Adicionar um balanceador de carga com o Elastic Load Balancing para AWS CloudHSM (opcional)
Depois de configurar o descarregamento de SSL/TLS com um servidor Web, você pode criar mais servidores Web e um balanceador de carga no Elastic Load Balancing que roteia o tráfego HTTPS aos servidores Web. Um balanceador de carga pode reduzir a carga nos seus servidores Web individuais, equilibrando o tráfego em dois ou mais servidores. Ele também pode aumentar a disponibilidade do seu site, pois o balanceador de carga monitora a integridade dos seus servidores Web e roteia apenas o tráfego aos servidores íntegros. Se um servidor Web falhar, o balanceador de carga deixará automaticamente de rotear o tráfego para ele.
Tópicos
Etapa 1. Criar uma sub-rede para um segundo servidor Web
Antes de poder criar um segundo servidor Web, é necessário criar uma nova sub-rede na mesma VPC que contém seu servidor Web existente e o cluster do AWS CloudHSM.
Para criar uma nova sub-rede
-
Selecione Create Subnet.
-
Na caixa de diálogo Criar sub-rede, faça o seguinte:
-
Em Name tag (Tag de nome), digite um nome para a sub-rede.
-
Em VPC, escolha a VPC do AWS CloudHSM que contém o servidor Web existente e o cluster do AWS CloudHSM.
-
Para Availability Zone, escolha uma zona de disponibilidade diferente da que contém seu servidor Web existente.
-
Para bloco CIDR IPv4, digite o bloco CIDR para uso na sub-rede. Por exemplo, digite
10.0.10.0/24
. -
Escolha Yes, Create (Sim, criar).
-
-
Marque a caixa de seleção ao lado da sub-rede pública que contém seu servidor Web existente. Ela é diferente da sub-rede pública que você criou na etapa anterior.
-
No painel conteúdo, escolha a guia Tabela de rotas. Em seguida, escolha o link para a tabela de rotas.
-
Marque a caixa de seleção ao lado da tabela de rotas.
-
Escolha a guia Associações de sub-redes. Em seguida, escolha Editar.
-
Marque a caixa de seleção ao lado da sub-rede pública que você criou anteriormente neste procedimento. Em seguida, escolha Salvar.
Etapa 2. Criar o segundo servidor Web
Complete as seguintes etapas para criar um segundo servidor Web com a mesma configuração que o seu servidor Web existente.
Para criar um segundo servidor Web
-
Abra a seção Instâncias
do console do Amazon EC2 em. -
Marque a caixa de seleção ao lado da instância do servidor Web existente.
-
Escolha Actions (Ações), Image (Imagem) e, em seguida, Create Image (Criar imagem).
-
Na caixa de diálogo Create Image, faça o seguinte:
-
Em Image name (Nome de imagem), digite um nome para a imagem.
-
Em Image description (Descrição da imagem), digite uma descrição para a imagem.
-
Escolha Create Image. Essa ação reinicia seu servidor Web existente.
-
Escolha o link View pending image ami-
<AMI ID>
.Na coluna Status, anote o status da imagem. Quando o status da imagem for disponível (isso pode demorar vários minutos), vá para a próxima etapa.
-
-
No painel de navegação, escolha Instances (Instâncias).
-
Marque a caixa de seleção ao lado do seu servidor Web existente.
-
Selecione Actions (Ações) e selecione Launch More Like This (Iniciar mais como este).
-
Escolha Edit AMI.
-
No painel de navegação esquerdo, escolha Meus AMIs. Em seguida, limpe o texto na caixa de pesquisa.
-
Ao lado de sua imagem do servidor Web, escolha Select.
-
Escolha Sim, quero continuar neste AMI (
<image name>
- ami-<AMI ID>
). -
Escolha Próximo.
-
Selecione um tipo de instância e, a seguir, escolha Próximo: Configurar detalhes da instância.
-
Na Etapa 3: Configurar os detalhes da instância, faça o seguinte:
-
Para Network, escolha a VPC que contém seu servidor Web existente.
-
Para Subnet, escolha a sub-rede pública que você criou para o segundo servidor Web.
-
Para Atribuir IP público automaticamente, selecione Permitir.
-
Altere os detalhes restantes da instância conforme preferir. Em seguida, selecione Next: Add Storage (Próximo: adicionar armazenamento).
-
-
Altere as configurações de armazenamento conforme preferir. Depois, selecione Next: Add Tags (Próximo: adicionar tags).
-
Adicione ou edite tags como preferir. Em seguida, escolha Next: Configure Security Group.
-
Para Etapa 6: Configurar security group, faça o seguinte:
-
Em Assign a security group (Atribuir um grupo de segurança), escolha Select an existing security group (Selecionar um security group existente).
-
Marque a caixa de seleção ao lado do grupo de segurança chamado cloudhsm-
<cluster ID>
-sg. AWS CloudHSM criou esse grupo de segurança em seu nome quando você criou o cluster. Selecione esse grupo de segurança para permitir que a instância do servidor Web se conecte a HSMs no cluster. -
Marque a caixa de seleção ao lado do grupo de segurança que permite o tráfego HTTPS de entrada. Você criou esse grupo de segurança anteriormente.
-
(Opcional) Marque a caixa de seleção ao lado de um grupo de segurança que permite a entrada de tráfego SSH (para Linux) ou RDP (para Windows) da rede. Ou seja, o grupo de segurança deve permitir tráfego TCP de entrada na porta 22 (para SSH no Linux) ou na porta 3389 (para RDP no Windows). Caso contrário, não será possível se conectar à instância do cliente. Caso não tenha um grupo de segurança como esse, crie um e, em seguida, atribua-o para a instância do cliente mais tarde.
