Créer un sous-réseau pour le deuxième serveur web Création du deuxième serveur web Créer l'équilibreur de charge

Ajouter un équilibreur de charge avec Elastic Load Balancing (facultatif)

Une fois que vous avez configuré le déchargement SSL/TLS avec un serveur web, vous pouvez créer d'autres serveurs web et un équilibreur de charge Elastic Load Balancing qui achemine le trafic HTTPS vers les serveurs web. Un équilibreur de charge peut réduire la charge sur vos serveurs web individuels en équilibrant le trafic entre deux serveurs ou plus. Il peut également augmenter la disponibilité de votre site web, car l'équilibreur de charge surveille l'état de vos serveurs web et achemine uniquement le trafic vers les serveurs sains. Si un serveur web échoue, l'équilibreur de charge arrête automatiquement l'acheminement du trafic vers le serveur.

Rubriques

Créer un sous-réseau pour le deuxième serveur web
Création du deuxième serveur web
Créer l'équilibreur de charge

Créer un sous-réseau pour le deuxième serveur web

Avant de créer un autre serveur Web, vous devez créer un nouveau sous-réseau dans le même VPC qui contient votre serveur AWS CloudHSM Web et votre cluster existants.

Pour créer un sous-réseau

Ouvrez la section Sous-réseaux de la console Amazon VPC.
Choisissez Create Subnet.
Dans la boîte de dialogue Créer le sous-réseau (subnet), procédez comme suit :
1. Pour Balise Nom, saisissez un nom pour votre sous-réseau.
2. Pour le VPC, choisissez le AWS CloudHSM VPC qui contient votre serveur Web et votre cluster existants. AWS CloudHSM
3. Pour Zone de disponibilité, choisissez une zone de disponibilité différente de celle qui contient votre serveur web existant.
4. Pour Bloc d'adresse CIDR IPv4, tapez le bloc d'adresse CIDR à utiliser pour le sous-réseau. Par exemple, saisissez 10.0.10.0/24.
5. Choisissez Yes, Create.
Cochez la case située en regard du sous-réseau public qui contient votre serveur web existant. Ce sous-réseau est différent du sous-réseau public que vous avez créé à l'étape précédente.
Dans le volet de contenu, sélectionnez l'onglet Table de routage. Ensuite, cliquez sur le lien de la table de routage.
Cochez la case en regard de la table de routage.
Sélectionnez l'onglet Associations de sous-réseau. Puis, choisissez Modifier.
Cochez la case située en regard du sous-réseau public que vous avez créé précédemment dans cette procédure. Ensuite, choisissez Save (Enregistrer).

Création du deuxième serveur web

Effectuez les étapes suivantes pour créer un deuxième serveur web avec la même configuration que votre serveur web existant.

Pour créer un deuxième serveur web

Ouvrez la section Instances de la console Amazon EC2.
Cochez la case située en regard de votre instance existante de serveur web.
Sélectionnez Actions, Image, puis Créer une image.
Dans la boîte de dialogue Créer une image, procédez comme suit :
1. Dans Nom de l'image, tapez un nom pour l'image.
2. Pour Description de l'image, tapez une description pour l'image.
3. Choisissez Créer une image. Cette action redémarre votre serveur web existant.
4. Sélectionnez le lien Afficher l'ami-ID AMI> de l'image en attente.
  
