Étape 1. Créer un sous-réseau pour le deuxième serveur web Étape 2. Création du deuxième serveur web Étape 3. Créer l'équilibreur de charge

Ajoutez un équilibreur de charge avec Elastic Load Balancing pour AWS CloudHSM(facultatif)

Une fois que vous avez SSL TLS configuré/offload avec un serveur Web, vous pouvez créer d'autres serveurs Web et un équilibreur de charge Elastic Load Balancing qui achemine le HTTPS trafic vers les serveurs Web. Un équilibreur de charge peut réduire la charge sur vos serveurs web individuels en équilibrant le trafic entre deux serveurs ou plus. Il peut également augmenter la disponibilité de votre site web, car l'équilibreur de charge surveille l'état de vos serveurs web et achemine uniquement le trafic vers les serveurs sains. Si un serveur web échoue, l'équilibreur de charge arrête automatiquement l'acheminement du trafic vers le serveur.

Rubriques

Étape 1. Créer un sous-réseau pour le deuxième serveur web
Étape 2. Création du deuxième serveur web
Étape 3. Créer l'équilibreur de charge

Étape 1. Créer un sous-réseau pour le deuxième serveur web

Avant de créer un autre serveur Web, vous devez créer un nouveau sous-réseau VPC contenant votre serveur Web et votre AWS CloudHSM cluster existants.

Pour créer un sous-réseau

Ouvrez la section Sous-réseaux de la VPC console Amazon.
Choisissez Create Subnet.
Dans la boîte de dialogue Créer le sous-réseau (subnet), procédez comme suit :
1. Pour Balise Nom, saisissez un nom pour votre sous-réseau.
2. Pour VPC, choisissez celui AWS CloudHSM VPC qui contient votre serveur Web et votre AWS CloudHSM cluster existants.
3. Pour Zone de disponibilité, choisissez une zone de disponibilité différente de celle qui contient votre serveur web existant.
4. Pour IPv4CIDRbloc, tapez le CIDR bloc à utiliser pour le sous-réseau. Par exemple, saisissez 10.0.10.0/24.
5. Choisissez Yes, Create.
Cochez la case située en regard du sous-réseau public qui contient votre serveur web existant. Ce sous-réseau est différent du sous-réseau public que vous avez créé à l'étape précédente.
Dans le volet de contenu, sélectionnez l'onglet Table de routage. Ensuite, cliquez sur le lien de la table de routage.
Cochez la case en regard de la table de routage.
Sélectionnez l'onglet Associations de sous-réseau. Puis, choisissez Modifier.
Cochez la case située en regard du sous-réseau public que vous avez créé précédemment dans cette procédure. Ensuite, choisissez Save (Enregistrer).

Étape 2. Création du deuxième serveur web

Effectuez les étapes suivantes pour créer un deuxième serveur web avec la même configuration que votre serveur web existant.

Pour créer un deuxième serveur web

Ouvrez la section Instances de la EC2 console Amazon à l'adresse.
Cochez la case située en regard de votre instance existante de serveur web.
Sélectionnez Actions, Image, puis Créer une image.
Dans la boîte de dialogue Créer une image, procédez comme suit :
1. Dans Nom de l'image, tapez un nom pour l'image.
2. Pour Description de l'image, tapez une description pour l'image.
3. Choisissez Créer une image. Cette action redémarre votre serveur web existant.
4. Choisissez l'ami Afficher l'image en attente<AMI ID>lien.
  
