Elastic Load Balancing
Equilibreurs de charge classiques

Création d'un Classic Load Balancer avec un écouteur HTTPS

Un équilibreur de charge prend les demandes des clients et les répartit sur les instances EC2 qui sont enregistrées auprès de l'équilibreur de charge.

Vous pouvez créer un équilibreur de charge qui écoute sur les ports HTTP (80) et HTTPS (443). Si vous spécifiez que l'écouteur HTTPS envoie des demandes aux instances sur le port 80, l'équilibreur de charge met fin aux demandes et à la communication depuis l'équilibreur de charge vers les instances n'est pas chiffrée. Si l'écouteur HTTPS envoie des demandes aux instances sur le port 443, la communication depuis l'équilibreur de charge vers les instances est chiffrée.

Si votre équilibreur de charge utilise une connexion chiffrée pour communiquer avec les instances, vous pouvez éventuellement activer l'authentification des instances. Cela garantit que l'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à la clé que vous avez spécifiée à équilibreur de charge à cet effet.

Pour plus d'informations sur l'ajout d'écouteurs HTTPS à un équilibreur de charge existant, consultez Configurer un écouteur HTTPS pour votre Classic Load Balancer.

Prérequis

Avant de commencer, vérifiez que vous avez répondu aux exigences suivantes :

  • Suivez les étapes de Préparation de votre VPC et de vos instances EC2.

  • Lancez les instances EC2 que vous avez l'intention d'enregistrer auprès de votre équilibreur de charge. Les groupes de sécurité pour ces instances doivent autoriser le trafic à partir de l'équilibreur de charge.

  • Les instances EC2 doivent répondre à la cible de la vérification de l'état avec un code d'état HTTP 200. Pour plus d'informations, consultez Configurer les vérifications de l'état pour votre Classic Load Balancer.

  • Si vous avez l'intention d'activer l'option keep-alive sur vos instances EC2, nous vous recommandons de définir les paramètres keep-alive au moins sur les valeurs de délai d'inactivité de votre équilibreur de charge. Si vous voulez vous assurer que l'équilibreur de charge est responsable de la fermeture des connexions à votre instance, vérifiez que la valeur définie sur votre instance pour le délai keep-alive est supérieure à celle du paramètre de délai d'inactivité sur votre équilibreur de charge. Pour plus d'informations, consultez Configurer le délai d'inactivité de votre Classic Load Balancer.

  • Si vous créez un écouteur sécurisé, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances. Si vous n'avez pas de certificat SSL, vous pouvez créer en. Pour plus d'informations, consultez Certificats SSL/TLS pour les Classic Load Balancer.

Créer un équilibreur de charge HTTPS/SSL à l'aide de la console

Pour créer un équilibreur de charge HTTPS/SSL, effectuez les tâches suivantes.

Étape 1 : Définir votre équilibreur de charge

Tout d'abord, fournissez des informations de configuration de base pour votre équilibreur de charge comme un nom, un réseau et un ou plusieurs écouteurs.

Un écouteur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'écouteur pris en charge par Elastic Load Balancing, consultez Ecouteurs de votre Classic Load Balancer.

Dans cet exemple, vous configurez deux écouteurs pour votre équilibreur de charge. Le premier écouteur accepte les demandes HTTP sur le port 80 et les envoie aux instances sur le port 80 à l'aide de HTTP. Le deuxième écouteur accepte les demandes HTTPS sur le port 443 et les envoie aux instances à l'aide de HTTP sur le port 80 (ou à l'aide de HTTPS sur le port 443 si vous souhaitez configurer l'authentification d'instance principale).

Pour définir votre équilibreur de charge

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, sous LOAD BALANCING, choisissez Load Balancers.

  3. Sélectionnez Create Load Balancer.

  4. Pour Select load balancer type (Sélectionner un type d'équilibreur de charge), choisissez Equilibreur de charge classique.

  5. Pour Nom de l'équilibreur de charge, tapez un nom pour l'équilibreur de charge.

    Le nom de votre Equilibreur de charge classique doit être unique dans l'ensemble de vos équilibreurs de charge d'application Equilibreur de charge classique de la région, ne peut contenir que 32 caractères, ne peut comporter que des caractères alphanumériques et des traits d'union et ne doit pas commencer ou se terminer par un trait d'union.

