Paso 1. Creación de una subred para el segundo servidor web Paso 2. Creación del segundo servidor web Paso 3. Creación del equilibrador de carga

Agregar un equilibrador de carga con Elastic Load Balancing para AWS CloudHSM (opcional)

Después de configurar la descarga de SSL/TLS con un servidor web, tiene la opción de crear más servidores web y un equilibrador de carga de Elastic Load Balancing que dirige el tráfico de HTTPS a los servidores web. Un equilibrador de carga puede reducir la carga de sus servidores web individuales equilibrando el tráfico entre dos o más servidores web. También puede aumentar la disponibilidad de su sitio web, ya que el equilibrador de carga monitorea el estado de los servidores web y solo dirige tráfico a servidores en buen estado. Si se produce un error en un servidor web, el equilibrador de carga deja automáticamente de dirigir tráfico hacia el servidor.

Temas

Paso 1. Creación de una subred para el segundo servidor web
Paso 2. Creación del segundo servidor web
Paso 3. Creación del equilibrador de carga

Paso 1. Creación de una subred para el segundo servidor web

Antes de crear otro servidor web, tendrá que crear una nueva subred en la misma VPC que contenga el servidor web existente y el clúster de AWS CloudHSM.

Para crear una nueva subred

Abra la sección Subredes de la consola de Amazon VPC.
Elija Create Subnet (Crear subred).
En el cuadro de diálogo Create Subnet, haga lo siguiente:
1. En Name tag (Etiqueta de nombre), escriba un nombre para la subred.
2. Para VPC, elija la VPC de AWS CloudHSM que contiene su servidor web existente y el clúster de AWS CloudHSM.
3. Para Availability Zone (Zona de disponibilidad), elija una zona de disponibilidad diferente a la que contiene su servidor web existente.
4. En Bloque de CIDR IPv4, escriba el bloque de CIDR que se usará para la subred. Por ejemplo, escriba 10.0.10.0/24.
5. Elija Sí, crear.
Seleccione la casilla de verificación situada junto a la subred pública que contiene su servidor web existente. Se trata de una subred diferente de la subred pública creada en el paso anterior.
En el panel de contenido, elija la pestaña Tabla de enrutamiento. A continuación, elija el enlace de la tabla de ruteo.
Seleccione la casilla de verificación que hay junto a la tabla de ruteo.
Elija la pestaña Asociaciones de subredes. A continuación, elija Edit.
Seleccione la casilla de verificación situada junto a la subred pública que ha creado anteriormente en este procedimiento. A continuación, elija Guardar.

Paso 2. Creación del segundo servidor web

Complete los siguientes pasos para crear un segundo servidor web con la misma configuración que su servidor web existente.

Para crear un segundo servidor web

Abra la sección de instancias de la consola de Amazon EC2.
Seleccione la casilla de verificación junto a la instancia de servidor web existente.
Elija Actions (Acciones), Image (Imagen) y, a continuación, Create Image (Crear imagen).
En el cuadro de diálogo Create Image (Crear imagen), haga lo siguiente:
1. En Image name (Nombre de la imagen), escriba un nombre para la imagen.
2. En Image description (Descripción de la imagen), escriba una descripción para la imagen.
3. Elija Create Image (Crear imagen). Esta acción reinicia su servidor web existente.
4. Elija el enlace Ver imagen pendiente ami-<ID AMI>.
  
  En la columna Estado, observe el estado de la imagen. Cuando el estado de la imagen sea disponible (esto podría tardar varios minutos), vaya al siguiente paso.
En el panel de navegación, seleccione Instances (Instancia[s]).
Seleccione la casilla de verificación junto al servidor web existente.
Elija Actions (Acciones) y después Launch More Like This (Lanzar más así).
Elija Edit AMI (Editar AMI).
En el panel de navegación izquierdo, elija Mis AMI. A continuación, borre el texto en el campo de búsqueda.
Junto a la imagen del servidor web, elija Select (Seleccionar).
Elija Sí, deseo continuar con esta AMI (nombre de la imagen> - ami-ID de AMI>).
Elija Siguiente.
Seleccione un tipo de instancia y, a continuación, elija Next: Configure Instance Details.
En Step 3: Configure Instance Details (Paso 3: Configure los detalles de la instancia), haga lo siguiente:
1. Para Network (Red), elija la VPC que contiene su servidor web existente.
2. Para Subnet (Subred), elija la subred pública que creó para el segundo servidor web.
3. En Auto-assign Public IP, elija Enable.
4. Cambie los detalles restantes de la instancia como desee. A continuación, elija Next: Add Storage (Siguiente: Añadir almacenamiento).
Cambie la configuración de almacenamiento como desee. A continuación, elija Siguiente: Agregar etiquetas.
Agregue o edite las etiquetas que desee. A continuación, elija Next: Configure Security Group.
En Step 6: Configure Security Group, haga lo siguiente:
1. En Assign a security group (Asignar un grupo de seguridad), seleccione Select an existing security group (Seleccionar un grupo de seguridad existente).
2. Seleccione la casilla de verificación situada junto al grupo de seguridad denominado cloudhsm-<cluster ID>-sg. AWS CloudHSM creó este grupo de seguridad en su nombre al crear el clúster. Debe elegir este grupo de seguridad para permitir que la instancia del servidor web se conecte a los HSM del clúster.
3. Seleccione la casilla de verificación situada junto al grupo de seguridad que permite tráfico HTTPS entrante. Ha creado previamente este grupo de seguridad.
4. (Opcional) Seleccione la casilla de verificación situada junto a un grupo de seguridad que permite el tráfico entrante de SSH (para Linux) o de RDP (para Windows) entrante desde la red. Es decir, el grupo de seguridad debe permitir el tráfico entrante de TCP a través del puerto 22 (para SSH en Linux) o del puerto 3389 (para RDP en Windows). De lo contrario, no podrá conectarse a su instancia de cliente. Si no dispone de un grupo de seguridad de este tipo, debe crearlo y, a continuación, asignarlo a la instancia de cliente.
Elija Revisar e iniciar.
Revise los detalles de la instancia y, a continuación, elija Launch.
Elija si desea lanzar la instancia con un par de claves existente, crear un nuevo par de claves o lanzar la instancia sin un par de claves.
- Para utilizar un par de claves existente, haga lo siguiente:
  1. Elija Choose an existing key pair.
  2. En Select a key pair, elija el par de claves que desea usar.
  3. Seleccione la casilla de verificación situada junto a I acknowledge that I have access to the selected private key file (private key file name>.pem), and that without this file, I won't be able to log into my instance. (Confirmo que tengo acceso al archivo de clave privada seleccionado (nombre del archivo de clave privada>.pem) y que sin este archivo no podré iniciar sesión en mi instancia).
- Para crear un nuevo par de claves, haga lo siguiente:
  1. Elija Crear un nuevo par de claves.
  2. En Key pair name (Nombre del par de claves), escriba un nombre para el par de claves.
  3. Elija Download Key Pair y guarde el archivo de clave privada en una ubicación segura y accesible.
    
    aviso
    No puede volver a descargar el archivo de clave privada después de este punto. Si no descarga ahora el archivo de clave privada, no podrá obtener acceso a la instancia de cliente.
- Para lanzar la instancia sin un par de claves, haga lo siguiente:
  1. Elija Proceed without a key pair (Continuar sin un par de claves).
  2. Seleccione la casilla de verificación junto a I acknowledge that I will not be able to connect to this instance unless I already know the password built into this AMI. (Confirmo que no podré conectarme a esta instancia salvo que ya sepa la contraseña integrada en esta AMI).
Elija Launch Instances.

Paso 3. Creación del equilibrador de carga

Complete los siguientes pasos para crear un equilibrador de carga de Elastic Load Balancing que dirige el tráfico HTTPS a los servidores web.

