Crie um HTTPS ouvinte para seu Application Load Balancer - Elastic Load Balancing
Pré-requisitosAdicionar um HTTPS ouvinte

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um HTTPS ouvinte para seu Application Load Balancer

Um receptor verifica se há solicitações de conexão. Você define um listener ao criar seu load balancer e você pode adicionar listeners ao seu load balancer a qualquer momento.

Para criar um HTTPS ouvinte, você deve implantar pelo menos um certificado de SSL servidor em seu balanceador de carga. O load balancer usa um certificado de servidor para encerrar a conexão front-end e descriptografa solicitações dos clientes antes de enviá-las aos destinos. Você também deve especificar uma política de segurança que será usada para negociar conexões protegidas entre os clientes e o balanceador de carga.

Se precisar passar tráfego criptografado para destinos sem que o balanceador de carga o decodifique, você pode criar um Network Load Balancer ou Classic Load Balancer com um ouvinte na porta 443. TCP Com um TCP ouvinte, o balanceador de carga passa o tráfego criptografado para os destinos sem decifrá-lo.

As informações nesta página ajudam você a criar um HTTPS ouvinte para seu balanceador de carga. Para adicionar um HTTP ouvinte ao seu balanceador de carga, consulte. Crie um HTTP ouvinte para seu Application Load Balancer

Pré-requisitos

  • Para criar um HTTPS ouvinte, você deve especificar um certificado e uma política de segurança. O load balancer usará o certificado para encerrar a conexão e descriptografar solicitações dos clientes antes de roteá-las aos destinos. O balanceador de carga usa a política de segurança ao negociar SSL conexões com os clientes.

    Os Application Load Balancers não oferecem suporte a ED25519 chaves.

  • Para adicionar uma ação de encaminhamento à regra do listener padrão, você deve especificar um grupo de destino disponível. Para obter mais informações, consulte Criar um grupo de destino para o Application Load Balancer.

  • Você pode especificar o mesmo grupo de destino em vários receptores, mas esses receptores devem pertencer ao mesmo balanceador de carga. Para usar um grupo de destino com um balanceador de carga, você deve verificar se ele não está sendo usado por um receptor para nenhum outro balanceador de carga.

Adicionar um HTTPS ouvinte

Você configura um listener com um protocolo e uma porta para as conexões de clientes com o load balancer, e um grupo de destino para a regra do listener padrão. Para obter mais informações, consulte Configuração do receptor.

Para adicionar um HTTPS ouvinte usando o console

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Balanceador de carga.

  3. Selecione o load balancer.

  4. Na guia Receptores e regras, escolha Adicionar receptor.

  5. Para Protocolo: Porta, escolha HTTPSe mantenha a porta padrão ou insira uma porta diferente.

  6. (Opcional) Para habilitar a autenticação, em Autenticação, selecione Usar OpenID ou Amazon Cognito e forneça as informações solicitadas. Para obter mais informações, consulte Autenticar usuários usando um Application Load Balancer.

  7. Em Default actions (Ações padrão), siga um destes procedimentos:

    • Encaminhar para grupos de destino: escolha um ou mais grupos de destino para os quais deseja encaminhar o tráfego. Para adicionar grupos de destino, escolha Adicionar grupo de destino. Se estiver usando mais de um grupo de destino, selecione um peso para cada um e revise o percentual associado. Se tiver habilitado a persistência em um ou mais dos grupos de destino, você deverá ativar a persistência no nível de grupo em uma regra.

    • Redirecionar para URL — Especifique para URL onde as solicitações do cliente serão redirecionadas. Isso pode ser feito inserindo cada peça separadamente na guia de URIpeças ou inserindo o endereço completo na URL guia Completo. Para o código de status, você pode configurar redirecionamentos como temporários (HTTP302) ou permanentes (HTTP301) com base em suas necessidades.

    • Retornar resposta fixa: especifique o código de resposta que será retornado às solicitações descartadas do cliente. Além disso, você pode especificar o tipo de conteúdo e o corpo da resposta, mas eles não são obrigatórios.

  8. Em Política de segurança, recomendamos que você sempre use a política de segurança predefinida mais recente.

  9. Para DefaultSSL/TLScertificate, as seguintes opções estão disponíveis:

    • Se você criou ou importou um certificado usando AWS Certificate Manager, selecione De eACM, em seguida, selecione o certificado em Selecionar um certificado.

    • Se você importou um certificado usandoIAM, selecione De eIAM, em seguida, selecione seu certificado em Selecionar um certificado.

    • Se você tiver um certificado para importar, mas não ACM estiver disponível na sua região, selecione Importar e, em seguida, selecione Para IAM. Digite o nome do certificado no campo Nome do certificado. Em Chave privada do certificado, copie e cole o conteúdo do arquivo de chave privada (PEMcodificado em -). No corpo do certificado, copie e cole o conteúdo do arquivo de certificado de chave pública (PEMcodificado em -). Na Cadeia de certificados, copie e cole o conteúdo do arquivo da cadeia de certificados (PEMcodificado), a menos que você esteja usando um certificado autoassinado e não seja importante que os navegadores aceitem implicitamente o certificado.

  10. (Opcional) Para habilitar a autenticação mútua, em Tratamento de certificados do cliente, habilite a autenticação mútua (mTLS).

    Quando ativado, o TLS modo mútuo padrão é de passagem.

    Caso selecione Verificar com o armazenamento confiável:

    • Por padrão, as conexões com certificados expirados de cliente são rejeitadas. Para alterar esse comportamento, expanda TLSConfigurações avançadas m e, em seguida, em Expiração do certificado do cliente, selecione Permitir certificados de cliente expirados.

    • Em Armazenamentos confiáveis, escolha um armazenamento confiável existente ou Novo armazenamento confiável.

      • Se você escolher Novo repositório confiável, forneça um nome do repositório confiável, a localização da Autoridade de URI Certificação S3 e, opcionalmente, um local da lista de revogação de URI certificados S3.

    • (Opcional) Escolha se você deseja habilitar Anunciar nomes de assunto da TrustStore CA.

  11. Escolha Salvar.

Para adicionar um HTTPS ouvinte usando o AWS CLI

Use o comando create-listener para criar o listener e a regra padrão, e o comando create-rule para definir as regras de listener adicionais.