为您的 Application Load Balancer 创建 HTTPS 侦听器 - Elastic Load Balancing
先决条件添加 HTTPS 侦听器

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为您的 Application Load Balancer 创建 HTTPS 侦听器

侦听器检查连接请求。您可在创建负载均衡器时定义侦听器,并可随时向负载均衡器添加侦听器。

要创建 HTTPS 侦听器,您必须在负载均衡器上部署至少一个 SSL 服务器证书。负载均衡器先使用服务器证书终止前端连接,再解密来自客户端的请求,然后将请求发送到目标。您还必须指定一个安全策略,以用于协商客户端与负载均衡器之间的安全连接。

如果需要将加密流量传输至目标且负载均衡器不对其进行解密,则可以创建一个使用端口 443 上的 TCP 侦听器的网络负载均衡器或经典负载均衡器。通过 TCP 侦听器,负载均衡器将加密流量传递到目标,而不会对其进行解密。

此页面上的信息可帮助您为负载均衡器创建 HTTPS 侦听器。要向您的负载均衡器添加 HTTP 侦听器,请参阅 为您的 Application Load Balancer 创建 HTTP 侦听器

先决条件

  • 要将转发操作添加到默认侦听器规则,您必须指定可用的目标组。有关更多信息,请参阅 为您的应用程序负载均衡器创建目标组

  • 您可以在多个侦听器中指定同一个目标组,但这些侦听器必须属于同一个负载均衡器。要将目标组与负载均衡器结合使用,您必须确认其没有被任何其他负载均衡器的侦听器使用。

  • 应用程序负载均衡器不支持 ED25519 密钥。

添加 HTTPS 侦听器

您可以为侦听器配置协议和端口,用于从客户端到负载均衡器的连接。有关更多信息,请参阅 侦听器配置

创建安全侦听器时,必须指定安全策略和证书。要将证书添加到证书列表中,请参阅将证书添加到证书列表

必须为监听程序配置默认规则。创建监听器后,可以添加其他监听器规则。有关更多信息,请参阅 侦听器规则

Console
添加 HTTPS 侦听器

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器。

  4. 侦听器和规则选项卡上,选择添加侦听器

  5. 对于协议,选择 HTTPS。保留默认端口或输入其他端口。

  6. (可选)要添加身份验证规则,请选择对用户进行身份验证,选择身份提供商,然后提供所需的信息。有关更多信息,请参阅 使用 Application Load Balancer 验证用户身份

  7. 对于 “路由操作”,请选择以下路由操作之一并提供所需信息:

    • 转发至目标群组-选择目标群组。要添加其他目标组,请选择添加目标组,选择目标组,查看相对百分比,然后根据需要更新权重。如果您在任何目标群组上启用了粘性,则必须启用群组级别的粘性。

      如果您没有满足需求的目标群体,请选择创建目标群组立即创建一个目标群体。有关更多信息,请参阅 创建目标组

    • 重定向到 URL — 在 “UR I 部分” 选项卡上分别输入每个部分,或者在 “完整 URL” 选项卡上输入完整地址来输入 URL。对于状态码,请根据需要选择临时 (HTTP 302) 或永久 (HTTP 301)。

    • 返回固定响应-输入已删除的客户端请求返回的响应代码。或者,您可以指定内容类型响应正文

  8. 对于安全策略,我们选择推荐的安全策略。您可以根据需要选择不同的安全策略。

  9. 对于默认 SSL/TLS 证书,请选择默认证书。我们还将默认证书添加到 SNI 列表中。您可以使用以下选项之一选择证书:

    • 来自 ACM — 从 “证书”(来自 ACM)中选择证书,该证书将显示可用的证书。 AWS Certificate Manager

    • 从 IAM — 从证书(来自 IAM)中选择证书,该证书会显示您导入到的证书 AWS Identity and Access Management。

    • 导入证书-选择证书的目的地;导入到 ACM 或导入到 IAM。对于证书私钥,请复制并粘贴私钥文件(PEM 编码)的内容。对于证书正文,复制并粘贴公钥证书文件(PEM 编码)的内容。对于证书链,请复制并粘贴证书链文件(PEM 编码)的内容,除非您使用的是自签名证书,并且浏览器是否隐式接受证书并不重要。

  10. (可选)要启用相互身份验证,请在 “客户端证书处理” 下启用相互身份验证 (mTLS)

    默认模式为直通。如果您选择 “使用信任库验证”:

    • 默认情况下,客户端证书已过期的连接会被拒绝。要更改此行为,请展开高级 mTLS 设置,然后在客户端证书过期下选择允许过期的客户证书

    • 对于 Trust Stor e,请选择现有的信任存储,或者选择 “新建信任存储” 并提供所需的信息。

  11. (可选)要添加标签,请展开监听器标签。选择 “添加新标签”,然后输入标签密钥和标签值。

  12. 选择添加侦听器

AWS CLI
创建 HTTPS 侦听器

使用 create-listener 命令。以下示例使用将流量转发到指定目标组的默认规则创建一个 HTTPS 侦听器。

aws elbv2 create-listener \
    --load-balancer-arn load-balancer-arn \
    --protocol HTTPS \
    --port 443 \
    --default-actions Type=forward,TargetGroupArn=target-group-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06 \
    --certificates certificate-arn
CloudFormation
创建 HTTPS 侦听器

定义类型为的资源AWS::ElasticLoadBalancingV2::Listener。以下示例使用将流量转发到指定目标组的默认规则创建一个 HTTPS 侦听器。

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn