Créer un Equilibreur de charge classique avec un auditeur HTTPS - Elastic Load Balancing

Si nous fournissons une traduction de la version anglaise du guide, la version anglaise du guide aura préséance en cas de contradiction. La traduction sera une traduction automatique.

Créer un Equilibreur de charge classique avec un auditeur HTTPS

Un équilibreur de charge prend les demandes des clients et les répartit sur les instances EC2 qui sont enregistrées auprès de l'équilibreur de charge.

Vous pouvez créer un équilibreur de charge qui écoute sur les ports HTTP (80) et HTTPS (443). Si vous spécifiez que l'écouteur HTTPS envoie des demandes aux instances sur le port 80, l'équilibreur de charge met fin aux demandes et à la communication depuis l'équilibreur de charge vers les instances n'est pas chiffrée. Si l'écouteur HTTPS envoie des demandes aux instances sur le port 443, la communication depuis l'équilibreur de charge vers les instances est chiffrée.

Si votre équilibreur de charge utilise une connexion chiffrée pour communiquer avec les instances, vous pouvez éventuellement activer l'authentification des instances. Cela garantit que l'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à la clé que vous avez spécifiée à équilibreur de charge à cet effet.

Pour plus d'informations sur l'ajout d'écouteurs HTTPS à un équilibreur de charge existant, consultez Configurer un auditeur HTTPS pour votre Equilibreur de charge classique.

Prerequisites

Avant de commencer, vérifiez que vous avez répondu aux exigences suivantes :

  • Suivre les étapes de Préparez vos instances VPC et EC2.

  • Lancez les instances EC2 que vous avez l'intention d'enregistrer auprès de votre équilibreur de charge. Les groupes de sécurité pour ces instances doivent autoriser le trafic à partir de l'équilibreur de charge.

  • Les instances EC2 doivent répondre à la cible de la vérification de l'état avec un code d'état HTTP 200. Pour plus d'informations, consultez Configurer les bilans de santé pour votre Equilibreur de charge classique.

  • Si vous avez l'intention d'activer l'option keep-alive sur vos instances EC2, nous vous recommandons de définir les paramètres keep-alive au moins sur les valeurs de délai d'inactivité de votre équilibreur de charge. Si vous voulez vous assurer que l'équilibreur de charge est responsable de la fermeture des connexions à votre instance, vérifiez que la valeur définie sur votre instance pour le délai keep-alive est supérieure à celle du paramètre de délai d'inactivité sur votre équilibreur de charge. Pour plus d'informations, consultez Configurez le délai de connexion au ralenti pour votre Equilibreur de charge classique.

  • Si vous créez un écouteur sécurisé, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances. Si vous n'avez pas de certificat SSL, vous pouvez créer en. Pour plus d'informations, consultez Certificats SSL/TLS pour Equilibreurs de charge classiques.

Créer un répartiteur de charge HTTPS/SSL à l’aide de la console

Pour créer un équilibreur de charge HTTPS/SSL, effectuez les tâches suivantes.

Étape 1. Définir votre équilibreur de charge

Tout d'abord, fournissez des informations de configuration de base pour votre équilibreur de charge comme un nom, un réseau et un ou plusieurs écouteurs.

A auditeur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'écouteur pris en charge par Elastic Load Balancing, consultez Écouteurs pour votre Equilibreur de charge classique.

Dans cet exemple, vous configurez deux écouteurs pour votre équilibreur de charge. Le premier écouteur accepte les demandes HTTP sur le port 80 et les envoie aux instances sur le port 80 à l'aide de HTTP. Le deuxième écouteur accepte les demandes HTTPS sur le port 443 et les envoie aux instances à l'aide de HTTP sur le port 80 (ou à l'aide de HTTPS sur le port 443 si vous souhaitez configurer l'authentification d'instance principale).

Pour définir votre équilibreur de charge

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous LOAD BALANCING, choisissez Load Balancers.

