Membuat Classic Load Balancer dengan pendengar HTTPS - Penyeimbang Beban Elastis
PrasyaratBuat penyeimbang beban HTTPS/SSL menggunakan AWS Management ConsoleBuat penyeimbang beban HTTPS/SSL menggunakan AWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat Classic Load Balancer dengan pendengar HTTPS

Load balancer menerima permintaan dari klien dan mendistribusikannya ke seluruh instans EC2 yang terdaftar di load balancer.

Anda dapat membuat penyeimbang beban yang mendengarkan pada port HTTP (80) dan HTTPS (443). Jika Anda menentukan bahwa listener HTTPS mengirim permintaan ke instance di port 80, penyeimbang beban menghentikan permintaan dan komunikasi dari penyeimbang beban ke instance tidak dienkripsi. Jika pendengar HTTPS mengirimkan permintaan ke instance di port 443, komunikasi dari penyeimbang beban ke instans akan dienkripsi.

Jika penyeimbang beban menggunakan koneksi terenkripsi untuk berkomunikasi dengan instans, Anda dapat mengaktifkan otentikasi instance secara opsional. Ini memastikan bahwa penyeimbang beban berkomunikasi dengan instance hanya jika kunci publiknya cocok dengan kunci yang Anda tentukan ke penyeimbang beban untuk tujuan ini.

Untuk informasi tentang menambahkan pendengar HTTPS ke penyeimbang beban yang ada, lihat. Konfigurasikan listener HTTPS untuk Classic Load Balancer

Prasyarat

Sebelum memulai, pastikan Anda telah memenuhi prasyarat berikut:

  • Selesaikan langkah-langkah dalam Siapkan instans VPC dan EC2 Anda.

  • Luncurkan instans EC2 yang Anda rencanakan untuk mendaftar dengan penyeimbang beban Anda. Grup keamanan untuk contoh ini harus mengizinkan lalu lintas dari penyeimbang beban.

  • Instans EC2 harus menanggapi target pemeriksaan kesehatan dengan kode status HTTP 200. Untuk informasi selengkapnya, lihat Konfigurasikan pemeriksaan kesehatan untuk Classic Load Balancer.

  • Jika Anda berencana untuk mengaktifkan opsi keep-alive pada instans EC2 Anda, sebaiknya Anda menyetel setelan keep-alive ke setidaknya pengaturan batas waktu idle penyeimbang beban Anda. Jika Anda ingin memastikan bahwa penyeimbang beban bertanggung jawab untuk menutup koneksi ke instans Anda, pastikan bahwa nilai yang ditetapkan pada instance Anda untuk waktu keep-alive lebih besar daripada pengaturan batas waktu idle pada penyeimbang beban Anda. Untuk informasi selengkapnya, lihat Konfigurasikan batas waktu koneksi idle untuk Classic Load Balancer Anda.

  • Jika Anda membuat pendengar yang aman, Anda harus menerapkan sertifikat server SSL pada penyeimbang beban Anda. Load balancer menggunakan sertifikat untuk mengakhiri dan kemudian mendekripsi permintaan sebelum mengirimnya ke instance. Jika Anda tidak memiliki sertifikat SSL, Anda dapat membuatnya. Untuk informasi selengkapnya, lihat Sertifikat SSL/TLS untuk Classic Load Balancer.

Buat penyeimbang beban HTTPS/SSL menggunakan AWS Management Console

Dalam contoh ini, Anda mengonfigurasi dua pendengar untuk penyeimbang beban Anda. Listener pertama menerima permintaan HTTP pada port 80 dan mengirimkannya ke instance pada port 80 menggunakan HTTP. Pendengar kedua menerima permintaan HTTPS pada port 443 dan mengirimkannya ke instance menggunakan HTTP pada port 80 (atau menggunakan HTTPS pada port 443 jika Anda ingin mengonfigurasi otentikasi instance back-end).

