Création d'un Classic Load Balancer avec un Écouteur HTTPS - Elastic Load Balancing
PrérequisCréez un équilibreur de charge HTTPS/SSL à l'aide du AWS Management ConsoleCréer un équilibreur de charge HTTPS/SSL à l'aide de l'interface AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un Classic Load Balancer avec un Écouteur HTTPS

Un équilibreur de charge prend les demandes des clients et les répartit sur les instances EC2 qui sont enregistrées auprès de l'équilibreur de charge.

Vous pouvez créer un équilibreur de charge qui écoute sur les ports HTTP (80) et HTTPS (443). Si vous spécifiez que l'écouteur HTTPS envoie des demandes aux instances sur le port 80, l'équilibreur de charge met fin aux demandes et à la communication depuis l'équilibreur de charge vers les instances n'est pas chiffrée. Si l'écouteur HTTPS envoie des demandes aux instances sur le port 443, la communication depuis l'équilibreur de charge vers les instances est chiffrée.

Si votre équilibreur de charge utilise une connexion chiffrée pour communiquer avec les instances, vous pouvez éventuellement activer l'authentification des instances. Cela garantit que l'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à la clé que vous avez spécifiée à équilibreur de charge à cet effet.

Pour plus d'informations sur l'ajout d'écouteurs HTTPS à un équilibreur de charge existant, consultez Configurer un Écouteur HTTPS pour votre Classic Load Balancer.

Prérequis

Avant de commencer, vérifiez que vous avez répondu aux exigences suivantes :

  • Suivez les étapes de Préparation de votre VPC et de vos instances EC2.

  • Lancez les instances EC2 que vous avez l'intention d'enregistrer auprès de votre équilibreur de charge. Les groupes de sécurité pour ces instances doivent autoriser le trafic à partir de l'équilibreur de charge.

  • Les instances EC2 doivent répondre à la cible de la vérification de l'état avec un code d'état HTTP 200. Pour plus d’informations, consultez Configurer les vérifications de l'état pour votre Classic Load Balancer.

  • Si vous avez l'intention d'activer l'option keep-alive sur vos instances EC2, nous vous recommandons de définir les paramètres keep-alive au moins sur les valeurs de délai d'inactivité de votre équilibreur de charge. Si vous voulez vous assurer que l'équilibreur de charge est responsable de la fermeture des connexions à votre instance, vérifiez que la valeur définie sur votre instance pour le délai keep-alive est supérieure à celle du paramètre de délai d'inactivité sur votre équilibreur de charge. Pour plus d’informations, consultez Configurer le délai d'inactivité des connexions de votre Classic Load Balancer.

  • Si vous créez un écouteur sécurisé, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances. Si vous n'avez pas de certificat SSL, vous pouvez créer en. Pour plus d’informations, consultez Certificats SSL/TLS pour les Classic Load Balancers.

Créez un équilibreur de charge HTTPS/SSL à l'aide du AWS Management Console

Dans cet exemple, vous configurez deux écouteurs pour votre équilibreur de charge. Le premier écouteur accepte les demandes HTTP sur le port 80 et les envoie aux instances sur le port 80 à l'aide de HTTP. Le deuxième écouteur accepte les demandes HTTPS sur le port 443 et les envoie aux instances à l'aide de HTTP sur le port 80 (ou à l'aide de HTTPS sur le port 443 si vous souhaitez configurer l'authentification d'instance principale).

Un écouteur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'Écouteur pris en charge par Elastic Load Balancing, consultez Écouteurs de votre Classic Load Balancer.

Pour créer votre Classic Load Balancer sécurisé à l'aide de la console

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans la barre de navigation, choisissez une Région pour votre équilibreur de charge. Veillez à sélectionner la même Région que celle que vous avez sélectionnée pour vos instances EC2.

  3. Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).