  3. Choisir Créer un répartiteur de charge.

  4. Pour Sélectionner le type d’équilibreur de charge, choisissez Equilibreur de charge classique.

  5. Dans Nom de l'équilibreur de charge, tapez un nom pour votre équilibreur de charge.

    Le nom de votre Equilibreur de charge classique doit être unique dans l'ensemble de vos Equilibreur de charge classiques de la région, ne peut pas contenir plus de 32 caractères, ne peut comporter que des caractères alphanumériques et des traits d'union et ne doit pas commencer ou se terminer par un trait d'union.

  6. Dans Créer un équilibreur dans, sélectionnez le réseau que vous avez sélectionné pour vos instances : EC2-Classic ou un VPC spécifique.

  7. [VPC par défaut] Si vous avez sélectionné un VPC par défaut et que vous souhaitez choisir les sous-réseaux pour votre équilibreur de charge, sélectionnez Activer la configuration de VPC avancée.

  8. Pour Configuration de l’auditeur, laissez l’auditeur par défaut et choisissez Ajouter pour ajouter un autre auditeur. Pour Protocole de répartiteur de charge pour le nouvel auditeur, sélectionnez HTTPS (HTTP sécurisée). Ces mises à jour Port de répartiteur de charge, Protocole d’instance, et Port d’instance.

    Par défaut, Protocole d’instance est HTTP et Port d’instance est de 80.

    
				                    Définir un équilibreur de charge avec un écouteur HTTPS

    Si vous souhaitez configurer l’authentification d’instance back-end (plus tard, dans Étape 3 Configurez les paramètres de sécurité.), modifiez le protocole d’instance à HTTPS (HTTP sécurisée). Cela met également à jour Port d’instance.

    
				                Définir un équilibreur de charge avec un écouteur HTTPS pour l'authentification d'instance principale
  9. [EC2-VPC] pour Sous-réseaux disponibles, sélectionnez au moins un sous-réseau disponible en utilisant son icône Ajouter. Les sous-réseaux sont déplacés sous Sous-réseaux sélectionnés. Afin d'améliorer la disponibilité de votre équilibreur de charge, sélectionnez des sous-réseaux dans plusieurs zones de disponibilité.

    Note

    Si vous avez sélectionné EC2-Classic comme réseau, ou si vous avez un VPC par défaut, mais n’avez pas sélectionné Activer la configuration VPC avancée, vous ne voyez pas l’interface utilisateur pour sélectionner des sous-réseaux.

    Vous pouvez ajouter au plus un seul sous-réseau par zone de disponibilité. Si vous sélectionnez un deuxième sous-réseau depuis une zone de disponibilité où il existe déjà un sous-réseau sélectionné, ce sous-réseau remplace le sous-réseau sélectionné pour cette zone de disponibilité.

    
				                    Sélectionner des sous-réseaux (subnets)
  10. Choisir Suivant : Attribuer les groupes de sécurité.

Étape 2. Attribuez des groupes de sécurité à votre répartiteur de charge dans un VPC

Si vous avez sélectionné un VPC comme réseau, vous devez affecter à votre équilibreur de charge un groupe de sécurité qui autorise le trafic entrant sur les ports que vous avez spécifiés pour cet équilibreur de charge et les vérifications de l'état pour cet équilibreur de charge.

Note

Si vous avez sélectionné EC2-Classic comme réseau, vous pouvez passer à l'étape suivante. Par défaut, Elastic Load Balancing fournit un groupe de sécurité pour les équilibreurs de charge dans EC2-Classic.

Pour attribuer un groupe de sécurité à votre équilibreur de charge

  1. Sur le Attribuer des groupes de sécurité page, sélectionner Créer un nouveau groupe de sécurité.

  2. Tapez un nom et une description pour votre groupe de sécurité, ou laissez le nom et la description par défaut. Ce nouveau groupe de sécurité contient une règle qui autorise le trafic vers les ports que vous avez configurés pour être utilisés par votre équilibreur de charge.

    
		                            Sélectionner des groupes de sécurité
  3. Choisir Suivant : Configurer les paramètres de sécurité.

Étape 3 Configurez les paramètres de sécurité.