  Dans la colonne Statut, notez le statut de votre image. Lorsque votre image a pour statut available (cela peut prendre plusieurs minutes), passez à l'étape suivante.
Dans le panneau de navigation, choisissez Instances.
Cochez la case située en regard de votre serveur web existant.
Choisissez Actions, puis En lancer plus comme ceci.
Choisissez Modifier AMI.
Dans le volet de navigation de gauche, choisissez My AMIs. Ensuite, effacez le texte dans la zone de recherche.
À côté de l'image de votre serveur web, choisissez Sélectionner.
Choisissez Oui, je souhaite continuer AMI (<image name> - ami-<AMI ID>).
Choisissez Suivant.
Sélectionnez un type d'instance, puis choisissez Suivant : Configurer les détails de l'instance.
Pour Etape 3 : Configurer les détails de l'instance, procédez comme suit :
1. Pour Réseau, choisissez celui VPC qui contient votre serveur Web existant.
2. Pour Sous-réseau, choisissez le sous-réseau public que vous avez créé pour le deuxième serveur web.
3. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer.
4. Modifiez les autres options des détails de l'instance comme vous le souhaitez. Puis choisissez Suivant : Ajouter le stockage.
Modifiez les paramètres de stockage comme souhaité. Choisissez ensuite Suivant : Ajouter des balises.
Ajoutez ou modifiez les balises comme souhaité. Choisissez ensuite Suivant : Configurer le groupe de sécurité.
Pour Etape 6 : Configurer le groupe de sécurité, procédez comme suit :
1. Pour Attribuer un groupe de sécurité, choisissez Select an existing security group (Sélectionner un groupe de sécurité existant).
2. Cochez la case à côté du groupe de sécurité nommé cloudhsm-<cluster ID>-sg. AWS CloudHSM a créé ce groupe de sécurité en votre nom lorsque vous avez créé le cluster. Vous devez choisir ce groupe de sécurité pour permettre à l'instance du serveur Web de se connecter HSMs au cluster.
3. Cochez la case à côté du groupe de sécurité qui autorise le HTTPS trafic entrant. Vous avez créé ce groupe de sécurité précédemment.
4. (Facultatif) Cochez la case à côté d'un groupe de sécurité qui autorise le trafic entrant SSH (pour Linux) ou RDP (pour Windows) en provenance de votre réseau. C'est-à-dire que le groupe de sécurité doit autoriser le TCP trafic entrant sur le port 22 (pour Linux) ou SSH le port 3389 (pour RDP Windows). Sinon, vous ne pouvez pas vous connecter à votre instance client. Si vous n'avez pas de groupe de sécurité de ce type, vous devez en créer un, puis l'attribuer ultérieurement à votre instance client.
Choisissez Review and Launch.
Vérifiez les détails de votre instance, puis choisissez Lancement.
Choisissez si vous souhaitez démarrer votre instance avec une paire de clés existante, créer une paire de clés ou lancer votre instance sans paire de clés.
- Pour utiliser une paire de clés existante, procédez comme suit :
  1. Choisissez Choisir une paire de clés existante.
  2. Pour Sélectionner une paire de clés, choisissez la paire de clés à utiliser.
  3. Cochez la case à côté de Je confirme avoir accès au fichier de clé privée sélectionné (<private key file name>.pem), et que sans ce fichier, je ne pourrais pas me connecter à mon instance.
- Pour créer une paire de clés, procédez comme suit :
  1. Choisissez Créer une nouvelle paire de clés.
  2. Pour Nom de la paire de clés, saisissez un nom de paire de clés.
  3. Choisissez Télécharger une paire de clés et enregistrer le fichier de clé privée dans un endroit sûr et accessible.
    
    Avertissement
    Vous ne pouvez pas télécharger une nouvelle fois le fichier de clé privée après ce stade. Si vous ne téléchargez pas le fichier de clé privée maintenant, vous ne pourrez pas accéder à l'instance client.
- Pour démarrer votre instance sans une paire de clés, effectuez les opérations suivantes :
  1. Choisissez Continuer sans paire de clés.
  2. Cochez la case à côté de Je reconnais que je ne pourrai pas me connecter à cette instance si je ne connais pas déjà le mot de passe intégré à celle-ciAMI.
Choisissez Launch Instances (Démarrer les instances).

Étape 3. Créer l'équilibreur de charge

Procédez comme suit pour créer un équilibreur de charge Elastic Load Balancing qui achemine HTTPS le trafic vers vos serveurs Web.