  Dans la colonne Statut, notez le statut de votre image. Lorsque votre image a pour statut available (cela peut prendre plusieurs minutes), passez à l'étape suivante.
Dans le panneau de navigation, sélectionnez Instances.
Cochez la case située en regard de votre serveur web existant.
Choisissez Actions, puis En lancer plus comme ceci.
Choisissez Modifier l'AMI.
Dans le volet de navigation gauche, choisissez Mes AMI. Ensuite, effacez le texte dans la zone de recherche.
À côté de l'image de votre serveur web, choisissez Sélectionner.
Choisissez Oui, je veux continuer avec cette AMI (<image name> - ami-<AMI ID>).
Choisissez Suivant.
Sélectionnez un type d'instance, puis choisissez Suivant : Configurer les détails de l'instance.
Pour Etape 3 : Configurer les détails de l'instance, procédez comme suit :
1. Pour Réseau, choisissez le VPC qui contient votre serveur web existant.
2. Pour Sous-réseau, choisissez le sous-réseau public que vous avez créé pour le deuxième serveur web.
3. Pour Attribuer automatiquement l'adresse IP publique, choisissez Activer.
4. Modifiez les autres options des détails de l'instance comme vous le souhaitez. Puis choisissez Suivant : Ajouter le stockage.
Modifiez les paramètres de stockage comme souhaité. Choisissez ensuite Suivant : Ajouter des balises.
Ajoutez ou modifiez les balises comme souhaité. Choisissez ensuite Suivant : Configurer le groupe de sécurité.
Pour Etape 6 : Configurer le groupe de sécurité, procédez comme suit :
1. Pour Attribuer un groupe de sécurité, choisissez Select an existing security group (Sélectionner un groupe de sécurité existant).
2. Cochez la case à côté du groupe de sécurité nommé cloudhsm-<cluster ID>-sg. AWS CloudHSM a créé ce groupe de sécurité en votre nom lorsque vous avez créé le cluster. Vous devez choisir ce groupe de sécurité pour autoriser l'instance de serveur web à se connecter aux modules HSM du cluster.
3. Cochez la case en regard du groupe de sécurité qui autorise le trafic HTTPS entrant. Vous avez créé ce groupe de sécurité précédemment.
4. (Facultatif) Activez la case à cocher en regard d'un groupe de sécurité qui autorise le trafic SSH entrant (pour Linux) ou RDP (pour Windows) depuis votre réseau. En d'autres termes, le groupe de sécurité doit autoriser le trafic TCP entrant sur le port 22 (pour SSH sous Linux) ou le port 3389 (pour RDP sous Windows). Sinon, vous ne pouvez pas vous connecter à votre instance client. Si vous n'avez pas de groupe de sécurité de ce type, vous devez en créer un, puis l'attribuer ultérieurement à votre instance client.
Choisissez Review and Launch.
Vérifiez les détails de votre instance, puis choisissez Lancement.
Choisissez si vous souhaitez démarrer votre instance avec une paire de clés existante, créer une paire de clés ou lancer votre instance sans paire de clés.
- Pour utiliser une paire de clés existante, procédez comme suit :
  1. Choisissez Choisir une paire de clés existante.
  2. Pour Sélectionner une paire de clés, choisissez la paire de clés à utiliser.
  3. Activez la case à cocher en regard de Je reconnais que j'ai accès au fichier de clé privée sélectionné (pem <private key file name>), et que, sans ce fichier, je ne suis pas capable de me connecter à mon instance.
- Pour créer une paire de clés, procédez comme suit :
  1. Choisissez Créer une nouvelle paire de clés.
  2. Pour Nom de la paire de clés, saisissez un nom de paire de clés.
  3. Choisissez Télécharger une paire de clés et enregistrer le fichier de clé privée dans un endroit sûr et accessible.
    
    Avertissement
    Vous ne pouvez pas télécharger une nouvelle fois le fichier de clé privée après ce stade. Si vous ne téléchargez pas le fichier de clé privée maintenant, vous ne pourrez pas accéder à l'instance client.
- Pour démarrer votre instance sans une paire de clés, effectuez les opérations suivantes :
  1. Choisissez Continuer sans paire de clés.
  2. Cochez la case en regard de Je reconnais ne pas être en mesure de me connecter à cette instance si je ne connais pas déjà le mot de passe intégré à cette AMI.
Choisissez Launch Instances (Démarrer les instances).

Créer l'équilibreur de charge

Effectuez les étapes suivantes pour créer un équilibreur de charge Elastic Load Balancing qui achemine le trafic HTTPS vers vos serveurs web.