Cómo crear un equilibrador de carga

Abra la página de equilibradores de carga en la consola de Amazon EC2.
Elija Create Load Balancer (Crear equilibrador de carga).
En la sección Network Load Balancer, elija Create (Crear).
En Paso 1: Configurar el equilibrador de carga, haga lo siguiente:
1. Para Nombre, escriba un nombre para el equilibrador de carga que está creando.
2. En la sección Agentes de escucha, para Puerto Equilibrador de Carga, cambie el valor a 443.
3. En la sección Availability Zones (Zonas de disponibilidad), para VPC, elija la VPC que contiene sus servidores web.
4. En la sección Availability Zones (Zonas de disponibilidad), elija las subredes que contienen sus servidores web.
5. Elija Next: Configure Routing (Siguiente: Configuración del enrutamiento).
En Step 2: Configure Routing (Paso 2: Configurar direccionamiento), haga lo siguiente:
1. Para Name (Nombre), escriba un nombre para el grupo de destino que está creando.
2. Para Puerto, cambie el valor a 443.
3. Elija Next: Register Targets (Siguiente: Registrar destinos).
Para Step 3: Register Targets (Paso 3: Registrar destinos), haga lo siguiente:
1. En la sección Instancias, seleccione las casillas de verificación junto a las instancias de servidor web. A continuación, elija Add to registered (Añadir a registrados).
2. Elija Siguiente: Revisar.
Revise los detalles del equilibrador de carga y, a continuación, elija Crear.
Cuando se haya creado correctamente el equilibrador de carga, elija Cerrar.

Una vez que haya finalizado los pasos anteriores, la consola de Amazon EC2 muestra su equilibrador de carga de Elastic Load Balancing.

Cuando el estado del equilibrador de carga sea activo, puede verificar que el equilibrador de carga está en ejecución. Es decir, puede verificar que está enviando tráfico HTTPS a sus servidores web con descarga de SSL/TLS con AWS CloudHSM. Puede hacerlo mediante un navegador web o una herramienta como OpenSSL s_client.

Cómo verificar que el equilibrador de carga se está ejecutando con un navegador web

En la consola de Amazon EC2, encuentre el nombre de DNS para el equilibrador de carga que acaba de crear. A continuación, seleccione el nombre de DNS y cópielo.
Utilice un navegador web como Mozilla Firefox o Google Chrome para conectarse a su equilibrador de carga con el nombre de DNS del equilibrador de carga. Asegúrese de que la dirección URL en la barra de direcciones comienza con https://.

sugerencia
Puede utilizar un servicio DNS como, por ejemplo, Amazon Route 53, para dirigir el nombre de dominio de su sitio web (por ejemplo, https://www.ejemplo.com/) a su servidor web. Para obtener más información, consulte Direccionamiento del tráfico a una instancia de Amazon EC2 en la Guía para desarrolladores de Amazon Route 53 o en la documentación para su servicio DNS.
Utilice el navegador web para ver el certificado del servidor web. Para más información, consulte los siguientes temas:
- Para Mozilla Firefox, consulte View a Certificate en el sitio web de Soporte de Mozilla.
- Para Google Chrome, consulte Conocer los problemas de seguridad en el sitio web para desarrolladores de Google.
Otros navegadores web pueden tener características similares que puede utilizar para ver el certificado del servidor web.
Asegúrese de que el certificado es el que ha configurado para que lo utilice el servidor web.

Cómo verificar que el equilibrador de carga se está ejecutando con OpenSSL s_client

Utilice el siguiente comando OpenSSL para conectarse a su equilibrador de carga a través de HTTPS. Sustituya <DNS name> por el nombre de DNS de su equilibrador de carga.
```
openssl s_client -connect <DNS name>:443
```
sugerencia
Puede utilizar un servicio DNS como, por ejemplo, Amazon Route 53, para dirigir el nombre de dominio de su sitio web (por ejemplo, https://www.ejemplo.com/) a su servidor web. Para obtener más información, consulte Direccionamiento del tráfico a una instancia de Amazon EC2 en la Guía para desarrolladores de Amazon Route 53 o en la documentación para su servicio DNS.
Asegúrese de que el certificado es el que ha configurado para que lo utilice el servidor web.

Ahora tiene un sitio web que se protege con HTTPS, con la clave privada del servidor web almacenada en un HSM en su clúster de AWS CloudHSM. Su página web tiene dos servidores web y un equilibrador de carga para ayudar a mejorar la eficiencia y la disponibilidad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Descarga en Windows

Entidad de certificación de Windows Server