Pour créer un équilibreur de charge

Ouvrez la section Load balancers de la EC2 console Amazon.
Sélectionnez Create Load Balancer (Créer un équilibreur de charge).
Dans la section Équilibreur de charge du réseau, choisissez Créer.
Pour Étape 1 : Configurer l'équilibreur de charge, procédez comme suit :
1. Pour Nom, entrez un nom pour l'équilibreur de charge que vous créez.
2. Dans la section Écouteurs, pour Port de l'équilibreur de charge, modifiez la valeur en 443.
3. Dans la section Zones de disponibilité VPC, pour, choisissez VPC celle qui contient vos serveurs Web.
4. Dans la section Zones de disponibilité, choisissez les sous-réseaux qui contiennent vos serveurs web.
5. Choisissez Next: Configure Routing (Suivant :Configurer le routage).
Pour Étape 2 : Configurer le routage, procédez comme suit :
1. Pour Nom, entrez le nom du groupe cible que vous créez.
2. Pour Port, modifiez la valeur en 443.
3. Choisissez Next: Register Targets (Suivant : Enregistrer des cibles).
Pour Étape 3 : Enregistrer les cibles, procédez comme suit :
1. Dans la section Instances, cochez les cases en regard de vos instances de serveur web. Ensuite, choisissez Ajouter au membre.
2. Choisissez Suivant : vérification.
Passez en revue les détails de votre équilibreur de charge, puis cliquez sur Créer.
Lorsque l'équilibreur de charge a été créé avec succès, cliquez sur Fermer.

Après avoir effectué les étapes précédentes, la EC2 console Amazon affiche votre équilibreur de charge Elastic Load Balancing.

Lorsque l'état de votre équilibreur de charge est actif, vous pouvez vérifier que l'équilibreur de charge fonctionne. En d'autres termes, vous pouvez vérifier qu'il envoie du HTTPS trafic vers vos serveurs Web avecSSL/TLSoffload with AWS CloudHSM. Vous pouvez le faire à l'aide d'un navigateur Web ou d'un outil tel que Open SSL s_client.

Pour vérifier que votre équilibreur de charge fonctionne avec un navigateur web

Dans la EC2 console Amazon, trouvez le DNSnom de l'équilibreur de charge que vous venez de créer. Sélectionnez ensuite le DNS nom et copiez-le.
Utilisez un navigateur Web tel que Mozilla Firefox ou Google Chrome pour vous connecter à votre équilibreur de charge en utilisant le nom de DNS celui-ci. Assurez-vous que le champ URL dans la barre d'adresse commence par https ://.

Astuce
Vous pouvez utiliser un DNS service tel qu'Amazon Route 53 pour acheminer le nom de domaine de votre site Web (par exemple, https://www.example.com/) vers votre serveur Web. Pour plus d'informations, consultez la section Router le trafic vers une EC2 instance Amazon dans le guide du développeur Amazon Route 53 ou dans la documentation de votre DNS service.
Utilisez votre navigateur web pour afficher le certificat de serveur web. Pour plus d’informations, consultez les ressources suivantes :
- Pour Mozilla Firefox, consultez View a Certificate sur le site web de support Mozilla.
- Pour Google Chrome, consultez Understand Security Issues sur les Outils Google pour site web des développeurs Google.
D'autres navigateurs web peuvent avoir des fonctions similaires que vous pouvez utiliser pour afficher le certificat de serveur web.
Assurez-vous que le certificat est celui que vous avez configuré le serveur web à utiliser.

Pour vérifier que votre équilibreur de charge fonctionne avec Open s_client SSL

Utilisez la SSL commande Open suivante pour vous connecter à votre équilibreur de charge à l'aide HTTPS de. Remplacez <DNS name> avec le DNS nom de votre équilibreur de charge.
```
openssl s_client -connect <DNS name>:443
```
Astuce
Vous pouvez utiliser un DNS service tel qu'Amazon Route 53 pour acheminer le nom de domaine de votre site Web (par exemple, https://www.example.com/) vers votre serveur Web. Pour plus d'informations, consultez la section Router le trafic vers une EC2 instance Amazon dans le guide du développeur Amazon Route 53 ou dans la documentation de votre DNS service.
Assurez-vous que le certificat est celui que vous avez configuré le serveur web à utiliser.

Vous avez maintenant un site Web sécurisé avec HTTPS la clé privée du serveur Web stockée HSM dans un AWS CloudHSM cluster. Votre site web dispose de deux serveurs web et d'un équilibreur de charge afin d'améliorer l'efficacité et la disponibilité.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Décharger sous Windows

CA Windows Server