Configuración de HTTPS la terminación en el balanceador de carga - AWS Elastic Beanstalk

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de HTTPS la terminación en el balanceador de carga

Para actualizar el AWS Elastic Beanstalk entorno para su usoHTTPS, debe configurar un HTTPS detector para el balanceador de cargas de su entorno. Hay dos tipos de balanceadores de carga que admiten un HTTPS oyente: Classic Load Balancer y Application Load Balancer.

Puede utilizar la consola de Elastic Beanstalk o un archivo de configuración para configurar un agente de escucha seguro y asignar el certificado.

nota

Los entornos de instancia única no tienen un balanceador de cargas y no admiten HTTPS la terminación en el balanceador de cargas.

Configuración de un agente de escucha seguro mediante la consola de Elastic Beanstalk

Para asignar un certificado al balanceador de carga del entorno
  1. Abra la consola de Elastic Beanstalk y, en la lista Regiones, seleccione su. Región de AWS

  2. En el panel de navegación, elija Environments (Entornos) y, a continuación, elija el nombre del entorno en la lista.

    nota

    Si tiene muchos entornos, utilice la barra de búsqueda para filtrar la lista de entornos.

  3. En el panel de navegación, elija Configuration (Configuración).

  4. En la categoría de configuración Load balancer (Balanceador de carga), elija Edit (Editar).

    nota

    Si la categoría de configuración Load balancer (Balanceador de carga) no tiene un botón Edit (Editar), el entorno no tiene un balanceador de carga.

  5. En la página Modify load balancer (Modificar balanceador de carga), el procedimiento varía en función del tipo de balanceador de carga asociado al entorno.

    • Equilibrador de carga clásico

      1. Elija Añadir oyente.

      2. En el cuadro de diálogo Classic Load Balancer listener (Agente de escucha del balanceador de carga clásico), configure las siguientes opciones:

        • En Listener port (Puerto del agente de escucha), escriba el puerto del tráfico entrante, normalmente 443.

        • Para el protocolo Listener, elija. HTTPS

        • En Instance port (Puerto de instancia), escriba 80.

        • En Instance protocol, elija HTTP.

        • Para el SSLcertificado, elija su certificado.

      3. Elija Añadir.

    • Application Load Balancer

      1. Elija Añadir oyente.

      2. En el cuadro de diálogo Application Load Balancer listener (Agente de escucha del balanceador de carga de aplicaciones), configure las siguientes opciones:

        • En Port (Puerto), escriba el puerto del tráfico entrante, normalmente 443.

        • En Protocol (Protocolo), elija HTTPS.

        • Para el SSLcertificado, elija su certificado.

      3. Elija Añadir.

      nota

      Para Classic Load Balancer y Application Load Balancer, si el menú desplegable no muestra ningún certificado, debes crear o cargar un certificado para tu nombre de dominio personalizado AWS Certificate Manager en ACM () (preferido). También puede cargar un certificado IAM junto con. AWS CLI

    • Network Load Balancer

      1. Elija Añadir oyente.

      2. En el cuadro de diálogo Network Load Balancer listener (Agente de escucha del Network Load Balancer), en Port (Puerto), escriba el puerto del tráfico entrante, normalmente 443.

      3. Elija Añadir.

  6. Para guardar los cambios, elija Aplicar en la parte inferior de la página.

Configuración de un agente de escucha seguro mediante un archivo de configuración

Puede configurar un agente de escucha seguro en el balanceador de carga con uno de estos archivos de configuración.

ejemplo .ebextensions/securelistener-clb.config

Utilice este ejemplo si su entorno tiene un Classic Load Balancer. En el ejemplo, se utilizan las opciones del aws:elb:listener espacio de nombres para configurar un agente de HTTPS escucha en el puerto 443 con el certificado especificado y para reenviar el tráfico descifrado a las instancias de su entorno en el puerto 80.

option_settings: aws:elb:listener:443: SSLCertificateId: arn:aws:acm:us-east-2:1234567890123:certificate/#################################### ListenerProtocol: HTTPS InstancePort: 80

Sustituya el texto resaltado por el de su certificadoARN. El certificado puede ser uno que haya creado o cargado en AWS Certificate Manager (ACM) (preferido), o uno que haya subido IAM junto con el AWS CLI.

Para obtener más información acerca de las opciones de configuración del Classic Load Balancer, consulte Espacios de nombres de la configuración del balanceador de carga clásico.

ejemplo .ebextensions/securelistener-alb.config

Utilice este ejemplo si su entorno tiene un Application Load Balancer. En el ejemplo, se utilizan las opciones del espacio de aws:elbv2:listener nombres para configurar un HTTPS listener en el puerto 443 con el certificado especificado. El agente de escucha dirige el tráfico al proceso predeterminado.

option_settings: aws:elbv2:listener:443: ListenerEnabled: 'true' Protocol: HTTPS SSLCertificateArns: arn:aws:acm:us-east-2:1234567890123:certificate/####################################
ejemplo .ebextensions/securelistener-nlb.config

Utilice este ejemplo si su entorno tiene un Network Load Balancer. El ejemplo utiliza opciones en el espacio de nombres aws:elbv2:listener para configurar un agente de escucha en el puerto 443. El agente de escucha dirige el tráfico al proceso predeterminado.

option_settings: aws:elbv2:listener:443: ListenerEnabled: 'true'

Configuración de un grupo de seguridad

Si configura el balanceador de carga para que reenvíe el tráfico a un puerto de la instancia que no sea el 80, debe agregar una regla al grupo de seguridad que permita el tráfico procedente del balanceador de carga en el puerto de la instancia. Si crea su entorno de forma personalizadaVPC, Elastic Beanstalk le añade esta regla.

Para incorporar esta regla, puede agregar una clave Resources a un archivo de configuración del directorio .ebextensions de la aplicación.

El siguiente archivo de configuración de ejemplo agrega una regla de entrada al grupo de seguridad AWSEBSecurityGroup. Esto permite el tráfico en el puerto 1000 procedente del grupo de seguridad del balanceador de carga.

ejemplo .ebextensions/sg-ingressfromlb.config
Resources: sslSecurityGroupIngress: Type: AWS::EC2::SecurityGroupIngress Properties: GroupId: {"Fn::GetAtt" : ["AWSEBSecurityGroup", "GroupId"]} IpProtocol: tcp ToPort: 1000 FromPort: 1000 SourceSecurityGroupId: {"Fn::GetAtt" : ["AWSEBLoadBalancerSecurityGroup", "GroupId"]}