Lorsque vous utilisez HTTPS ou SSL pour votre écouteur frontal, vous devez déployer un certificat SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes des clients avant de les envoyer aux instances.

Vous devez également spécifier une stratégie de sécurité. Elastic Load Balancing fournit des stratégies de sécurité qui ont des configurations de négociation SSL prédéfinies, mais vous pouvez également créer votre propre stratégie de sécurité personnalisée.

Si vous avez configuré HTTPS/SSL sur la connexion principale, vous pouvez activer l'authentification de vos instances.

Pour configurer les paramètres de sécurité

  1. Pour Sélectionner un certificat, effectuez l’une des opérations suivantes :

    • Si vous avez créé ou importé un certificat en utilisant AWS Certificate Manager, sélectionnez Choisir un certificat existant auprès du gestionnaire de certificats AWS (ACM), puis sélectionnez le certificat de Certificat.

    • Si vous avez importé un certificat en utilisant IAM, sélectionnez Choisir un certificat existant de la part de AWS Identity and Access Management (IAM), puis sélectionnez votre certificat de Certificat.

    • Si vous avez un certificat à importer, ACM n’est pas disponible dans votre région, sélectionnez Télécharger un nouveau certificat SSL à AWS Identity and Access Management (IAM). Tapez le nom du certificat. Dans Clé privée, copiez et collez le contenu du fichier de clé privée (encodé PEM). Dans Certificat clé publique, copiez et collez le contenu du fichier de certificat de clé publique (encodé PEM). Dans Chaîne de certificats, copiez et collez le contenu du fichier de chaîne de certificats (encodé PEM), sauf si vous utilisez un certificat auto-signé et qu’il n’est pas important que les navigateurs acceptent implicitement le certificat.

  2. Pour Sélectionnez un cipher, vérifiez que Politique de sécurité prédéfinie est sélectionné et réglé sur ELBSecurityPolicy-2016-08. Nous vous recommandons de toujours utiliser la stratégie de sécurité prédéfinie la plus récente. Si vous devez utiliser une politique de sécurité prédéfinie différente ou créer une stratégie personnalisée, consultez Mettre à jour la configuration de négociation SSL.

  3. (Facultatif) Si vous avez configuré l'écouteur HTTPS pour communiquer avec des instances à l'aide d'une connexion chiffrée, vous pouvez éventuellement configurer l'authentification des instances.

    1. Pour Certificat de retour arrière, sélectionnez Activer l’authentification back-end.

      Note

      Si vous ne voyez pas Certificat de retour arrière , revenez à Configuration de l’auditeur et sélectionnez HTTPS (HTTP sécurisée) pour Protocole d’instance.

    2. Pour Nom du certificat, tapez le nom du certificat de clé publique.

    3. Pour Corps du certificat (encodé), copiez et collez le contenu du certificat. L'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à cette clé.

    4. Pour ajouter un autre certificat, choisissez Ajouter un autre certificat de backend.

    
				                    Activer l'authentification backend
  4. Choisir Suivant : Configurer la vérification de l'état.

Étape 4. Configurer les vérifications de l'état

Elastic Load Balancing vérifie automatiquement l'état de santé des instances EC2 enregistrées pour votre équilibreur de charge. Si Elastic Load Balancing trouve une instance défectueuse, il arrête de lui envoyer du trafic et redirige le trafic vers les instances saines. Pour plus d'informations sur la configuration de vérifications de l'état, consultez Configurer les bilans de santé pour votre Equilibreur de charge classique.

Pour configurer des vérifications de l'état pour vos instances

  1. Sur le Configurer le bilan de santé , sélectionnez un protocole ping et un ping port. Vos instances EC2 doivent accepter le trafic indiqué sur le port de ping spécifié.

  2. Pour Chemin Ping, remplacez la valeur par défaut par une barre oblique avant unique ("/"). Cela demande à Elastic Load Balancing d'envoyer les demandes de vérification de l'état à la page d'accueil par défaut pour votre serveur web, par exemple, index.html.

    
				                    Configurer la vérification de l'état
  3. Conservez les valeurs par défaut pour les autres paramètres.

  4. Choisir Suivant : Ajouter des instances EC2.

Étape 5 : Enregistrer les instances EC2 avec votre répartiteur de charge

Votre équilibreur de charge répartit le trafic entre les instances qui sont enregistrées auprès de celui-ci. Vous pouvez sélectionner les instances EC2 dans une seule zone de disponibilité ou plusieurs zones de disponibilité dans la même région que l’équilibreur de charge. Pour plus d'informations, consultez Instances enregistrées pour votre Equilibreur de charge classique.

Note

Lorsque vous enregistrez une instance avec une interface réseau Elastic (ENI) attachée, l'équilibreur de charge achemine le trafic vers l'adresse IP principale de l'interface principale (eth0) de l'instance.

Pour enregistrer des Instances EC2 auprès de votre équilibreur de charge

  1. Sur le Ajouter des instances EC2 , sélectionnez les instances à enregistrer avec votre répartiteur de charge.

  2. Laissez les options d'équilibrage de charge entre zones et de drainage de la connexion activées.

  3. Choisir Suivant : Ajoutez des balises.

Étape 6 : Étiquetez votre répartiteur de charge (facultatif)

Vous pouvez baliser votre équilibreur de charge ou passer à l'étape suivante.

Pour ajouter des balises à votre équilibreur de charge

  1. Sur le Ajouter des balises page, spécifiez une clé et une valeur pour l’étiquette.

  2. Pour ajouter une autre balise, choisissez Créer une balise et spécifiez une clé et une valeur pour l’étiquette.

  3. Une fois que vous avez fini d’ajouter des étiquettes, choisissez Réviser et créer.

Étape 7. Créer et vérifier votre répartiteur de charge

Avant de créer l'équilibreur de charge, vérifiez les paramètres que vous avez sélectionnés. Une fois l'équilibreur de charge créé, vous pouvez vérifier qu'il envoie le trafic vers vos instances EC2.

Pour créer et tester votre équilibreur de charge

  1. Sur le Examen page, vérifiez vos paramètres. Si vous devez apporter des modifications, choisissez le lien correspondant pour modifier les paramètres.

  2. Choisir Créer.

  3. Après avoir été informé que votre équilibreur de charge a été créé, choisissez Fermer.

  4. Sélectionnez votre nouvel équilibreur de charge.

  5. Sur le Description , vérifiez le Statut ligne. Si elle indique que certaines de vos instances ne sont pas en service, c'est probablement parce qu'elles sont encore dans le processus d'enregistrement. Pour plus d'informations, consultez Dépanner un Equilibreur de charge classique: Enregistrement des instances.

  6. (Facultatif) Une fois qu'au moins l'une de vos instances EC2 est en service, vous pouvez tester votre équilibreur de charge. Copier la chaîne de Nom DNS (par exemple, my-load-balancer-1234567890.us-west-2.elb.amazonaws.com) et collez-la dans le champ Adresse d’un navigateur Internet connecté à Internet. Si votre équilibreur de charge fonctionne, vous voyez la page par défaut de votre serveur.

Étape 8. Supprimer votre répartiteur de charge (facultatif)

Dès que votre équilibreur de charge est disponible, vous êtes facturé pour chaque heure ou heure partielle pendant laquelle vous le laissez tourner. Lorsque vous n'avez plus besoin d'un équilibreur de charge, vous pouvez le supprimer. Dès que l'équilibreur de charge est supprimé, vous cessez d'être facturé pour celui-ci.

Pour supprimer l'équilibreur de charge

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sous LOAD BALANCING, choisissez Load Balancers.

  3. Sélectionnez l'équilibreur de charge.

  4. Choisir Actions, Supprimer.

  5. Lorsque vous êtes invité à confirmer, choisissez Oui, Supprimer.

  6. (Facultatif) Quand vous supprimez un équilibreur de charge, les instances EC2 qui lui sont associées continuent de s'exécuter et vous êtes facturé pour chaque heure ou heure partielle pendant laquelle vous les laissez tourner. Pour plus d’informations sur l’arrêt ou la fin de vos instances, voir Arrêtez et commencez votre instance ou Terminer votre instance dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Créer un répartiteur de charge HTTPS/SSL à l’aide du AWS CLI

Utilisez les instructions suivantes pour créer un équilibreur de charge à l'aide de l'interface AWS CLI.

Étape 1. Configurer les auditeurs

A auditeur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'écouteur pris en charge par Elastic Load Balancing, consultez Écouteurs pour votre Equilibreur de charge classique.

Dans cet exemple, vous configurez deux écouteurs pour votre équilibreur de charge en spécifiant les ports et les protocoles à utiliser pour les connexions frontales et principales. Le premier écouteur accepte les demandes HTTP sur le port 80 et les envoie aux instances sur le port 80 à l'aide de HTTP. Le deuxième écouteur accepte les demandes HTTPS sur le port 443 et les envoie aux instances à l'aide de HTTP sur le port 80.

Comme le deuxième écouteur utilise HTTPS pour la connexion frontale, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances.

Pour configurer des écouteurs pour votre équilibreur de charge

  1. Obtenez l'Amazon Resource Name (ARN) du certificat SSL. Par exemple,

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate
  2. Utiliser les éléments suivants créer-répartiteur-de-charge commande pour configurer l’équilibreur de charge avec les deux auditeurs :

    aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=http,LoadBalancerPort=80,InstanceProtocol=http,InstancePort=80" "Protocol=https,LoadBalancerPort=443,InstanceProtocol=http,InstancePort=80,SSLCertificateId="ARN" --availability-zones us-west-2a

    Voici un exemple de réponse  :

    { "DNSName": "my-loadbalancer-012345678.us-west-2.elb.amazonaws.com" }
  3. (Facultatif) Utilisez les éléments suivants décrire-charges-équilibreuses commande pour afficher les détails de votre équilibreur de charge :

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

Étape 2. Configurer la politique de sécurité SSL

Vous pouvez sélectionner l'une des stratégies de sécurité prédéfinies, ou créer votre propre stratégie de sécurité personnalisée. Sinon, Elastic Load Balancing configure votre équilibreur de charge avec la politique de sécurité prédéfinie par défaut, ELBSecurityPolicy-2016-08. Nous vous recommandons d’utiliser la politique de sécurité par défaut. Pour plus d'informations sur les stratégies de sécurité, consultez Configurations de négociation SSL pour Equilibreurs de charge classiques.

Pour vérifier que votre équilibreur de charge est associé à la stratégie de sécurité par défaut

Utiliser les éléments suivants décrire-charges-équilibreuses commande :

aws elb describe-load-balancers --load-balancer-name my-loadbalancer

Voici un exemple de réponse  : Notez que la stratégie ELBSecurityPolicy-2016-08 est associée à l'équilibreur de charge sur le port 443.

{ "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }

Si vous préférez, vous pouvez configurer la stratégie de sécurité SSL pour votre équilibreur de charge au lieu d'utiliser la stratégie de sécurité par défaut.

(Facultatif) pour utiliser une politique de sécurité SSL prédéfinie

  1. Utiliser les éléments suivants décrire-load-balancer-policies commande pour répertorier les noms des politiques de sécurité prédéfinies :

    aws elb describe-load-balancer-policies

    Pour plus d'informations sur la configuration des stratégies de sécurité prédéfinies, consultez Politiques de sécurité SSL prédéfinies.

  2. Utiliser les éléments suivants politique-de-création-d-équilibrage-de-charge commande pour créer une politique de négociation SSL en utilisant l’une des politiques de sécurité prédéfinies que vous avez décrites à l’étape précédente :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=predefined-policy
  3. (Facultatif) Utilisez les éléments suivants décrire-load-balancer-policies pour vérifier que la stratégie est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  4. Utiliser les éléments suivants règles-de-l-auditeur-de-charge-de-jeu-de-configuration commande pour activer la stratégie sur le port 443 de l’équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  5. (Facultatif) Utilisez les éléments suivants décrire-charges-équilibreuses pour vérifier que la stratégie est activée :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Voici un exemple de réponse montrant que la stratégie est activée sur le port 443.

