namespace zum Konfigurieren eines Listener auf Port 443 verwendet. Der Listener leitet den Datenverkehr an den Standardprozess weiter.

option_settings:
  aws:elbv2:listener:443:
    ListenerEnabled: 'true'

Konfigurieren einer Sicherheitsgruppe

Wenn Sie Ihren Load Balancer so konfigurieren, dass er Datenverkehr an einen anderen Instance-Port als Port 80 weiterleitet, müssen Sie der Sicherheitsgruppe eine entsprechende Regel hinzufügen, die eingehenden Datenverkehr über den Instance-Port von Ihrem Load Balancer zulässt. Wenn Sie Ihre Umgebung in einer benutzerdefinierten Umgebung erstellenVPC, fügt Elastic Beanstalk diese Regel für Sie hinzu.

Sie fügen diese Regel durch das Hinzufügen eines Resources-Schlüssels zu einer Konfigurationsdatei im .ebextensions-Verzeichnis für Ihre Anwendung hinzu.

Die folgende Beispiel-Konfigurationsdatei fügt eine Ingress-Regel zur AWSEBSecurityGroup-Sicherheitsgruppe hinzu. Dadurch ist Datenverkehr auf Port 1000 von der Sicherheitsgruppe des Load Balancer zulässig.

Beispiel .ebextensions/sg-ingressfromlb.config
Resources:
  sslSecurityGroupIngress:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
      IpProtocol: tcp
      ToPort: 1000
      FromPort: 1000
      SourceSecurityGroupId: {"Fn::GetAtt" : ["AWSEBLoadBalancerSecurityGroup", "GroupId"]}