翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 環境のロードバランサーを TCP パススルー用に設定する
<a name="https-tcp-passthrough"></a>

 AWS Elastic Beanstalk 環境内のロードバランサーで HTTPS トラフィックを復号しない場合は、バックエンドインスタンスへのリクエストをそのまま中継するようにセキュアリスナーを設定できます。

**重要**  
復号せずに HTTPS トラフィックを中継するようにロードバランサーを設定することには、欠点があります。ロードバランサーが暗号化されたリクエストを見ることができないため、ルーティングを最適化したり、応答メトリクスをレポートしたりできません。

最初に[環境の EC2 インスタンスが HTTPS を終了するように設定](https-singleinstance.md)します。単一インスタンスの環境の設定をテストして、組み合わせにロードバランサーを追加する前に、すべてが機能していることを確認します。

[設定ファイル](ebextensions.md)をプロジェクトに追加して、TCP パケットをそのままバックエンドインスタンスのポート 443 に渡すように、ポート 443 のリスナーを設定します。

**`.ebextensions/https-lb-passthrough.config`**

```
option_settings:
  aws:elb:listener:443:
    ListenerProtocol: TCP
    InstancePort: 443
    InstanceProtocol: TCP
```

デフォルトの [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) (Amazon VPC) では、インスタンスのセキュリティグループにルールを追加して、ロードバランサーから 443 への着信トラフィックを許可する操作も必要です。

**`.ebextensions/https-instance-securitygroup.config`**

```
Resources:
  443inboundfromloadbalancer:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]}
      IpProtocol: tcp
      ToPort: 443
      FromPort: 443
      SourceSecurityGroupName: { "Fn::GetAtt": ["AWSEBLoadBalancer", "SourceSecurityGroup.GroupName"] }
```

カスタム VPC では、セキュリティグループ設定が Elastic Beanstalk によって更新されます。