    { "LoadBalancerDescriptions": [ { .... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }

Lorsque vous créez une stratégie de sécurité personnalisée, vous devez activer au moins un protocole et un chiffrement. Les chiffrements DSA et RSA sont spécifiques à l'algorithme de signature et sont utilisés pour créer le certificat SSL. Si vous avez déjà votre certificat SSL, veillez à activer le chiffrement qui a été utilisé pour créer ce certificat. Le nom de votre politique personnalisée ne doit pas commencer par ELBSecurityPolicy- ou ELBSample-, car ces préfixes sont réservés aux noms des politiques de sécurité prédéfinies.

(Facultatif) pour utiliser une politique de sécurité SSL personnalisée

  1. Utilisez le politique-de-création-d-équilibrage-de-charge commande pour créer une politique de négociation SSL en utilisant une politique de sécurité personnalisée. Par exemple,

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=true
  2. (Facultatif) Utilisez les éléments suivants décrire-load-balancer-policies pour vérifier que la stratégie est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  3. Utiliser les éléments suivants règles-de-l-auditeur-de-charge-de-jeu-de-configuration commande pour activer la stratégie sur le port 443 de l’équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  4. (Facultatif) Utilisez les éléments suivants décrire-charges-équilibreuses pour vérifier que la stratégie est activée :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Voici un exemple de réponse montrant que la stratégie est activée sur le port 443.

    { "LoadBalancerDescriptions": [ { .... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }

Étape 3 Configurer l’authentification de l’instance back-end (facultatif)

Si vous configurez HTTPS/SSL sur la connexion principale, vous pouvez éventuellement configurer l'authentification de vos instances.

Lorsque vous configurez l'authentification d'instance principale, vous créez une stratégie de clé publique. Ensuite, vous utilisez cette stratégie de clé publique pour créer une stratégie d'authentification d'instance principale. Enfin, vous définissez la stratégie d'authentification d'instance principale avec le port de l'instance pour le protocole HTTPS.

L'équilibreur de charge communique avec une instance uniquement si la clé publique que l'instance présente à l'équilibreur de charge correspond à une clé publique de la stratégie d'authentification pour votre équilibreur de charge.

Pour configurer l'authentification d'instance principale

  1. Utilisez la commande suivante pour extraire la clé publique :

    openssl x509 -in your X509 certificate PublicKey -pubkey -noout
  2. Utiliser les éléments suivants politique-de-création-d-équilibrage-de-charge commande pour créer une politique clé publique :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-PublicKey-policy \ --policy-type-name PublicKeyPolicyType --policy-attributes AttributeName=PublicKey,AttributeValue=MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEXAMPLE=
    Note

    Pour spécifier une valeur de clé publique pour --policy-attributes, retirez les premières et dernières lignes de la touche publique (la ligne contenant "-----BEGIN PUBLIC KEY-----" et la ligne contenant "-----END PUBLIC KEY-----"). L'interface AWS CLI n'accepte pas les caractères espace dans --policy-attributes.

  3. Utiliser les éléments suivants politique-de-création-d-équilibrage-de-charge commande pour créer une politique d’authentification d’instance back-end à l’aide de my-PublicKey-policy.

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-authentication-policy --policy-type-name BackendServerAuthenticationPolicyType --policy-attributes AttributeName=PublicKeyPolicyName,AttributeValue=my-PublicKey-policy

    Vous pouvez éventuellement utiliser plusieurs stratégies de clé publique. L'équilibreur de charge essaie toutes les clés, une par une. Si la clé publique présentée par une instance correspond à l'une de ces clés publiques, l'instance est authentifiée.

