Fase 1: Creazione di una sottorete per un secondo server Web Fase 2: Creazione del secondo server Web Fase 3. Creazione del sistema di bilanciamento del carico

Aggiungi un sistema di bilanciamento del carico con Elastic Load Balancing AWS CloudHSM per (opzionale)

Dopo aver TLS configuratoSSL/offload con un server Web, puoi creare più server Web e un sistema di bilanciamento del carico Elastic Load Balancing che HTTPS indirizza il traffico verso i server Web. Un sistema di bilanciamento del carico è in grado di ridurre il carico sui singoli server Web bilanciando il traffico tra due o più server. È inoltre in grado di aumentare la disponibilità del sito Web, poiché il sistema di bilanciamento del carico monitora lo stato dei server Web e instrada solo il traffico verso i server integri. Se un server Web presenta dei problemi, il sistema di bilanciamento del carico interrompe automaticamente l'instradamento del traffico verso quel server.

Argomenti

Fase 1: Creazione di una sottorete per un secondo server Web
Fase 2: Creazione del secondo server Web
Fase 3. Creazione del sistema di bilanciamento del carico

Fase 1: Creazione di una sottorete per un secondo server Web

Prima di poter creare un altro server Web, è necessario creare una nuova sottorete nella stessa VPC che contenga il server Web e il cluster esistenti. AWS CloudHSM

Per creare una nuova sottorete

Apri la sezione Subnet della console Amazon VPC.
Seleziona Create Subnet (Crea sottorete).
Nella finestra di dialogo Create Subnet (Crea sottorete), seguire questi passaggi:
1. In Name tag (Assegna un nome al tag), digitare un nome per la sottorete.
2. Per VPC, scegli AWS CloudHSM VPC quello che contiene il server Web e AWS CloudHSM il cluster esistenti.
3. Per Availability Zone (Zona di disponibilità), scegliere una zona di disponibilità diversa da quella che contiene il server Web esistente.
4. Per IPv4CIDRblocco, digita il CIDR blocco da utilizzare per la sottorete. Ad esempio, digita 10.0.10.0/24.
5. Selezionare Yes, Create (Sì, crea).
Seleziona la casella di controllo accanto alla sottorete pubblica che contiene il server Web esistente. Si tratta di una sottorete pubblica diversa da quella creata nella fase precedente.
Nel riquadro dei contenuti, scegli la scheda Tabella di routing. Quindi scegliere il link per la tabella di routing.
Selezionare la casella di controllo accanto alla tabella di routing.
Scegli la scheda Associazioni sottoreti. Quindi scegliere Edit (Modifica).
Seleziona la casella di controllo accanto alla sottorete pubblica creata precedentemente in questa procedura. Quindi scegli Save (Salva).

Fase 2: Creazione del secondo server Web

Completa le fasi seguenti per creare un secondo server Web con la stessa configurazione del tuo server Web esistente.

Per creare un secondo server Web

Apri la sezione Istanze della EC2 console Amazon all'indirizzo.
Selezionare la casella di controllo accanto all'istanza del server Web esistente.
Scegliere Actions (Operazioni), Image (Immagine), quindi Create Image (Crea immagine).
Nella finestra di dialogo Crea Image (Crea immagine), seguire questi passaggi:
1. Per Image name (Nome immagine), digitare un nome per l'immagine.
2. Per Image description (Descrizione immagine), digitare una descrizione per l'immagine.
3. Scegliere Create Image (Crea immagine). Questa operazione riavvia il server Web esistente.
4. Scegli l'opzione Visualizza immagine in sospeso ami-<AMI ID>collegamento.
  