Listener adalah proses memeriksa permintaan koneksi. Ini dikonfigurasi dengan protokol dan port untuk koneksi front-end (client to load balancer) dan protokol dan port untuk koneksi back-end (load balancer to instance). Untuk informasi tentang port, protokol, dan konfigurasi listener yang didukung oleh Elastic Load Balancing, lihat. Pendengar untuk Classic Load Balancer Anda

Untuk membuat Classic Load Balancer aman menggunakan konsol

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Pada bilah navigasi, pilih Wilayah untuk penyeimbang beban Anda. Pastikan untuk memilih Wilayah yang sama yang Anda pilih untuk instans EC2 Anda.

  3. Pada panel navigasi, di bawah PENYEIMBANGAN BEBAN, pilih Penyeimbang beban.

  4. Pilih Create Load Balancer.

  5. Perluas bagian Classic Load Balancer, lalu pilih Buat.

  6. Konfigurasi dasar

    1. Untuk nama Load balancer, ketikkan nama untuk penyeimbang beban Anda.

      Nama Classic Load Balancer Anda harus unik dalam set Classic Load Balancer untuk Wilayah, dapat memiliki maksimal 32 karakter, hanya dapat berisi karakter alfanumerik dan tanda hubung, dan tidak boleh dimulai atau diakhiri dengan tanda hubung.

    2. Untuk Skema, pilih Menghadap Internet.

  7. Pemetaan jaringan

    1. Untuk VPC, pilih VPC yang sama yang Anda pilih untuk instans Anda.

    2. Untuk Pemetaan, pertama-tama pilih Availability Zone, lalu pilih subnet publik dari subnet yang tersedia. Anda hanya dapat memilih satu subnet per Availability Zone. Untuk meningkatkan ketersediaan penyeimbang beban Anda, pilih lebih dari satu Availability Zone dan subnet.

  8. Grup keamanan

    1. Untuk grup Keamanan, pilih grup keamanan yang ada yang dikonfigurasi untuk memungkinkan lalu lintas HTTP yang diperlukan pada port 80 dan lalu lintas HTTPS pada port 443.

      Jika tidak ada, Anda dapat membuat grup keamanan baru dengan aturan yang diperlukan.

  9. Pendengar dan perutean

    1. Biarkan pendengar default dengan pengaturan default, dan pilih Tambahkan pendengar.

    2. Untuk Listener pada listener baru, pilih HTTPS sebagai protokol dan port akan diperbarui ke. 443 Secara default, Instance menggunakan HTTP protokol pada port80.

    3. Jika otentikasi back end diperlukan, ubah protokol Instance menjadiHTTPS. Ini juga akan memperbarui port Instance ke 443

  10. Pengaturan pendengar yang aman

    Saat Anda menggunakan HTTPS atau SSL untuk pendengar front-end Anda, Anda harus menerapkan sertifikat SSL pada penyeimbang beban Anda. Load balancer menggunakan sertifikat untuk mengakhiri koneksi dan kemudian mendekripsi permintaan dari klien sebelum mengirimnya ke instance. Anda juga harus menentukan kebijakan keamanan. Elastic Load Balancing menyediakan kebijakan keamanan yang memiliki konfigurasi negosiasi SSL yang telah ditentukan sebelumnya, atau Anda dapat membuat kebijakan keamanan khusus Anda sendiri. Jika Anda mengkonfigurasi HTTPS/SSL pada koneksi back-end, Anda dapat mengaktifkan otentikasi instance Anda.

    1. Untuk kebijakan Keamanan, verifikasi kebijakan disetel ke ELB SecurityPolicy -2016-08. Sebaiknya Anda selalu menggunakan kebijakan keamanan terbaru yang telah ditentukan sebelumnya, atau membuat kebijakan khusus. Lihat Memperbarui Konfigurasi Negosiasi SSL.

    2. Untuk sertifikat SSL/TLS Default, opsi berikut tersedia:

      • Jika Anda membuat atau mengimpor sertifikat menggunakan AWS Certificate Manager, pilih Dari ACM, lalu pilih sertifikat dari Pilih sertifikat.

      • Jika Anda mengimpor sertifikat menggunakan IAM, pilih Dari IAM, lalu pilih sertifikat Anda dari Pilih sertifikat.