Pour créer un équilibreur de charge

Ouvrez la page des équilibreurs de charge de la console Amazon EC2.
Sélectionnez Create Load Balancer (Créer un équilibreur de charge).
Dans la section Équilibreur de charge du réseau, choisissez Créer.
Pour Étape 1 : Configurer l'équilibreur de charge, procédez comme suit :
1. Pour Nom, entrez un nom pour l'équilibreur de charge que vous créez.
2. Dans la section Écouteurs, pour Port de l'équilibreur de charge, modifiez la valeur en 443.
3. Dans la section Zones de disponibilité, pour VPC, choisissez le VPC qui contient vos serveurs web.
4. Dans la section Zones de disponibilité, choisissez les sous-réseaux qui contiennent vos serveurs web.
5. Choisissez Next: Configure Routing (Suivant :Configurer le routage).
Pour Étape 2 : Configurer le routage, procédez comme suit :
1. Pour Nom, entrez le nom du groupe cible que vous créez.
2. Pour Port, modifiez la valeur en 443.
3. Choisissez Next: Register Targets (Suivant : Enregistrer des cibles).
Pour Étape 3 : Enregistrer les cibles, procédez comme suit :
1. Dans la section Instances, cochez les cases en regard de vos instances de serveur web. Ensuite, choisissez Ajouter au membre.
2. Choisissez Suivant : vérification.
Passez en revue les détails de votre équilibreur de charge, puis cliquez sur Créer.
Lorsque l'équilibreur de charge a été créé avec succès, cliquez sur Fermer.

Une fois que vous avez terminé les étapes précédentes, la console Amazon EC2 affiche votre équilibreur de charge Elastic Load Balancing.

Lorsque l'état de votre équilibreur de charge est actif, vous pouvez vérifier que l'équilibreur de charge fonctionne. Autrement dit, vous pouvez vérifier qu'il envoie le trafic HTTPS à vos serveurs Web avec déchargement SSL/TLS avec AWS CloudHSM. Vous pouvez pour cela utiliser un navigateur web ou un outil tel qu'OpenSSL s_client.

Pour vérifier que votre équilibreur de charge fonctionne avec un navigateur web

Dans la console Amazon EC2, trouvez le nom DNS de l'équilibreur de charge que vous venez de créer. Puis, sélectionnez le nom DNS et copiez-le.
Utilisez un navigateur web tel que Mozilla Firefox ou Google Chrome pour vous connecter à votre équilibreur de charge en utilisant son nom DNS. Assurez-vous que l'URL dans la barre d'adresse commence par https://.

Astuce
Vous pouvez utiliser un service DNS tel que Amazon Route 53 pour router le nom de domaine de votre site web (par exemple, https://www.exemple.com/) vers votre serveur web. Pour plus d'informations, consultez Routage du trafic vers une instance Amazon EC2 dans le Guide du Développeur Amazon Route 53 ou dans la documentation de votre service DNS.
Utilisez votre navigateur web pour afficher le certificat de serveur web. Pour plus d’informations, consultez les ressources suivantes :
- Pour Mozilla Firefox, consultez View a Certificate sur le site web de support Mozilla.
- Pour Google Chrome, consultez Understand Security Issues sur les Outils Google pour site web des développeurs Google.
D'autres navigateurs web peuvent avoir des fonctions similaires que vous pouvez utiliser pour afficher le certificat de serveur web.
Assurez-vous que le certificat est celui que vous avez configuré le serveur web à utiliser.

Pour vérifier que votre équilibreur de charge fonctionne avec OpenSSL s_client

Utilisez la commande OpenSSL suivante pour vous connecter à votre équilibreur de charge en utilisant le protocole HTTPS. Remplacez DNS name> par le nom DNS de votre équilibreur de charge.
```
openssl s_client -connect <DNS name>:443
```
Astuce
Vous pouvez utiliser un service DNS tel que Amazon Route 53 pour router le nom de domaine de votre site web (par exemple, https://www.exemple.com/) vers votre serveur web. Pour plus d'informations, consultez Routage du trafic vers une instance Amazon EC2 dans le Guide du Développeur Amazon Route 53 ou dans la documentation de votre service DNS.
Assurez-vous que le certificat est celui que vous avez configuré le serveur web à utiliser.

Vous disposez désormais d'un site Web sécurisé par HTTPS, la clé privée du serveur Web étant stockée dans un HSM de votre AWS CloudHSM cluster. Votre site web dispose de deux serveurs web et d'un équilibreur de charge afin d'améliorer l'efficacité et la disponibilité.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

4 : Vérifier

CA Windows Server