  4. Sélectionnez Create Load Balancer (Créer un équilibreur de charge).

  5. Développez la section Classic Load Balancer, puis choisissez Create.

  6. Configuration de base

    1. Pour Load Balancer name, saisissez un nom pour l'équilibreur de charge.

      Le nom de votre Classic Load Balancer doit être unique dans l'ensemble de vos Classic Load Balancers pour la région, ne peut contenir que 32 caractères au maximum, ne peut comporter que des caractères alphanumériques et des traits d'union, et ne doit pas commencer ou se terminer par un trait d'union.

    2. Pour Scheme, sélectionnez Internet-facing.

  7. Mappage du réseau

    1. Pour VPC, sélectionnez le même VPC que celui que vous avez sélectionné pour vos instances.

    2. Pour Mappings, sélectionnez d'abord une Zone de disponibilité, puis choisissez un sous-réseau public parmi ses sous-réseaux disponibles. Vous ne pouvez sélectionner qu'un seul sous-réseau par zone de disponibilité. Afin d'améliorer la disponibilité de votre équilibreur de charge, sélectionnez plusieurs zones de disponibilité et sous-réseaux.

  8. Groupes de sécurité

    1. Pour Security groups, sélectionnez un groupe de sécurité existant configuré pour autoriser le trafic HTTP requis sur le port 80 et le trafic HTTP sur le port 443.

      S'il n'en existe pas, vous pouvez créer un nouveau groupe de sécurité avec les règles nécessaires.

  9. Écouteurs et routage

    1. Conservez les paramètres par défaut de l'écouteur par défaut, puis sélectionnez Add listener.

    2. Pour Listener sur le nouvel écouteur, sélectionnez HTTPS car le protocole et le port seront mis à jour vers 443. Par défaut, Instance utilise le protocole HTTP sur le port 80.

    3. Si l'authentification back end est nécessaire, modifiez le protocole d'Instance par HTTPS. Cela mettra également à jour le port d'Instance vers 443

  10. Paramètres de l'écouteur sécurisé

    Lorsque vous utilisez HTTPS ou SSL pour votre écouteur frontal, vous devez déployer un certificat SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes des clients avant de les envoyer aux instances. Vous devez également spécifier une politique de sécurité. Elastic Load Balancing fournit des politiques de sécurité qui ont des configurations de négociation SSL prédéfinies, mais vous pouvez également créer votre propre politique de sécurité personnalisée. Si vous avez configuré HTTPS/SSL sur la connexion principale, vous pouvez activer l'authentification de vos instances.

    1. Pour la politique de sécurité, vérifiez que la stratégie est définie sur ELB SecurityPolicy -2016-08. Nous vous recommandons de toujours utiliser la stratégie de sécurité prédéfinie la plus récente ou de créer une stratégie personnalisée. Consultez Update the SSL Negotiation Configuration.

    2. Pour Default SSL/TLS certificate, les options suivantes sont disponibles :

      • Si vous avez créé ou importé un certificat à l'aide de AWS Certificate Manager, sélectionnez From ACM, puis sélectionnez le certificat dans Select a certificate.

      • Si vous avez importé un certificat à l'aide d'IAM, sélectionnez From IAM et puis sélectionnez votre certificat dans Select a certificate.

      • Si vous avez un certificat à importer mais qu'ACM n'est pas disponible dans votre région, sélectionnez Import, puis sélectionnez To IAM. Tapez le nom du certificat dans le champ Certificate name. Dans Certificate private key, copiez et collez le contenu du fichier de clé privée (codé PEM). Dans Certificate body, copiez et collez le contenu du fichier de certificat de clé publique (codé PEM). Dans Certificate Chain (Chaîne de certificats), copiez et collez le contenu du fichier de chaîne de certificats (codé PEM), sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

    3. (Facultatif) Si vous avez configuré l'écouteur HTTPS pour communiquer avec des instances à l'aide d'une connexion chiffrée, vous pouvez éventuellement configurer l'authentification des instances dans Backend authentication certificate.

      Note

      Si vous ne voyez pas la section Backend authentication certificate , retournez à Listeners and routing et sélectionnez HTTPS comme protocole pour Instance.

      1. Pour Certificate name, tapez le nom du certificat de clé publique.

      2. Pour Certificate Body (PEM encoded), copiez et collez le contenu du certificat. L'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à cette clé.