      • Jika Anda memiliki sertifikat untuk diimpor tetapi ACM tidak tersedia di Wilayah Anda, pilih Impor, lalu pilih Ke IAM. Ketik nama sertifikat di bidang Nama sertifikat. Dalam kunci privat Sertifikat, salin dan tempel isi file kunci pribadi (dikodekan PEM). Di badan Sertifikat, salin dan tempel isi file sertifikat kunci publik (dikodekan PEM). Di Rantai Sertifikat, salin dan tempel isi file rantai sertifikat (dikodekan PEM), kecuali Anda menggunakan sertifikat yang ditandatangani sendiri, dan bukan hal yang penting jika browser secara implisit menerima sertifikat.

    3. (Opsional) Jika Anda mengonfigurasi listener HTTPS untuk berkomunikasi dengan instance menggunakan koneksi terenkripsi, Anda dapat secara opsional mengatur otentikasi instance dalam sertifikat autentikasi Backend.

      catatan

      Jika Anda tidak melihat bagian sertifikat otentikasi Backend, kembali ke Pendengar dan perutean dan pilih HTTPS sebagai protokol untuk Instance.

      1. Untuk nama Sertifikat, ketikkan nama sertifikat kunci publik.

      2. Untuk Badan Sertifikat (PEM dikodekan), salin dan tempel isi sertifikat. Load balancer berkomunikasi dengan instance hanya jika kunci publiknya cocok dengan kunci ini.

      3. Untuk menambahkan sertifikat lain, pilih Tambahkan sertifikat backend baru. Batasnya adalah lima.

  11. Pemeriksaan Kesehatan

    1. Di bagian target Ping, pilih Protokol Ping dan Port Ping. Instans EC2 Anda harus menerima lalu lintas pada port ping yang ditentukan.

    2. Untuk Port Ping, pastikan portnya80.

    3. Untuk Ping Path, ganti nilai default dengan satu garis miring maju, ()/. Ini memberi tahu Elastic Load Balancing untuk mengirim permintaan pemeriksaan kesehatan ke halaman beranda default untuk server web Anda, seperti. index.html

    4. Untuk pengaturan pemeriksaan kesehatan lanjutan, gunakan nilai default.

  12. Contoh

    1. Pilih Tambahkan instance, untuk memunculkan layar pemilihan instance.

    2. Di bawah Instans yang tersedia, Anda dapat memilih dari instans saat ini yang tersedia untuk penyeimbang beban, berdasarkan pengaturan jaringan yang dipilih sebelumnya.

    3. Setelah puas dengan pilihan Anda, pilih Konfirmasi untuk menambahkan instance yang akan didaftarkan ke penyeimbang beban.

  13. Atribut

    1. Untuk Aktifkan penyeimbangan beban lintas zona, Aktifkan pengeringan koneksi, dan Timeout (interval pengeringan) pertahankan nilai default.

  14. Tag penyeimbang beban (opsional)

    1. Bidang kunci diperlukan.

    2. Bidang Nilai adalah opsional.

    3. Untuk menambahkan tag lain, pilih Tambahkan tag baru lalu masukkan nilai Anda ke bidang Kunci, dan opsional bidang Nilai.

    4. Untuk menghapus tag yang ada, pilih Hapus di samping tag yang ingin Anda hapus.

  15. Ringkasan dan penciptaan

    1. Jika Anda perlu mengubah pengaturan apa pun, pilih Edit di samping pengaturan yang perlu diubah.

    2. Setelah Anda puas dengan semua pengaturan yang ditampilkan dalam ringkasan, pilih Buat penyeimbang beban untuk memulai pembuatan penyeimbang beban Anda.

    3. Pada halaman pembuatan akhir, pilih Lihat penyeimbang beban untuk melihat penyeimbang beban Anda di konsol Amazon EC2.

  16. Verifikasi

    1. Pilih penyeimbang beban baru Anda.

    2. Pada tab Instance Target, periksa kolom Status Kesehatan. Setelah setidaknya satu dari instans EC2 Anda dalam layanan, Anda dapat menguji penyeimbang beban Anda.

    3. Di bagian Detail, salin nama DNS penyeimbang beban, yang akan terlihat mirip dengan. my-load-balancer-1234567890.us-east-1.elb.amazonaws.com

    4. Rekatkan nama DNS penyeimbang beban Anda ke bidang alamat browser web yang terhubung internet publik. Jika load balancer Anda berfungsi dengan benar, Anda akan melihat halaman default server Anda.

  17. Hapus (opsional)

    1. Jika Anda memiliki catatan CNAME untuk domain yang mengarah ke penyeimbang beban, arahkan catatan ke lokasi baru dan tunggu hingga perubahan DNS diterapkan sebelum menghapus penyeimbang beban.

    2. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

    3. Pilih penyeimbang beban.

    4. Pilih Tindakan, Hapus penyeimbang beban.

    5. Saat diminta konfirmasi, ketik confirm lalu pilih Hapus.

    6. Setelah Anda menghapus penyeimbang beban, instans EC2 yang terdaftar dengan penyeimbang beban terus berjalan. Anda akan ditagih untuk setiap jam sebagian atau penuh yang terus mereka jalankan. Ketika Anda tidak lagi membutuhkan instans EC2, Anda dapat menghentikan atau menghentikannya untuk mencegah timbulnya biaya tambahan.

Buat penyeimbang beban HTTPS/SSL menggunakan AWS CLI

Gunakan petunjuk berikut untuk membuat penyeimbang beban HTTPS/SSL menggunakan. AWS CLI

Langkah 1: Konfigurasikan pendengar

Listener adalah proses memeriksa permintaan koneksi. Ini dikonfigurasi dengan protokol dan port untuk koneksi front-end (client to load balancer) dan protokol dan port untuk koneksi back-end (load balancer to instance). Untuk informasi tentang port, protokol, dan konfigurasi listener yang didukung oleh Elastic Load Balancing, lihat. Pendengar untuk Classic Load Balancer Anda

Dalam contoh ini, Anda mengonfigurasi dua pendengar untuk penyeimbang beban Anda dengan menentukan port dan protokol yang akan digunakan untuk koneksi front-end dan back-end. Listener pertama menerima permintaan HTTP pada port 80 dan mengirimkan permintaan ke instance pada port 80 menggunakan HTTP. Listener kedua menerima permintaan HTTPS pada port 443 dan mengirimkan permintaan ke instance menggunakan HTTP pada port 80.

Karena pendengar kedua menggunakan HTTPS untuk koneksi front-end, Anda harus menerapkan sertifikat SSL sever pada penyeimbang beban Anda. Load balancer menggunakan sertifikat untuk mengakhiri dan kemudian mendekripsi permintaan sebelum mengirimnya ke instance.

Untuk mengonfigurasi pendengar untuk penyeimbang beban Anda

  1. Dapatkan Nama Sumber Daya Amazon (ARN) dari sertifikat SSL. Sebagai contoh:

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate

  2. Gunakan create-load-balancerperintah berikut untuk mengonfigurasi penyeimbang beban dengan dua pendengar:

    aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=http,LoadBalancerPort=80,InstanceProtocol=http,InstancePort=80" "Protocol=https,LoadBalancerPort=443,InstanceProtocol=http,InstancePort=80,SSLCertificateId="ARN" --availability-zones us-west-2a

    Berikut adalah respons contohnya:

    {
  "DNSName": "my-loadbalancer-012345678.us-west-2.elb.amazonaws.com"
}

  3. (Opsional) Gunakan describe-load-balancersperintah berikut untuk melihat detail penyeimbang beban Anda:

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

Langkah 2: Konfigurasikan kebijakan keamanan SSL

Anda dapat memilih salah satu kebijakan keamanan yang telah ditentukan sebelumnya, atau Anda dapat membuat kebijakan keamanan khusus Anda sendiri. Jika tidak, Elastic Load Balancing akan mengonfigurasi penyeimbang beban Anda dengan kebijakan keamanan default yang telah ditentukan sebelumnya. ELBSecurityPolicy-2016-08 Kami sarankan Anda menggunakan kebijakan keamanan default. Untuk informasi selengkapnya tentang kebijakan keamanan, lihatKonfigurasi negosiasi SSL untuk Classic Load Balancer.

