Creazione di un ascoltatore HTTPS per Application Load Balancer - Sistema di bilanciamento del carico elastico
PrerequisitiAggiunta di un ascoltatore HTTPS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un ascoltatore HTTPS per Application Load Balancer

Un ascoltatore verifica la presenza di richieste di connessione. La definizione del listener avviene al momento della creazione di un sistema di bilanciamento del carico; si possono aggiungere listener al sistema in qualsiasi momento.

Per creare un listener HTTPS, è necessario distribuire almeno un certificato del server SSL sul sistema di bilanciamento del carico. Il sistema di bilanciamento del carico utilizza il certificato del server per terminare la connessione front-end e quindi decrittografare le richieste provenienti dai client prima di inoltrarle alle destinazioni. È inoltre necessario specificare una politica di sicurezza, che viene utilizzata per negoziare connessioni sicure tra i client e il sistema di bilanciamento del carico.

Se è necessario passare traffico crittografato alle destinazioni senza una decrittazione da parte del sistema di bilanciamento del carico, è possibile creare un Network Load Balancer o un Classic Load Balancer con un ascoltatore TCP sulla porta 443. Con un ascoltatore TCP, il sistema di bilanciamento del carico passa il traffico crittografato alle destinazioni senza decrittarlo.

L’informazione in questa pagina consente di creare un listener HTTPS per il sistema di bilanciamento del carico. Per aggiungere un listener HTTP al sistema di bilanciamento del carico consulta Creazione di un ascoltatore HTTP per Application Load Balancer.

Prerequisiti

  • Per creare un listener HTTPS, è necessario specificare un certificato e una policy di sicurezza. Il sistema di bilanciamento del carico utilizza il certificato per terminare la connessione e decrittografare le richieste provenienti dai client prima di inoltrarle alle destinazioni. Il sistema di bilanciamento del carico utilizza la policy di sicurezza durante le negoziazioni delle connessioni SSL con i client.

    Gli Application Load Balancer non supportano le chiavi. ED25519

  • Per aggiungere un'operazione di inoltro alla regola predefinita del listener, è necessario specificare un gruppo target disponibile. Per ulteriori informazioni, consulta Crea un gruppo target per il tuo Application Load Balancer.

  • È possibile specificare lo stesso gruppo di destinazioni in più ascoltatori, che però devono appartenere allo stesso sistema di bilanciamento del carico. Per utilizzare un gruppo di destinazioni con un sistema di bilanciamento del carico, è necessario verificare non sia utilizzato da un ascoltatore per nessun altro sistema di bilanciamento del carico.

Aggiunta di un ascoltatore HTTPS

Il listener si configura con un protocollo e una porta per le connessioni dai client al sistema di bilanciamento del carico e con un gruppo target per la regola predefinita del listener. Per ulteriori informazioni, consulta Configurazione dei listener.

Aggiunta di un listener HTTPS mediante la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Selezionare il load balancer.

  4. Nella scheda Ascoltatori e regole, scegli Aggiungi ascoltatore.

  5. In Protocollo : Porta, seleziona HTTPS e usare la porta predefinita o inserire una porta diversa.

  6. (Facoltativo) Per abilitare l'autenticazione, in Autenticazione seleziona Usa OpenID o Amazon Cognito e indica le informazioni richieste. Per ulteriori informazioni, consulta Autenticazione degli utenti tramite Application Load Balancer.

  7. In Operazioni predefinite, procedere in uno dei seguenti modi:

    • Inoltra a gruppi di destinazione: scegliere uno o più gruppi di destinazione a cui inoltrare il traffico. Per aggiungere gruppi di destinazione, scegli Aggiungi gruppo di destinazioni. Se si utilizza più di un gruppo di destinazioni, seleziona un peso per ogni gruppo e controllare la percentuale associata. Se è stata abilitata la persistenza per uno o più gruppi di destinazioni, è necessario abilitare la persistenza a livello di gruppo per una regola.

    • Reindirizza a URL: specificare l'URL verso cui verranno reindirizzate le richieste del client. È possibile farlo inserendo ogni parte separatamente nella scheda Parti URI, oppure inserendo l'indirizzo completo nella scheda URL completo. Per Codice di stato, è possibile configurare i reindirizzamenti come temporanei (HTTP 302) o permanenti (HTTP 301) in base alle esigenze.

    • Restituisci risposta fissa: specificare il Codice di risposta che verrà restituito alle richieste interrotte del client. Inoltre, è possibile specificare il Tipo di contenuto e il Corpo della risposta, ma non sono richiesti.

  8. Come Policy di sicurezza, consigliamo di utilizzare sempre la policy di sicurezza predefinita più recente.

  9. In Certificato SSL/TLS predefinito, sono disponibili le seguenti opzioni:

    • Se hai creato o importato un certificato utilizzando AWS Certificate Manager, seleziona Da ACM, quindi seleziona il certificato da Seleziona un certificato.

    • Se hai importato un certificato mediante IAM, scegli Da ACM, quindi seleziona il certificato da Seleziona un certificato.

    • Se disponi di un certificato da importare ma ACM non è disponibile nella tua regione, seleziona Importa, quindi In IAM. Digita il nome del certificato nel campo Nome del certificato. In Chiave privata del certificato, copia e incolla il contenuto del file della chiave privata (con codifica PEM). In Corpo certificato, copia e incolla i contenuti del file della chiave pubblica (con codifica PEM). In Catena di certificati, copia e incolla i contenuti del file della catena di certificati (con codifica PEM), a meno che non utilizzi un certificato auto-firmato e non sia importante che i browser accettino implicitamente il certificato.

  10. (Facoltativo) Per abilitare l'autenticazione reciproca, in Gestione dei certificati client abilita l'autenticazione reciproca (MTL).

    Se abilitata, la modalità TLS reciproca predefinita è passthrough.

    Se selezioni Verifica con Trust Store:

    • Per impostazione predefinita, le connessioni con certificati client scaduti vengono rifiutate. Per modificare questo comportamento, espandi le impostazioni Advanced MTLS, quindi in Scadenza del certificato client seleziona Consenti certificati client scaduti.

    • In Trust Store scegli un trust store esistente o scegli Nuovo trust store.

      • Se hai scelto Nuovo archivio attendibile, fornisci un nome di Trust Store, la posizione dell'Autorità di certificazione URI S3 e, facoltativamente, una posizione dell'elenco di revoca dei certificati URI S3.

    • (Facoltativo) Scegli se desideri abilitare TrustStore Advertise CA per i nomi dei soggetti.

  11. Seleziona Salva.

Per aggiungere un listener HTTPS utilizzando il AWS CLI

Utilizzare il comando create-listener per creare il listener e la regola predefinita e il comando create-rule per definire regole di listener aggiuntive.