  Nella colonna Stato, prendi nota dello stato dell'immagine. Se lo stato dell'immagine è available (disponibile) (potrebbe essere necessario qualche minuto), passare alla fase successiva.
Nel pannello di navigazione, seleziona Instances (Istanze).
Selezionare la casella di controllo accanto al server Web esistente.
Scegliere Actions (Operazioni), quindi Launch More Like This (Avvia altre come questa).
Scegli Modifica AMI.
Nel riquadro di navigazione a sinistra, scegli Mio AMIs. Quindi cancellare il testo nella casella di ricerca.
Accanto all'immagine del server Web, scegliere Select (Seleziona).
Scegli Sì, voglio continuare con questo AMI (<image name> - Ami-<AMI ID>).
Scegli Next (Successivo).
Seleziona un tipo di istanza, quindi scegli Next: Configure Instance Details (Successivo: configura dettagli dell'istanza).
Per Step 3: Configure Instance Details (Fase 3: Configurare i dettagli dell'istanza), procedere come segue:
1. Per Rete, scegli VPC quello che contiene il tuo server web esistente.
2. Per Subnet (Sottorete), scegliere la sottorete pubblica creata per il secondo server Web.
3. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegliereEnable (Abilita).
4. Modifica i dettagli rimanenti dell'istanza in base alle preferenze. Quindi, scegliere Next: Add Storage (Fase successiva: aggiungi storage).
Modifica le impostazioni di storage come desiderato. Quindi selezionare Next: Add Tags (Fase successiva: aggiungere tag).
Aggiungi o modifica i tag come preferito, quindi scegliere Next: Configure Security Group (Fase successiva: configurare il gruppo di sicurezza) .
Per Step 6: Configure Security Group (Fase 6: configurare il gruppo di sicurezza), procedere come segue:
1. Per Assign a security group (Assegna un gruppo di sicurezza), scegliere Select an existing security group (Seleziona un gruppo di sicurezza esistente).
2. Seleziona la casella di controllo accanto al gruppo di sicurezza denominato cloudhsm-<cluster ID>-sg. AWS CloudHSM ha creato questo gruppo di sicurezza per conto dell'utente al momento della creazione del cluster. È necessario scegliere questo gruppo di sicurezza per consentire all'istanza del server Web di connettersi al gruppo presente HSMs nel cluster.
3. Seleziona la casella di controllo accanto al gruppo di sicurezza che consente il HTTPS traffico in entrata. Il gruppo di sicurezza è stato creato in precedenza.
4. (Facoltativo) Seleziona la casella di controllo accanto a un gruppo di sicurezza che consente il traffico in entrata SSH (per Linux) o RDP (per Windows) dalla tua rete. Cioè, il gruppo di sicurezza deve consentire il TCP traffico in entrata sulla porta 22 (per Linux) o SSH sulla porta 3389 (per RDP Windows). In caso contrario, non è possibile connettersi all'istanza del client. Se non disponi di un gruppo di sicurezza come questo, è necessario crearne uno e assegnarlo all'istanza del client in un secondo momento.
Scegli Analizza e avvia.
Consultare i dettagli dell'istanza e scegliere Launch (Avvia).
Scegliere se avviare l'istanza con una coppia di chiavi esistente, creare una nuova coppia di chiavi o avviare l'istanza senza alcuna coppia di chiavi.
- Per utilizzare una coppia di chiavi esistente, eseguire quanto descritto di seguito.
  1. Scegli Choose an existing key pair (Scegli una coppia di chiavi esistente).
  2. Per Select a key pair (Selezionare una coppia di chiavi), scegliere la coppia di chiavi da utilizzare.
  3. Seleziona la casella di controllo accanto a Confermo di avere accesso al file di chiave privata selezionato (<private key file name>.pem) e che senza questo file non sarò in grado di accedere alla mia istanza.
- Per creare una nuova coppia di chiavi, eseguire quanto descritto di seguito:
  1. Scegliere Create a new key pair (Crea nuova coppia di chiavi).
  2. Per Key pair name (Nome coppia di chiavi), digitare un nome per la coppia di chiavi.
  3. Scegliere Download Key Pair (Scarica la coppia di chiavi) e salvare il file della chiave privata in una posizione protetta e accessibile.
    
    avvertimento
    Non è possibile scaricare nuovamente il file della chiave privata dopo questo punto. Se il file della chiave privata non viene scaricato a questo punto, non sarà possibile accedere all'istanza del client.
- Per avviare l'istanza senza una coppia di chiavi, procedere nel seguente modo:
  1. Scegliere Proceed without a key pair (Procedi senza una coppia di chiavi).
  2. Seleziona la casella di controllo accanto a Riconosco che non sarò in grado di connettermi a questa istanza se non conosco già la password incorporataAMI.
Scegliere Launch Instances (Avvia istanze).

Fase 3. Creazione del sistema di bilanciamento del carico

Completa i seguenti passaggi per creare un sistema di bilanciamento del carico Elastic Load Balancing che indirizza il HTTPS traffico verso i tuoi server Web.

Per creare un sistema di bilanciamento del carico

Apri la sezione Load balancer della console AmazonEC2.
Seleziona Crea sistema di bilanciamento del carico.
Nella sezione Network Load Balancer (Sistema di bilanciamento del carico della rete), selezionare Create (Crea).
Per Step 1: Configure Load Balancer (Fase 1: configurare il sistema di bilanciamento del carico), procedere come segue:
1. Per Name (Nome), digitare un nome per il sistema di bilanciamento del carico in fase di creazione.
2. Nella sezione Ascoltatori, per Porta del sistema di bilanciamento del carico, modifica il valore impostandolo su 443.
3. Nella sezione Zone di disponibilità, per VPC, scegli VPC quella che contiene i tuoi server web.
4. Nella sezione Availability Zones (Zone di disponibilità), scegliere le sottoreti che contengono i server Web.
5. Seleziona Successivo: Configurazione del routing.
Per Step 2: Configure Routing (Fase 2: configurare l'instradamento), procedere come segue:
1. Per Name (Nome), digitare un nome per il gruppo target in fase di creazione.
2. Per Porta, modifica il valore impostandolo su 443.
3. Seleziona Next: Register Targets (Fase successiva: registrazione delle destinazioni).
Per Step 3: Register Targets (Fase 3: registrare i target), procedere come segue:
1. Nella sezione Istanze, seleziona le caselle di controllo accanto alle istanze del server Web. Quindi scegliere Add to registered (Aggiungi a elementi registrati).
2. Scegli Prossimo: Rivedi.
Esaminare i dettagli del sistema di bilanciamento del carico, quindi scegliere Create (Crea).
Se il sistema di bilanciamento del carico è stato creato correttamente, scegliere Close (Chiudi).

Dopo aver completato i passaggi precedenti, la EC2 console Amazon mostra il sistema di bilanciamento del carico Elastic Load Balancing.

Quando lo stato del sistema di bilanciamento del carico è attivo, puoi verificare se il sistema è in funzione. In altre parole, puoi verificare che stia inviando HTTPS traffico ai tuoi server Web conSSL/TLSoffload with. AWS CloudHSM Puoi farlo con un browser web o uno strumento come Open SSL s_client.

Per verificare se il tuo sistema di bilanciamento del carico funziona con un browser Web

Nella EC2 console Amazon, trova il DNSnome del load balancer che hai appena creato. Quindi seleziona il DNS nome e copialo.
Utilizza un browser Web come Mozilla Firefox o Google Chrome per connetterti al sistema di bilanciamento del carico utilizzando il nome del sistema di bilanciamento del carico. DNS Assicurati che URL nella barra degli indirizzi inizi con https://.

Suggerimento
Puoi utilizzare un DNS servizio come Amazon Route 53 per indirizzare il nome di dominio del tuo sito Web (ad esempio, https://www.example.com/) al tuo server Web. Per ulteriori informazioni, consulta la sezione Routing del traffico verso un'EC2istanza Amazon nella Amazon Route 53 Developer Guide o nella documentazione del DNS servizio.
Utilizza il browser Web per visualizzare il certificato del server Web. Per ulteriori informazioni, consulta gli argomenti seguenti:
- Per Mozilla Firefox, consultare Visualizzare un certificato sul sito Web di supporto di Mozilla.
- Per Google Chrome, consulta la pagina Understand Security Issues sul sito Web di Google per sviluppatori.
Altri browser Web potrebbero avere caratteristiche simili da utilizzare per visualizzare il certificato del server Web.
Assicurati che il certificato corrisponda a quello configurato per l'uso da parte del server Web.

Per verificare che il sistema di bilanciamento del carico funzioni con Open s_client SSL

Usa il seguente SSL comando Open per connetterti al tuo sistema di bilanciamento del carico utilizzando. HTTPS Replace (Sostituisci) <DNS name> con il DNS nome del sistema di bilanciamento del carico.
```
openssl s_client -connect <DNS name>:443
```
Suggerimento
Puoi utilizzare un DNS servizio come Amazon Route 53 per indirizzare il nome di dominio del tuo sito Web (ad esempio, https://www.example.com/) al tuo server Web. Per ulteriori informazioni, consulta la sezione Routing del traffico verso un'EC2istanza Amazon nella Amazon Route 53 Developer Guide o nella documentazione del DNS servizio.
Assicurati che il certificato corrisponda a quello configurato per l'uso da parte del server Web.

Ora hai un sito Web protetto conHTTPS, con la chiave privata del server Web archiviata HSM in un cluster. AWS CloudHSM Il tuo sito Web ha due server Web e un sistema di bilanciamento del carico per aiutare a migliorare l'efficienza e la disponibilità.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Offload su Windows

CA Windows Server