Untuk memverifikasi bahwa penyeimbang beban Anda terkait dengan kebijakan keamanan default

Gunakan perintah describe-load-balancers berikut:

aws elb describe-load-balancers --load-balancer-name my-loadbalancer

Berikut ini adalah contoh respons. Perhatikan ELBSecurityPolicy-2016-08 yang terkait dengan penyeimbang beban pada port 443.

{
    "LoadBalancerDescriptions": [
        {
            ...
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "ELBSecurityPolicy-2016-08"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ],
            ...
        }
    ]
}

Jika mau, Anda dapat mengonfigurasi kebijakan keamanan SSL untuk penyeimbang beban Anda alih-alih menggunakan kebijakan keamanan default.

(Opsional) untuk menggunakan kebijakan keamanan SSL yang telah ditentukan

  1. Gunakan describe-load-balancer-policiesperintah berikut untuk mencantumkan nama-nama kebijakan keamanan yang telah ditetapkan:

    aws elb describe-load-balancer-policies

    Untuk informasi tentang konfigurasi untuk kebijakan keamanan yang telah ditentukan sebelumnya, lihatKebijakan keamanan SSL yang telah ditentukan sebelumnya.

  2. Gunakan create-load-balancer-policyperintah berikut untuk membuat kebijakan negosiasi SSL menggunakan salah satu kebijakan keamanan yang telah ditentukan sebelumnya yang Anda jelaskan di langkah sebelumnya:

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=predefined-policy

  3. (Opsional) Gunakan describe-load-balancer-policiesperintah berikut untuk memverifikasi bahwa kebijakan dibuat:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    Tanggapan tersebut mencakup deskripsi kebijakan.

  4. Gunakan perintah set-load-balancer-policies-of-listener berikut untuk mengaktifkan kebijakan pada port penyeimbang beban 443:

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    catatan

    set-load-balancer-policies-of-listenerPerintah menggantikan kumpulan kebijakan saat ini untuk port penyeimbang beban yang ditentukan dengan kumpulan kebijakan yang ditentukan. --policy-namesDaftar harus menyertakan semua kebijakan yang akan diaktifkan. Jika Anda menghilangkan kebijakan yang saat ini diaktifkan, kebijakan tersebut akan dinonaktifkan.

  5. (Opsional) Gunakan describe-load-balancersperintah berikut untuk memverifikasi bahwa kebijakan diaktifkan:

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Berikut ini adalah contoh respons yang menunjukkan bahwa kebijakan diaktifkan pada port 443.

    {
    "LoadBalancerDescriptions": [
        {
            ....
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "my-SSLNegotiation-policy"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ],
            ...
        }
    ]
}

Saat Anda membuat kebijakan keamanan khusus, Anda harus mengaktifkan setidaknya satu protokol dan satu sandi. Cipher DSA dan RSA khusus untuk algoritma penandatanganan dan digunakan untuk membuat sertifikat SSL. Jika Anda sudah memiliki sertifikat SSL Anda, pastikan untuk mengaktifkan cipher yang digunakan untuk membuat sertifikat Anda. Nama kebijakan kustom Anda tidak boleh dimulai dengan ELBSecurityPolicy- atauELBSample-, karena awalan ini dicadangkan untuk nama-nama kebijakan keamanan yang telah ditentukan sebelumnya.

(Opsional) untuk menggunakan kebijakan keamanan SSL khusus

  1. Gunakan create-load-balancer-policyperintah untuk membuat kebijakan negosiasi SSL menggunakan kebijakan keamanan khusus. Sebagai contoh:

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer 
 --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
 --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true 
 AttributeName=Protocol-TLSv1.1,AttributeValue=true 
 AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true 
 AttributeName=Server-Defined-Cipher-Order,AttributeValue=true

  2. (Opsional) Gunakan describe-load-balancer-policiesperintah berikut untuk memverifikasi bahwa kebijakan dibuat:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    Tanggapan tersebut mencakup deskripsi kebijakan.