Escolha revisar e iniciar.
-
-
Verifique os detalhes da instância e, em seguida, selecione Iniciar.
-
Escolha se deseja iniciar a instância com um par de chaves existente, criar um novo par de chaves ou executar sua instância sem um par de chaves.
-
Para usar um par de chaves existente, faça o seguinte:
-
Escolha Selecionar um par de chaves existente.
-
Para Selecionar um par de chaves, selecione o par de chaves a ser usado.
-
Marque a caixa de seleção ao lado de Eu reconheço que possuo acesso ao arquivo de chave privada selecionado (
<private key file name>
.pem) e que, sem esse arquivo, não será possível fazer o login na instância.
-
-
Para criar um novo par de chaves, faça o seguinte:
-
Selecione Criar um novo par de chaves.
-
Em Key pair name (Nome do par de chaves), digite um nome para o par de chaves.
-
Selecione Fazer o download do par de chaves e salve o arquivo da chave privada em um local seguro e acessível.
Atenção
Não será possível fazer o download do arquivo de chave privada novamente a partir desse momento. Se você não fizer o download do arquivo de chave privada agora, não será possível acessar a instância do cliente.
-
-
Para iniciar sua instância sem um par de chaves, faça o seguinte:
-
Escolha Proceed without a key pair.
-
Marque a caixa de seleção ao lado de I acknowledge that I will not be able to connect to this instance unless I already know the password built into this AMI.
-
Selecione Launch Instances.
-
Etapa 3. Criar o balanceador de carga
Conclua as seguintes etapas para criar um balanceador de carga no Elastic Load Balancing que roteia o tráfego HTTPS aos seus servidores Web.
Para criar um load balancer
-
Abra a seção Balanceadores de carga
do console do Amazon EC2. -
Selecione Criar load balancer.
-
Na seção Network Load Balancer section, escolha Create.
-
Para Step 1: Configure Load Balancer, faça o seguinte:
-
Para Name, digite um nome para o load balancer que você está criando.
-
Na seção Receptores, para Porta do balanceador de carga, altere o valor para
443
. -
Na seção Availability Zones, para VPC, escolha a VPC que contém seus servidores Web.
-
Na seção Availability Zones, escolha as sub-redes que contêm seus servidores Web.
-
Selecione Next: Configure Routing (Próximo: Configurar roteamento).
-
-
Para Step 2: Configure Routing, faça o seguinte:
-
Para Name, digite um nome para o grupo-alvo que você está criando.
-
Para Porta, altere o valor para
443
. -
Selecione Next: Register Targets (Próximo: Registrar destinos).
-
-
Para Step 3: Register Targets, faça o seguinte:
-
Na seção Instâncias, marque as caixas de seleção ao lado das instâncias do servidor Web. Em seguida, escolha Add to registered.
-
Selecione Next: Review (Próximo: revisar).
-
-
Revise os detalhes do load balancer e escolha Create.
-
Quando o load balancer tiver sido criado com êxito, escolha Close.
Depois de concluir as etapas anteriores, o console do Amazon EC2 mostrará seu balanceador de carga no Elastic Load Balancing.
Quando o estado do balanceador de carga estiver ativo, você poderá verificar se ele está funcionando. Ou seja, você poderá verificar se ele está enviando tráfego HTTPS aos seus servidores Web com descarregamento de SSL/TLS com o AWS CloudHSM. Faça isso com um navegador da web ou com uma ferramenta como OpenSSL s_client
Para verificar se o seu load balancer está funcionando com um navegador da Web
-
No console do Amazon EC2, encontre o nome DNS para o balanceador de carga que você acabou de criar. Em seguida, selecione o nome DNS e copie-o.
-
Use um navegador da web, como o Mozilla Firefox ou o Google Chrome, para se conectar ao seu balanceador de carga usando o nome DNS do balanceador de carga. Certifique-se de que a URL na barra de endereços comece com https://.
dica
Você pode usar um serviço DNS, como o Amazon Route 53 para rotear o nome de domínio do site (por exemplo, https://www.example.com/) para seu servidor da Web. Para obter mais informações, consulte Roteamento de tráfego para uma instância do Amazon EC2 no Amazon Route 53 ou na documentação do seu serviço de DNS.
-
Use seu navegador da Web para ver o certificado do servidor Web. Para obter mais informações, consulte:
-
Para o Mozilla Firefox, consulte o tópico sobre como Visualizar um certificado
, no site de suporte da Mozilla. -
Para o Google Chrome, consulte Noções básicas de problemas de segurança
, no site Google Tools for Web Developers.
Outros navegadores da Web podem ter recursos semelhantes, que você pode usar para visualizar o certificado do servidor Web.
-
-
Garanta que o certificado é aquele para o qual você configurou o servidor Web para usar.
Para verificar se o seu load balancer está funcionando com o OpenSSL s_client
-
Use o seguinte comando OpenSSL para se conectar ao seu balanceador de carga usando HTTPS. Substitua
<DNS name>
pelo nome DNS do seu balanceador de carga.openssl s_client -connect
<DNS name>
:443dica
Você pode usar um serviço DNS, como o Amazon Route 53 para rotear o nome de domínio do site (por exemplo, https://www.example.com/) para seu servidor da Web. Para obter mais informações, consulte Roteamento de tráfego para uma instância do Amazon EC2 no Amazon Route 53 ou na documentação do seu serviço de DNS.
-
Garanta que o certificado é aquele para o qual você configurou o servidor Web para usar.
Agora, você tem um site seguro com HTTPS, com a chave privada do servidor Web armazenada em um HSM no cluster do AWS CloudHSM. Seu site possui dois servidores Web e um load balancer para ajudar a melhorar a eficiência e a disponibilidade.