      3. Pour ajouter un autre certificat, choisissez Add new backend certificate. La limite est de cinq.

  11. Surveillance de l'état

    1. Dans la section Ping target, sélectionnez un Ping Protocol et Ping Port. Vos instances EC2 doivent accepter le trafic sur le port de ping spécifié.

    2. Pour Ping Port, assurez-vous que le port est 80.

    3. Pour Ping Path, remplacez la valeur par défaut par une seule barre oblique, (/). Cela indique à Elastic Load Balancing d'envoyer les demandes de surveillance de l'état à la page d'accueil par défaut pour votre serveur web, par exemple, index.html.

    4. Pour Advanced health check settings, utilisez les valeurs par défaut.

  12. Instances

    1. Sélectionnez Add instances pour afficher l'écran de sélection des instances.

    2. Sous Available instances, vous pouvez sélectionner parmi les instances actuellement disponibles pour l'équilibreur de charge, en fonction des paramètres réseau sélectionnés précédemment.

    3. Lorsque vous êtes satisfait de vos sélections, sélectionnez Confirm pour ajouter les instances à enregistrer dans l'équilibreur de charge.

  13. Attributs

    1. Pour Enable cross-zone load balancingEnable connection draining et Timeout (draining interval) conservez les valeurs par défaut.

  14. Balises d'équilibreur de charge (facultatif)

    1. Le champ Key est obligatoire.

    2. Le champ Value est facultatif.

    3. Pour ajouter une autre balise, sélectionnez Add new tag puis entrez vos valeurs dans le champ Key et éventuellement le champ Value.

    4. Pour supprimer une balise existante, sélectionner Remove en regard de la balise à supprimer.

  15. Résumé et création

    1. Si vous devez modifier des paramètres, sélectionnez Edit en regard du paramètre à modifier.

    2. Une fois que vous êtes satisfait de tous les paramètres affichés dans le résumé, sélectionnez Create load balancer pour commencer à créer votre équilibreur de charge.

    3. Sur la dernière page de création, sélectionnez View load balancer pour afficher votre équilibreur de charge dans la console Amazon EC2.

  16. Vérification

    1. Sélectionnez votre nouvel équilibreur de charge.

    2. Sous l'onglet Target instances, vérifiez la colonne Health status. Une fois qu'au moins l'une de vos instances EC2 est en service, vous pouvez tester votre équilibreur de charge.

    3. Dans la section Détails, copiez les équilibreurs de charge DNS name qui ressemblerait à my-load-balancer-1234567890.us-east-1.elb.amazonaws.com.

    4. Collez le nom DNS de votre nouvel équilibreur de charge dans le champ d'adresse d'un navigateur web public connecté à Internet. Si votre équilibreur de charge fonctionne correctement, vous voyez la page par défaut de votre serveur.

  17. Supprimer (facultatif)

    1. Si vous avez un enregistrement CNAME pour votre domaine qui pointe sur votre équilibreur de charge, faites-le pointer sur un nouvel emplacement et attendez que le changement DNS prenne effet avant de supprimer votre équilibreur de charge.

    2. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

    3. Sélectionnez l'équilibreur de charge.

    4. Sélectionnez Actions, Delete load balancer.

    5. Lorsque vous êtes invité à confirmer, tapez confirm, puis sélectionnez Delete.

    6. Une fois que vous avez supprimé un équilibreur de charge, les instances EC2 enregistrées auprès de l'équilibreur de charge continuent de s'exécuter. Vous serez facturé pour chaque heure partielle ou complète pendant laquelle elles continuent de s'exécuter. Lorsque vous n'avez plus besoin d'une instance EC2, vous pouvez l'arrêter ou la résilier pour éviter des frais supplémentaires.

Créer un équilibreur de charge HTTPS/SSL à l'aide de l'interface AWS CLI

Utilisez les instructions suivantes pour créer un équilibreur de charge à l'aide de l'interface AWS CLI

Étape 1 : Configurer des Écouteurs

Un écouteur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'Écouteur pris en charge par Elastic Load Balancing, consultez Écouteurs de votre Classic Load Balancer.

Dans cet exemple, vous configurez deux écouteurs pour votre équilibreur de charge en spécifiant les ports et les protocoles à utiliser pour les connexions frontales et principales. Le premier écouteur accepte les demandes HTTP sur le port 80 et les envoie aux instances sur le port 80 à l'aide de HTTP. Le deuxième écouteur accepte les demandes HTTPS sur le port 443 et les envoie aux instances à l'aide de HTTP sur le port 80.

Comme le deuxième écouteur utilise HTTPS pour la connexion frontale, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances.

Pour configurer des écouteurs pour votre équilibreur de charge

  1. Obtenez l'Amazon Resource Name (ARN) du certificat SSL. Par exemple :

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate

  2. Utilisez la create-load-balancercommande suivante pour configurer l'équilibreur de charge avec les deux écouteurs :

    aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=http,LoadBalancerPort=80,InstanceProtocol=http,InstancePort=80" "Protocol=https,LoadBalancerPort=443,InstanceProtocol=http,InstancePort=80,SSLCertificateId="ARN" --availability-zones us-west-2a

    Voici un exemple de réponse :

    {
  "DNSName": "my-loadbalancer-012345678.us-west-2.elb.amazonaws.com"
}

  3. (Facultatif) Utilisez la describe-load-balancerscommande suivante pour afficher les détails de votre équilibreur de charge :

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

Étape 2 : Configurer la politique de sécurité SSL

Vous pouvez sélectionner l'une des stratégies de sécurité prédéfinies, ou créer votre propre stratégie de sécurité personnalisée. Sinon, Elastic Load Balancing configure votre équilibreur de charge avec la politique de sécurité prédéfinie par défaut, ELBSecurityPolicy-2016-08. Nous vous recommandons d'utiliser la stratégie de sécurité par défaut. Pour plus d'informations sur les stratégies de sécurité, consultez Configurations de négociation SSL pour Classic Load Balancers.

Pour vérifier que votre équilibreur de charge est associé à la stratégie de sécurité par défaut

Utilisez la commande describe-load-balancers suivante :

aws elb describe-load-balancers --load-balancer-name my-loadbalancer

Voici un exemple de réponse. Notez que la stratégie ELBSecurityPolicy-2016-08 est associée à l'équilibreur de charge sur le port 443.

{
    "LoadBalancerDescriptions": [
        {
            ...
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "ELBSecurityPolicy-2016-08"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ],
            ...
        }
    ]
}

Si vous préférez, vous pouvez configurer la stratégie de sécurité SSL pour votre équilibreur de charge au lieu d'utiliser la stratégie de sécurité par défaut.

(Facultatif) Pour utiliser une politique de sécurité SSL prédéfinie

  1. Utilisez la describe-load-balancer-policiescommande suivante pour répertorier les noms des politiques de sécurité prédéfinies :

    aws elb describe-load-balancer-policies

    Pour plus d'informations sur la configuration des stratégies de sécurité prédéfinies, consultez Politiques de sécurité SSL prédéfinies.

  2. Utilisez la create-load-balancer-policycommande suivante pour créer une politique de négociation SSL à l'aide de l'une des politiques de sécurité prédéfinies que vous avez décrites à l'étape précédente :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=predefined-policy

  3. (Facultatif) Utilisez la describe-load-balancer-policiescommande suivante pour vérifier que la politique est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  4. Utilisez la commande set-load-balancer-policies-of-listener suivante pour activer la politique sur le port 443 de l'équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  5. (Facultatif) Utilisez la describe-load-balancerscommande suivante pour vérifier que la politique est activée :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Voici un exemple de réponse montrant que la stratégie est activée sur le port 443.

    {
    "LoadBalancerDescriptions": [
        {
            ....
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "my-SSLNegotiation-policy"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ],
            ...
        }
    ]
}

Lorsque vous créez une stratégie de sécurité personnalisée, vous devez activer au moins un protocole et un chiffrement. Les chiffrements DSA et RSA sont spécifiques à l'algorithme de signature et sont utilisés pour créer le certificat SSL. Si vous avez déjà votre certificat SSL, veillez à activer le chiffrement qui a été utilisé pour créer ce certificat. Le nom de votre stratégie personnalisée ne doit pas commencer par ELBSecurityPolicy- ou ELBSample-, car ces préfixes sont réservés pour les noms des stratégies de sécurité prédéfinies.

(Facultatif) Pour utiliser une politique de sécurité SSL personnalisée

  1. Utilisez la create-load-balancer-policycommande pour créer une politique de négociation SSL à l'aide d'une politique de sécurité personnalisée. Par exemple :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer 
 --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
 --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true 
 AttributeName=Protocol-TLSv1.1,AttributeValue=true 
 AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true 
 AttributeName=Server-Defined-Cipher-Order,AttributeValue=true

  2. (Facultatif) Utilisez la describe-load-balancer-policiescommande suivante pour vérifier que la politique est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  3. Utilisez la commande set-load-balancer-policies-of-listener suivante pour activer la politique sur le port 443 de l'équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  4. (Facultatif) Utilisez la describe-load-balancerscommande suivante pour vérifier que la politique est activée :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Voici un exemple de réponse montrant que la stratégie est activée sur le port 443.

    {
    "LoadBalancerDescriptions": [
        {
            ....
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "my-SSLNegotiation-policy"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ],
            ...
        }
    ]
}

Étape 3 : Configurer l'authentification d'instance principale (facultatif)

Si vous configurez HTTPS/SSL sur la connexion principale, vous pouvez éventuellement configurer l'authentification de vos instances.

Lorsque vous configurez l'authentification d'instance principale, vous créez une stratégie de clé publique. Ensuite, vous utilisez cette stratégie de clé publique pour créer une stratégie d'authentification d'instance principale. Enfin, vous définissez la stratégie d'authentification d'instance principale avec le port de l'instance pour le protocole HTTPS.

L'équilibreur de charge communique avec une instance uniquement si la clé publique que l'instance présente à l'équilibreur de charge correspond à une clé publique de la stratégie d'authentification pour votre équilibreur de charge.

Pour configurer l'authentification d'instance principale

  1. Utilisez la commande suivante pour extraire la clé publique :

    openssl x509 -in your X509 certificate PublicKey -pubkey -noout

  2. Utilisez la create-load-balancer-policycommande suivante pour créer une politique de clé publique :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-PublicKey-policy \
--policy-type-name PublicKeyPolicyType --policy-attributes AttributeName=PublicKey,AttributeValue=MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
 WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
 EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
 MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
 WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
 HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
 BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
 k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
 ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
 AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
 KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
 EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
 3rrszlaEXAMPLE=
    Note

    Pour spécifier une valeur de clé publique pour --policy-attributes, supprimez les première et dernière lignes de la clé publique (la ligne contenant « -----BEGIN PUBLIC KEY----- » et la ligne contenant « -----END PUBLIC KEY----- »). Les espaces blancs AWS CLI ne sont pas autorisés dans--policy-attributes.

  3. Utilisez la create-load-balancer-policycommande suivante pour créer une politique d'authentification d'instance principale à l'aide my-PublicKey-policy de.

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-authentication-policy --policy-type-name BackendServerAuthenticationPolicyType --policy-attributes AttributeName=PublicKeyPolicyName,AttributeValue=my-PublicKey-policy

    Vous pouvez éventuellement utiliser plusieurs stratégies de clé publique. L'équilibreur de charge essaie toutes les clés, une par une. Si la clé publique présentée par une instance correspond à l'une de ces clés publiques, l'instance est authentifiée.