  4. Utiliser les éléments suivants règles-d’équilibrage-de-charge-de-jeu-pour-serveur-backend commande à définir my-authentication-policy au port d’instance pour HTTPS. Dans cet exemple, le port d'instance est le port 443.

    aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 443 --policy-names my-authentication-policy
  5. (Facultatif) Utilisez les éléments suivants décrire-load-balancer-policies commande pour répertorier toutes les politiques de votre répartiteur de charge :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer
  6. (Facultatif) Utilisez les éléments suivants décrire-load-balancer-policies commande pour afficher les détails de la politique :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-names my-authentication-policy

Étape 4. Configurer les contrôles de santé (facultatif)

Elastic Load Balancing vérifie régulièrement l'état de santé de chaque instance EC2 enregistrée en fonction des vérifications de l'état que vous avez configurées. Si Elastic Load Balancing trouve une instance défectueuse, il arrête de lui envoyer du trafic et achemine le trafic vers les instances saines. Pour plus d'informations, consultez Configurer les bilans de santé pour votre Equilibreur de charge classique.

Lorsque vous créez votre équilibreur de charge, Elastic Load Balancing utilise les paramètres par défaut pour les vérifications de l'état. Si vous préférez, vous pouvez modifier la configuration de vérification de l'état de votre équilibreur de charge au lieu d'utiliser les paramètres par défaut.

Pour configurer les vérifications de l'état pour vos instances

Utiliser les éléments suivants configurer-health-check commande :

aws elb configure-health-check --load-balancer-name my-loadbalancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3

Voici un exemple de réponse  :

{ "HealthCheck": { "HealthyThreshold": 2, "Interval": 30, "Target": "HTTP:80/ping", "Timeout": 3, "UnhealthyThreshold": 2 } }

Étape 5 : Enregistrer les instances EC2

Une fois que vous avez créé votre équilibreur de charge, vous devez enregistrez vos instances EC2 après de celui-ci. Vous pouvez sélectionner les instances EC2 à partir d’une seule zone de disponibilité ou de plusieurs zones de disponibilité dans la même région que l’équilibreur de charge. Pour plus d'informations, consultez Instances enregistrées pour votre Equilibreur de charge classique.

Utilisez le instances-de-registre-avec-équilibreur-de-charge commande comme suit :

aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Voici un exemple de réponse  :

{ "Instances": [ { "InstanceId": "i-4f8cf126" }, { "InstanceId": "i-0bb7ca62" } ] }

Étape 6 : Vérifier les instances

Votre répartiteur de charge est utilisable dès que l’une de vos instances enregistrées est dans le InService état.

Pour vérifier l’état de vos instances EC2 nouvellement enregistrées, utilisez les éléments suivants décrire-instance-santé commande :

aws elb describe-instance-health --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Voici un exemple de réponse  :

{ "InstanceStates": [ { "InstanceId": "i-4f8cf126", "ReasonCode": "N/A", "State": "InService", "Description": "N/A" }, { "InstanceId": "i-0bb7ca62", "ReasonCode": "Instance", "State": "OutOfService", "Description": "Instance registration is still in progress" } ] }

Si le State pour une instance est OutOfService, c’est probablement parce que vos instances continuent de s’inscrire. Pour plus d'informations, consultez Dépanner un Equilibreur de charge classique: Enregistrement des instances.

Une fois que l'état d'au moins une de vos instances est InService, vous pouvez tester votre équilibreur de charge. Pour tester votre équilibreur de charge, copiez le nom DNS de l’équilibreur de charge et collez-le dans le champ Adresse d’un navigateur Internet connecté à Internet. Si votre équilibreur de charge fonctionne, vous voyez la page par défaut de votre serveur HTTP.

Étape 7. Supprimer votre répartiteur de charge (facultatif)

La suppression d'un l'équilibreur de charge annule automatiquement l'enregistrement de ses instances EC2 associées. Dès que l'équilibreur de charge est supprimé, vous cessez d'être facturé pour cet équilibreur de charge. Toutefois, les instances EC2 continuent de s'exécuter et vous continuez à payer de frais.

Pour supprimer votre répartiteur de charge, utilisez les éléments suivants supprimer-load-balancer commande :

aws elb delete-load-balancer --load-balancer-name my-loadbalancer

Pour arrêter vos instances EC2, utilisez cas-stop commande. Pour mettre fin à vos instances EC2, utilisez le terminer-instances commande.