Load Balancer mit Elastic Load Balancing hinzufügen (optional) - AWS CloudHSM
Erstellen eines Subnetzes für einen zweiten WebserverErstellen des zweiten WebserversErstellen Sie den Load Balancer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Load Balancer mit Elastic Load Balancing hinzufügen (optional)

Nachdem Sie die SSL/TLS-Auslagerung für einen Webserver eingerichtet haben, können Sie weitere Webserver sowie einen Elastic Load Balancing Load Balancer einrichten, der den HTTPS-Datenverkehr zu den Webservern umleitet. Ein Load Balancer kann die Auslastung Ihrer einzelnen Webserver reduzieren, indem der Verkehr auf zwei oder mehr Webserver verteilt wird. Er kann zudem die Verfügbarkeit Ihrer Website erhöhen, da er den Zustand Ihrer Webserver überwacht und den Datenverkehr nur an stabile Server weiterleitet. Wenn ein Webserver ausfällt, beendet der Load Balancer automatisch die Weiterleitung des Datenverkehrs an diesen.

Erstellen eines Subnetzes für einen zweiten Webserver

Bevor Sie einen weiteren Webserver erstellen können, müssen Sie ein neues Subnetz in derselben VPC erstellen, die Ihren vorhandenen Webserver und AWS CloudHSM Cluster enthält.

So erstellen Sie ein neues Subnetz

  1. Öffnen Sie den Abschnitt Subnetze der Amazon VPC-Konsole.

  2. Wählen Sie Create Subnet aus.

  3. Führen Sie im Dialogfeld Create Subnet Folgendes aus:

    1. Geben Sie unter Name tag(Namens-Tag) einen Namen für Ihr Subnetz ein.

    2. Wählen Sie für VPC die AWS CloudHSM VPC aus, die Ihren vorhandenen Webserver und AWS CloudHSM Cluster enthält.

    3. Wählen Sie als Availability Zone eine Availability Zone aus, die sich von der unterscheidet, die Ihren vorhandenen Webserver enthält.

    4. Geben Sie unter IPv4 CIDR-Block den CIDR-Block für das Subnetz ein. Geben Sie beispielsweise 10.0.10.0/24 ein.

    5. Wählen Sie Ja, erstellen aus.

  4. Aktivieren Sie das Kontrollkästchen neben dem öffentlichen Subnetz, das Ihren vorhandenen Webserver enthält. Dieses unterscheidet sich von dem öffentlichen Subnetz, das Sie im vorherigen Schritt erstellt haben.

  5. Klicken Sie im Inhaltsbereich auf die Registerkarte Routing-Tabelle. Wählen Sie dann den Link für die Routing-Tabelle aus.

    Wählen Sie den Link für die Routing-Tabelle in der Amazon-VPC-Konsole aus.

  6. Aktivieren Sie das Kontrollkästchen neben der Routing-Tabelle.

  7. Wählen Sie die Registerkarte Subnetz-Verknüpfungen aus. Wählen Sie dann Bearbeiten aus.

  8. Wählen Sie das Kontrollkästchen neben dem öffentlichen Subnetz aus, das Sie zuvor erstellt haben. Wählen Sie dann Speichern.

Erstellen des zweiten Webservers

Führen Sie die folgenden Schritte aus, um einen zweiten Webserver mit der gleichen Konfiguration wie der des vorhandenen Webservers zu erstellen.

So erstellen Sie einen zweiten Webserver

  1. Öffnen Sie den Bereich Instances in der Amazon-EC2-Konsole unter.

  2. Aktivieren Sie das Kontrollkästchen neben Ihrer vorhandenen Webserver-Instance.

  3. Wählen Sie Aktionen, Image und dann Image erstellen.

  4. Führen Sie im Dialogfeld Create Image (Abbild erstellen) die folgenden Schritte aus:

    1. Geben Sie für Image name (Image-Name) einen eindeutigen Namen für das Image ein.

    2. Geben Sie unter Image description (Image-Beschreibung) eine Beschreibung für das Image ein.

    3. Wählen Sie Image erstellen aus. Mit dieser Aktion wird Ihr vorhandener Webserver neu gestartet.

    4. Wählen Sie den Link View pending image ami-<AMI ID> aus.

      Wählen Sie den Link zum Anzeigen des ausstehenden Abbilds in der Amazon EC2-Konsole aus.

      Beachten Sie den Abbildstatus in der Status-Spalte. Lautet der Abbildstatus available (verfügbar), dies kann einige Minuten dauern, fahren Sie mit dem nächsten Schritt fort.

  5. Wählen Sie im Navigationsbereich Instances aus.

  6. Aktivieren Sie das Kontrollkästchen neben Ihrem vorhandenen Webserver.

  7. Wählen Sie Aktionen und dann Weitere solche starten aus.

  8. Wählen Sie AMI bearbeiten aus.

    Wählen Sie den Link zur AMI-Bearbeitung in der Amazon-EC2-Konsole aus.

  9. Wählen Sie im linken Navigationsbereich die Option Meine AMIs aus. Löschen Sie anschließend den Text im Suchfeld.

  10. Wählen Sie neben Ihrem Webserverabbild Auswählen aus.

  11. Wählen Sie Ja, ich möchte mit diesem AMI fortfahren (<image name> - ami-<AMI ID>).

  12. Wählen Sie Weiter.

  13. Wählen Sie einen Instance-Typen und danach Weiter: Instance-Details konfigurieren aus.

  14. Führen Sie für Step 3: Configure Instance Details (Schritt 3: Instance-Details konfigurieren) Folgendes aus:

    1. Wählen Sie für Netzwerk die VPC mit Ihrem vorhandenen Webserver aus.

    2. Wählen Sie für Subnetz das öffentliche Subnetz aus, das Sie für den zweiten Webserver erstellt haben.

    3. Wählen Sie für Öffentliche IP automatisch zuweisen Aktivieren aus.

    4. Ändern Sie die verbleibenden Instance-Details wie gewünscht. Wählen Sie dann Weiter: Speicher hinzufügen aus.

  15. Ändern Sie die Speichereinstellungen wie gewünscht. Wählen Sie dann Weiter: Tags hinzufügen aus.

  16. Bearbeiten Sie Tags nach Bedarf oder fügen Sie diese hinzu. Wählen Sie dann Als Nächstes: Sicherheitsgruppe konfigurieren aus.

  17. Führen Sie für Schritt 6: Sicherheitsgruppe konfigurieren die folgenden Schritte aus:

    1. Wählen Sie für Sicherheitsgruppe zuweisen die Option Existierende Sicherheitsgruppe auswählen aus.

    2. Aktivieren Sie das Kontrollkästchen neben der Sicherheitsgruppe mit dem Namen cloudhsm-<cluster ID>-sg. AWS CloudHSM hat diese Sicherheitsgruppe in Ihrem Namen erstellt, als Sie den Cluster angelegt haben. Sie müssen diese Sicherheitsgruppe auswählen, damit die Webserver-Instance eine Verbindung mit den HSMs im Cluster herstellen kann.

    3. Aktivieren Sie das Kontrollkästchen neben der Sicherheitsgruppe, die eingehenden HTTPS-Datenverkehr zulässt. Sie haben diese Sicherheitsgruppe zuvor erstellt.

    4. (Optional) Aktivieren Sie das Kontrollkästchen neben einer Sicherheitsgruppe, die eingehenden SSH- (für Linux) oder RDP-Datenverkehr (für Windows) aus Ihrem Netzwerk zulässt. Das heißt, die Sicherheitsgruppe muss ein- und ausgehenden TCP-Datenverkehr auf Port 22 (für SSH unter Linux) bzw. Port 3389 (für RDP unter Windows) zulassen. Andernfalls können Sie keine Verbindung zu Ihrer Client-Instance herstellen. Wenn Sie keine solche Sicherheitsgruppe haben, müssen Sie sie erstellen und Ihrer Client-Instance zu einem späteren Zeitpunkt hinzufügen.

    Klicken Sie auf Review and Launch.

  18. Überprüfen Sie die Instance-Details. Wählen Sie anschließend Start aus.

  19. Legen Sie fest, ob Ihre Instance mit einem vorhandenen Schlüsselpaar oder ohne Schlüsselpaar gestartet werden soll, oder ob ein neues Schlüsselpaar erstellt werden soll.

    • Um ein vorhandenes Schlüsselpaar zu verwenden, führen Sie die folgenden Schritte aus:

      1. Wählen Sie Vorhandenes Schlüsselpaar auswählen aus.

      2. Wählen Sie für Schlüsselpaar auswählen das zu verwendende Schlüsselpaar aus.

      3. Markieren Sie das Kontrollkästchen neben Ich bestätige, dass ich Zugriff auf die ausgewählte private Schlüsseldatei habe (<private key file name>.pem), und dass ich mich ohne diese Datei nicht bei meiner Instance anmelden kann.

    • Wenn Sie ein neues Schlüsselpaar erstellen möchten, führen Sie die folgenden Schritte aus:

      1. Wählen Sie Ein neues Schlüsselpaar erstellen aus.

      2. Geben Sie für Key pair name (Schlüsselpaarname) einen Schlüsselpaarnamen ein.

      3. Wählen Sie Schlüsselpaar herunterladen aus und speichern Sie die Datei mit dem privaten Schlüssel an einem sicheren, zugänglichen Ort.

        Warnung

        Nach diesem Zeitpunkt können Sie die Datei mit dem privaten Schlüssel nicht erneut herunterladen. Wenn Sie die Datei mit dem privaten Schlüssel jetzt nicht herunterzuladen, können Sie sich auf die Client-Instance zugreifen.

    • Zum Starten Ihrer Instance ohne Schlüsselpaar führen Sie die folgenden Schritte aus:

      1. Wählen Sie Ohne Schlüsselpaar fortfahren aus.

      2. Aktivieren Sie das Kontrollkästchen neben Ich bestätige, dass ich mich nicht bei dieser Instance anmelden kann, wenn ich das in dieses AMI integrierte Passwort nicht kenne.

    Wählen Sie Instances starten aus.

Erstellen Sie den Load Balancer

Führen Sie die folgenden Schritte aus, um einen Elastic Load Balancing Load Balancer zu erstellen, der den HTTPS-Datenverkehr an Ihre Webserver weiterleitet.

Erstellen Sie einen Load Balancer wie folgt:

  1. Öffnen Sie den Bereich Load Balancers in der Amazon EC2-Konsole.

  2. Klicken Sie auf Load Balancer erstellen.

  3. Klicken Sie im Bereich Network Load Balancer auf Create.

  4. Führen Sie für Step 1: Configure Load Balancer (Schritt 1; Konfigurieren von Load Balancer) die folgenden Schritte aus:

    1. Geben Sie als Name einen Namen für den Load Balancer ein, den Sie erstellen.

    2. Ändern Sie im Bereich Listeners den Wert in 443 für Load Balancer Port.

    3. Wählen Sie im Bereich Availability Zones als VPC die VPC aus, die Ihre Webserver enthält.

    4. Wählen Sie im Bereich Availability Zones die Subnetze aus, die Ihre Webserver enthalten.

    5. Wählen Sie Weiter: Routing konfigurieren aus.

  5. Führen Sie für Step 2: Configure Routing (Schritt 2: Routing konfigurieren) die folgenden Schritte aus:

    1. Geben Sie als Name einen Namen für die Zielgruppe ein, die Sie erstellen.

    2. Ändern Sie für den Port den Wert in 443.

    3. Klicken Sie auf Weiter: Ziele registrieren.

  6. Führen Sie für Step 3: Register Targets (Schritt 3: Ziele registrieren) die folgenden Schritte aus:

    1. Aktivieren Sie im Bereich Instances die Kontrollkästchen neben Ihren Webserver-Instances. Wählen Sie dann Zu registrierten hinzufügen aus.

