Buat HTTPS pendengar untuk Application Load Balancer - Elastic Load Balancing
PrasyaratTambahkan HTTPS pendengar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat HTTPS pendengar untuk Application Load Balancer

Pendengar memeriksa permintaan koneksi. Anda menentukan listener saat membuat penyeimbang beban, dan Anda dapat menambahkan listener ke penyeimbang beban kapan Anda saja.

Untuk membuat HTTPS listener, Anda harus menerapkan setidaknya satu sertifikat SSL server pada load balancer Anda. Penyeimbang beban menggunakan sertifikat server untuk mengakhiri koneksi front-end dan kemudian mendekripsi permintaan dari klien sebelum mengirimkannya ke target. Anda juga harus menentukan kebijakan keamanan, yang digunakan untuk menegosiasikan koneksi aman antara klien dan penyeimbang beban.

Jika Anda perlu meneruskan lalu lintas terenkripsi ke target tanpa penyeimbang beban mendekripsi, Anda dapat membuat Network Load Balancer atau Classic Load Balancer dengan pendengar di port 443. TCP Dengan TCP pendengar, penyeimbang beban meneruskan lalu lintas terenkripsi ke target tanpa mendekripsi.

Informasi di halaman ini membantu Anda membuat HTTPS pendengar untuk penyeimbang beban Anda. Untuk menambahkan HTTP pendengar ke penyeimbang beban Anda, lihat. Buat HTTP pendengar untuk Application Load Balancer

Prasyarat

  • Untuk membuat HTTPS pendengar, Anda harus menentukan sertifikat dan kebijakan keamanan. Penyeimbang beban menggunakan sertifikat untuk mengakhiri koneksi dan mendekripsi permintaan dari klien sebelum mengarahkannya ke target. Penyeimbang beban menggunakan kebijakan keamanan saat menegosiasikan SSL koneksi dengan klien.

    Application Load Balancers tidak mendukung ED25519 kunci.

  • Untuk menambahkan tindakan maju ke peraturan listener default, Anda harus menentukan grup target yang tersedia. Untuk informasi selengkapnya, lihat Buat grup target untuk Application Load Balancer Anda.

  • Anda dapat menentukan grup target yang sama di beberapa pendengar, tetapi pendengar ini harus termasuk dalam penyeimbang beban yang sama. Untuk menggunakan grup target dengan penyeimbang beban, Anda harus memverifikasi bahwa grup tersebut tidak digunakan oleh pendengar untuk penyeimbang beban lainnya.

Tambahkan HTTPS pendengar

Anda mengonfigurasi listener dengan protokol dan port untuk koneksi dari klien ke load balancer, dan grup target untuk aturan listener default. Untuk informasi selengkapnya, lihat Konfigurasi listener.

Untuk menambahkan HTTPS listener menggunakan konsol

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, pilih Load Balancers.

  3. Pilih penyeimbang beban.

  4. Pada tab Listeners and rules, pilih Add listener.

  5. Untuk Protokol: Port, pilih HTTPSdan simpan port default atau masukkan port yang berbeda.

  6. (Opsional) Untuk mengaktifkan otentikasi, di bawah Otentikasi pilih Gunakan OpenID atau Amazon Cognito, dan berikan informasi yang diminta. Untuk informasi selengkapnya, lihat Mengautentikasi pengguna menggunakan Application Load Balancer.

  7. Untuk Tindakan default, lakukan salah satu dari berikut ini:

    • Teruskan ke grup sasaran — Pilih satu atau lebih kelompok sasaran untuk meneruskan lalu lintas ke. Untuk menambahkan grup target pilih Tambahkan grup target. Jika menggunakan lebih dari satu kelompok sasaran, pilih bobot untuk setiap kelompok sasaran dan tinjau persentase yang terkait. Anda harus mengaktifkan kelengketan tingkat grup pada aturan, jika Anda telah mengaktifkan kekakuan pada satu atau beberapa grup target.

    • Redirect ke URL - Tentukan permintaan klien URL yang akan diarahkan ke. Ini dapat dilakukan dengan memasukkan setiap bagian secara terpisah pada tab URIbagian, atau dengan memasukkan alamat lengkap pada URL tab Penuh. Untuk kode Status Anda dapat mengonfigurasi pengalihan sebagai sementara (HTTP302) atau permanen (HTTP301) berdasarkan kebutuhan Anda.

    • Kembalikan respons tetap - Tentukan kode Respons yang akan dikembalikan ke permintaan klien yang dijatuhkan. Selain itu, Anda dapat menentukan jenis Konten dan isi Respons, tetapi tidak diperlukan.

  8. Untuk kebijakan Keamanan, kami menyarankan Anda untuk selalu menggunakan kebijakan keamanan terbaru yang telah ditentukan sebelumnya.

  9. Untuk SSLTLSDefault/sertifikat, opsi berikut tersedia:

    • Jika Anda membuat atau mengimpor sertifikat menggunakan AWS Certificate Manager, pilih Dari ACM, lalu pilih sertifikat dari Pilih sertifikat.

    • Jika Anda mengimpor sertifikat menggunakanIAM, pilih Dari IAM, lalu pilih sertifikat Anda dari Pilih sertifikat.

    • Jika Anda memiliki sertifikat untuk diimpor tetapi tidak ACM tersedia di Wilayah Anda, pilih Impor, lalu pilih Ke IAM. Ketik nama sertifikat di bidang Nama sertifikat. Dalam kunci privat Sertifikat, salin dan tempel isi file kunci pribadi (PEM-encoded). Di badan Sertifikat, salin dan tempel isi file sertifikat kunci publik (PEM-dikodekan). Di Rantai Sertifikat, salin dan tempel konten file rantai sertifikat (PEM-encoded), kecuali jika Anda menggunakan sertifikat yang ditandatangani sendiri dan tidak penting bahwa browser secara implisit menerima sertifikat.

  10. (Opsional) Untuk mengaktifkan otentikasi timbal balik, di bawah penanganan sertifikat Klien mengaktifkan otentikasi Mutual (mTLS).

    Saat diaktifkan, TLS mode timbal balik default adalah passthrough.

    Jika Anda memilih Verifikasi dengan Trust Store:

    • Secara default, koneksi dengan sertifikat klien yang kedaluwarsa ditolak. Untuk mengubah perilaku ini, perluas TLSSetelan m lanjutan, lalu di bawah kedaluwarsa sertifikat Klien pilih Izinkan sertifikat klien yang kedaluwarsa.

    • Di bawah Trust Store pilih toko kepercayaan yang ada, atau pilih Toko kepercayaan baru.

      • Jika Anda memilih New trust store, berikan nama toko Trust, lokasi Otoritas URI Sertifikat S3, dan secara opsional lokasi daftar pencabutan URI Sertifikat S3.

    • (Opsional) Pilih apakah Anda ingin mengaktifkan Advertise TrustStore CA nama subjek.

  11. Pilih Simpan.

Untuk menambahkan HTTPS pendengar menggunakan AWS CLI

Gunakan perintah buat-listener untuk membuat listener dan peraturan default, serta perintah buat-peraturan untuk menentukan peraturan listener tambahan.