  4. Utilisez la for-backend-server commande set-load-balancer-policies- suivante pour my-authentication-policy définir le port d'instance pour HTTPS. Dans cet exemple, le port d'instance est le port 443.

    aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 443 --policy-names my-authentication-policy

  5. (Facultatif) Utilisez la describe-load-balancer-policiescommande suivante pour répertorier toutes les politiques de votre équilibreur de charge :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer

  6. (Facultatif) Utilisez la describe-load-balancer-policiescommande suivante pour afficher les détails de la politique :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-names my-authentication-policy

Étape 4 : Configurer des surveillances de l'état (facultatif)

Elastic Load Balancing vérifie régulièrement l'état de santé de chaque instance EC2 enregistrée en fonction des vérifications de l'état que vous avez configurées. Si Elastic Load Balancing trouve une instance défectueuse, il arrête de lui envoyer du trafic et achemine le trafic vers les instances saines. Pour plus d’informations, consultez Configurer les vérifications de l'état pour votre Classic Load Balancer.

Lorsque vous créez votre équilibreur de charge, Elastic Load Balancing utilise les paramètres par défaut pour les surveillances de l'état. Si vous préférez, vous pouvez modifier la configuration de vérification de l'état de votre équilibreur de charge au lieu d'utiliser les paramètres par défaut.

Pour configurer les vérifications de l'état pour vos instances

Utilisez la commande configure-health-check suivante :

aws elb configure-health-check --load-balancer-name my-loadbalancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3

Voici un exemple de réponse :

{
    "HealthCheck": {
        "HealthyThreshold": 2,
        "Interval": 30,
        "Target": "HTTP:80/ping",
        "Timeout": 3,
        "UnhealthyThreshold": 2
    }
}

Étape 5 : Enregistrer des instances EC2

Une fois que vous avez créé votre équilibreur de charge, vous devez enregistrez vos instances EC2 après de celui-ci. Vous pouvez sélectionner des instances EC2 d'une ou de plusieurs zones de disponibilité au sein de la même Région que l'équilibreur de charge. Pour plus d’informations, consultez Instances enregistrées pour votre Classic Load Balancer.

Utilisez la commande register-instances-with-load-balancer comme suit :

aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Voici un exemple de réponse :

{
    "Instances": [
        {
            "InstanceId": "i-4f8cf126"
        },
        {
            "InstanceId": "i-0bb7ca62"
        }
    ]
}

Étape 6 : Vérifier les instances

Votre équilibreur de charge est utilisable dès que l'une de vos instances enregistrées est à l'état InService.

Pour vérifier l'état de vos instances EC2 nouvellement enregistrées, utilisez la describe-instance-healthcommande suivante :

aws elb describe-instance-health  --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Voici un exemple de réponse :

{
    "InstanceStates": [
        {
            "InstanceId": "i-4f8cf126", 
            "ReasonCode": "N/A", 
            "State": "InService", 
            "Description": "N/A"
        }, 
        {
            "InstanceId": "i-0bb7ca62", 
            "ReasonCode": "Instance", 
            "State": "OutOfService", 
            "Description": "Instance registration is still in progress"
        }
    ]
}

Si le champ State pour une instance est OutOfService, c'est probablement parce que vos instances sont encore en cours d'enregistrement. Pour plus d’informations, consultez Résoudre les problèmes liés à un Classic Load Balancer : enregistrement d'instance.

Une fois que l'état d'au moins une de vos instances est InService, vous pouvez tester votre équilibreur de charge. Pour tester votre équilibreur de charge, copiez son nom DNS et collez-le dans le champ d'adresse d'un navigateur web connecté à Internet. Si votre équilibreur de charge fonctionne, vous voyez la page par défaut de votre serveur HTTP.

Étape 7 : Supprimer votre équilibreur de charge (facultatif)

La suppression d'un l'équilibreur de charge annule automatiquement l'enregistrement de ses instances EC2 associées. Dès que l'équilibreur de charge est supprimé, vous cessez d'être facturé pour cet équilibreur de charge. Toutefois, les instances EC2 continuent de s'exécuter et vous continuez à payer de frais.

Pour supprimer votre équilibreur de charge, utilisez la delete-load-balancercommande suivante :

aws elb delete-load-balancer --load-balancer-name my-loadbalancer

Pour arrêter vos instances EC2, utilisez la commande stop-instances. Pour mettre fin à vos instances EC2 (les résilier), utilisez la commande terminate-instances.