    2. Wählen Sie Weiter: Prüfen aus.

  7. Überprüfen Sie die Load Balancer-Details und wählen Sie dann Erstellen aus.

  8. Wenn der Load Balancer erfolgreich erstellt wurde, klicken Sie auf Close (Schließen).

Nachdem Sie die vorangegangenen Schritte durchgeführt haben, zeigt die Amazon EC2-Konsole Ihren Elastic Load-Balancing Load Balancer an.

Wenn der Status Ihres Load Balancers „aktiv“ ist, können Sie verifizieren, dass der Load Balancer funktioniert. Das heißt, Sie können verifizieren, dass der Load Balancer den HTTPS-Datenverkehr mittels AWS CloudHSM an Ihre Webserver mit SSL/TLS-Auslagerung sendet. Sie können dazu einen Webbrowser oder ein Tool wie OpenSSL s_client verwenden.

So stellen Sie sicher, dass der Load Balancer mit einem Webbrowser arbeitet

  1. Suchen Sie in der Amazon EC2-Konsole den DNS-Namen für den Load Balancer, den Sie gerade erstellt haben. Wählen Sie anschließend den DNS-Namen aus und kopieren Sie ihn.

  2. Verwenden Sie einen Webbrowser wie Mozilla Firefox oder Google Chrome für die Verbindung Ihres Load Balancers über dessen DNS-Namen. Stellen Sie sicher, dass die URL in die Adresszeile mit https:// beginnt.

    Tipp

    Sie können einen DNS-Service wie Amazon Route 53 nutzen, um den Domainnamen Ihrer Website (beispielsweise https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing des Datenverkehrs zu einer Amazon-EC2-Instance im Entwicklerleitfaden zu Amazon Route 53 oder in der Dokumentation für Ihren DNS-Service.

  3. Zeigen Sie das Webserverzertifikat mit Ihrem Webbrowser an. Weitere Informationen finden Sie hier:

    • Wenn Sie Mozilla Firefox nutzen, sehen Sie sich die Informationen auf der Mozilla Support-Website unter Zertifikat anzeigen an.

    • Wenn Sie Google Chrome verwenden, sehen Sie sich die Informationen auf der „Google Tools für Web Developers“-Website unter Sicherheitsprobleme verstehen an.

    Andere Webbrowser unterstützen möglicherweise ähnliche Funktionen, über die Sie das Webserverzertifikat anzeigen können.

  4. Stellen Sie sicher, dass das Zertifikat dasjenige ist, das Sie für die Nutzung im Webserver konfiguriert haben.

So stellen Sie sicher, dass der Load Balancer mit OpenSSL s_client arbeitet

  1. Verbinden Sie mit dem folgenden OpenSSL-Befehl Ihrer Load Balancer mittels HTTPS. Ersetzen Sie DNS name > durch den DNS-Namen Ihres Load Balancers. 

    openssl s_client -connect <DNS name>:443
    Tipp

    Sie können einen DNS-Service wie Amazon Route 53 nutzen, um den Domainnamen Ihrer Website (beispielsweise https://www.example.com/) an Ihren Webserver weiterzuleiten. Weitere Informationen finden Sie unter Routing des Datenverkehrs zu einer Amazon-EC2-Instance im Entwicklerleitfaden zu Amazon Route 53 oder in der Dokumentation für Ihren DNS-Service.

  2. Stellen Sie sicher, dass das Zertifikat dasjenige ist, das Sie für die Nutzung im Webserver konfiguriert haben.

Sie haben jetzt eine Website, die mit HTTPS gesichert ist, wobei der private Schlüssel des Webservers in einem HSM in Ihrem Cluster gespeichert ist. AWS CloudHSM Ihre Website verfügt über zwei Webserver und einen Load Balancer, um Effizienz und Verfügbarkeit zu verbessern.