  3. Gunakan perintah set-load-balancer-policies-of-listener berikut untuk mengaktifkan kebijakan pada port penyeimbang beban 443:

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    catatan

    set-load-balancer-policies-of-listenerPerintah menggantikan kumpulan kebijakan saat ini untuk port penyeimbang beban yang ditentukan dengan kumpulan kebijakan yang ditentukan. --policy-namesDaftar harus menyertakan semua kebijakan yang akan diaktifkan. Jika Anda menghilangkan kebijakan yang saat ini diaktifkan, kebijakan tersebut akan dinonaktifkan.

  4. (Opsional) Gunakan describe-load-balancersperintah berikut untuk memverifikasi bahwa kebijakan diaktifkan:

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Berikut ini adalah contoh respons yang menunjukkan bahwa kebijakan diaktifkan pada port 443.

    {
    "LoadBalancerDescriptions": [
        {
            ....
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "my-SSLNegotiation-policy"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ],
            ...
        }
    ]
}

Langkah 3: Konfigurasikan otentikasi instance back-end (opsional)

Jika Anda mengatur HTTPS/SSL pada koneksi back-end, Anda dapat secara opsional mengatur otentikasi instance Anda.

Saat menyiapkan autentikasi instance back-end, Anda membuat kebijakan kunci publik. Selanjutnya, Anda menggunakan kebijakan kunci publik ini untuk membuat kebijakan autentikasi instance back-end. Terakhir, Anda menetapkan kebijakan autentikasi instance back-end dengan port instance untuk protokol HTTPS.

Penyeimbang beban berkomunikasi dengan instance hanya jika kunci publik yang ditampilkan instance ke penyeimbang beban cocok dengan kunci publik dalam kebijakan autentikasi untuk penyeimbang beban Anda.

Untuk mengonfigurasi otentikasi instance back-end

  1. Gunakan perintah berikut untuk mengambil kunci publik:

    openssl x509 -in your X509 certificate PublicKey -pubkey -noout

  2. Gunakan create-load-balancer-policyperintah berikut untuk membuat kebijakan kunci publik:

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-PublicKey-policy \
--policy-type-name PublicKeyPolicyType --policy-attributes AttributeName=PublicKey,AttributeValue=MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
 WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
 EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
 MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
 WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
 HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
 BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
 k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
 ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
 AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
 KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
 EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
 3rrszlaEXAMPLE=
    catatan

    Untuk menentukan nilai kunci publik--policy-attributes, hapus baris pertama dan terakhir dari kunci publik (baris yang berisi "-----BEGIN PUBLIC KEY-----" dan baris yang berisi "-----END PUBLIC KEY-----“). AWS CLI Tidak menerima karakter spasi putih di--policy-attributes.

  3. Gunakan create-load-balancer-policyperintah berikut untuk membuat kebijakan otentikasi instance back-end menggunakan. my-PublicKey-policy

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-authentication-policy --policy-type-name BackendServerAuthenticationPolicyType --policy-attributes AttributeName=PublicKeyPolicyName,AttributeValue=my-PublicKey-policy

    Anda dapat menggunakan beberapa kebijakan kunci publik secara opsional. Penyeimbang beban mencoba semua kunci, satu per satu. Jika kunci publik yang disajikan oleh sebuah instance cocok dengan salah satu kunci publik ini, instance tersebut diautentikasi.

  4. Gunakan for-backend-server perintah berikut set-load-balancer-policies- untuk mengatur my-authentication-policy ke port instance untuk HTTPS. Dalam contoh ini, port instance adalah port 443.

    aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 443 --policy-names my-authentication-policy

  5. (Opsional) Gunakan describe-load-balancer-policiesperintah berikut untuk mencantumkan semua kebijakan penyeimbang beban Anda:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer

  6. (Opsional) Gunakan describe-load-balancer-policiesperintah berikut untuk melihat detail kebijakan:

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-names my-authentication-policy

Langkah 4: Konfigurasikan pemeriksaan kesehatan (opsional)

Elastic Load Balancing secara teratur memeriksa kesehatan setiap instans EC2 terdaftar berdasarkan pemeriksaan kesehatan yang Anda konfigurasi. Jika Elastic Load Balancing menemukan instance yang tidak sehat, Elastic Load Balancing berhenti mengirim lalu lintas ke instans dan mengarahkan lalu lintas ke instans yang sehat. Untuk informasi selengkapnya, lihat Konfigurasikan pemeriksaan kesehatan untuk Classic Load Balancer.

Saat Anda membuat penyeimbang beban, Elastic Load Balancing menggunakan pengaturan default untuk pemeriksaan kesehatan. Jika mau, Anda dapat mengubah konfigurasi pemeriksaan kesehatan untuk penyeimbang beban Anda alih-alih menggunakan pengaturan default.

Untuk mengonfigurasi pemeriksaan kesehatan untuk instans Anda

Gunakan perintah configure-health-check berikut:

aws elb configure-health-check --load-balancer-name my-loadbalancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3

Berikut adalah respons contohnya:

{
    "HealthCheck": {
        "HealthyThreshold": 2,
        "Interval": 30,
        "Target": "HTTP:80/ping",
        "Timeout": 3,
        "UnhealthyThreshold": 2
    }
}

Langkah 5: Daftarkan instans EC2

Setelah Anda membuat penyeimbang beban, Anda harus mendaftarkan instans EC2 Anda dengan penyeimbang beban. Anda dapat memilih instans EC2 dari satu Availability Zone atau beberapa Availability Zone dalam Region yang sama dengan load balancer. Untuk informasi selengkapnya, lihat Instans terdaftar untuk Classic Load Balancer Anda.

Gunakan perintah register-instances-with-load-balancer sebagai berikut:

aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Berikut adalah respons contohnya:

{
    "Instances": [
        {
            "InstanceId": "i-4f8cf126"
        },
        {
            "InstanceId": "i-0bb7ca62"
        }
    ]
}

Langkah 6: Verifikasi instans

Penyeimbang beban Anda dapat digunakan segera setelah salah satu instans terdaftar Anda berada di negara bagianInService.

Untuk memeriksa status instans EC2 Anda yang baru terdaftar, gunakan perintah berikut: describe-instance-health

aws elb describe-instance-health  --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Berikut adalah respons contohnya:

{
    "InstanceStates": [
        {
            "InstanceId": "i-4f8cf126", 
            "ReasonCode": "N/A", 
            "State": "InService", 
            "Description": "N/A"
        }, 
        {
            "InstanceId": "i-0bb7ca62", 
            "ReasonCode": "Instance", 
            "State": "OutOfService", 
            "Description": "Instance registration is still in progress"
        }
    ]
}

Jika State bidang untuk sebuah instance adalahOutOfService, itu mungkin karena instance Anda masih mendaftar. Untuk informasi selengkapnya, lihat Memecahkan masalah Classic Load Balancer: Pendaftaran instans.

Setelah status setidaknya satu dari instans AndaInService, Anda dapat menguji penyeimbang beban Anda. Untuk menguji penyeimbang beban Anda, salin nama DNS penyeimbang beban dan tempelkan ke bidang alamat browser web yang terhubung ke internet. Jika penyeimbang beban Anda berfungsi, Anda melihat halaman default server HTTP Anda.

Langkah 7: Hapus penyeimbang beban (opsional)

Menghapus penyeimbang beban secara otomatis membatalkan registrasi instans EC2 yang terkait. Segera setelah penyeimbang beban dihapus, Anda berhenti menimbulkan biaya untuk penyeimbang beban itu. Namun, instans EC2 terus berjalan dan Anda terus dikenakan biaya.

Untuk menghapus penyeimbang beban Anda, gunakan delete-load-balancerperintah berikut:

aws elb delete-load-balancer --load-balancer-name my-loadbalancer

Untuk menghentikan instans EC2 Anda, gunakan perintah stop-instance. Untuk mengakhiri instans EC2 Anda, gunakan perintah terminate-instance.