  6. Pour Créer un LB à l'intérieur, sélectionnez le réseau que vous avez sélectionné pour vos instances : EC2-Classic ou un VPC spécifique.

  7. [VPC par défaut] Si vous avez sélectionné un VPC par défaut et que vous souhaitez choisir les sous-réseaux pour votre équilibreur de charge, sélectionnez Activer la configuration de VPC avancée.

  8. Pour Listener Configuration, laissez l'écouteur par défaut, puis sélectionnez Add pour ajouter un autre écouteur. Pour Load Balancer Protocol pour le nouvel écouteur, sélectionnez HTTPS (Secure HTTP). Cela met à jour Load Balancer Port, Instance Protocol, et Instance Port.

    Par défaut, Instance protocol est HTTP et Instance Port est 80.

    
				                    Définir un équilibreur de charge avec un écouteur HTTPS

    Si vous souhaitez configurer l'authentification d'instance principale (plus loin dans Étape 3 : Configurer les paramètres de sécurité), modifiez le protocole d'instance en HTTPS (HTTP sécurisé). Cela met à jour également Instance Port.

    
				                Définir un équilibreur de charge avec un écouteur HTTPS pour l'authentification d'instance principale
  9. [EC2-VPC] Pour Available subnets, sélectionnez au moins un sous-réseau disponible à l'aide son icône d'ajout. Les sous-réseaux sont déplacé sous Selected subnets. Afin d'améliorer la disponibilité de votre équilibreur de charge, sélectionnez des sous-réseaux dans plusieurs zones de disponibilité.

    Note

    Si vous avez sélectionné EC2-Classic comme réseau, ou que vous avez un VPC par défaut mais que vous n'avez pas sélectionné Enable advanced configuration VPC, vous ne voyez pas l'interface utilisateur pour sélectionner les sous-réseaux.

    Vous pouvez ajouter au plus un seul sous-réseau par zone de disponibilité. Si vous sélectionnez un deuxième sous-réseau depuis une zone de disponibilité où il existe déjà un sous-réseau sélectionné, ce sous-réseau remplace le sous-réseau sélectionné pour cette zone de disponibilité.

    
				                    Sélectionner des sous-réseaux (subnets)
  10. Choisissez Next: Assign Security Groups.

Étape 2 : Attribuer des groupes de sécurité à votre équilibreur de charge dans un VPC

Si vous avez sélectionné un VPC comme réseau, vous devez affecter à votre équilibreur de charge un groupe de sécurité qui autorise le trafic entrant sur les ports que vous avez spécifiés pour cet équilibreur de charge et les vérifications de l'état pour cet équilibreur de charge.

Note

Si vous avez sélectionné EC2-Classic comme réseau, vous pouvez passer à l'étape suivante. Par défaut, Elastic Load Balancing fournit un groupe de sécurité pour les équilibreurs de charge dans EC2-Classic.

Pour attribuer un groupe de sécurité à votre équilibreur de charge

  1. Sur la page Assign Security Groups, sélectionnez Create a new security group.

  2. Tapez un nom et une description pour votre groupe de sécurité, ou laissez le nom et la description par défaut. Ce nouveau groupe de sécurité contient une règle qui autorise le trafic vers les ports que vous avez configurés pour être utilisés par votre équilibreur de charge.

    
		                            Sélectionner des groupes de sécurité
  3. Choisissez Next: Configure Security Settings.

Étape 3 : Configurer les paramètres de sécurité

Lorsque vous utilisez HTTPS ou SSL pour votre écouteur frontal, vous devez déployer un certificat SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes des clients avant de les envoyer aux instances.

Vous devez également spécifier une stratégie de sécurité. Elastic Load Balancing fournit des stratégies de sécurité qui ont des configurations de négociation SSL prédéfinies, mais vous pouvez également créer votre propre stratégie de sécurité personnalisée.

Si vous avez configuré HTTPS/SSL sur la connexion principale, vous pouvez activer l'authentification de vos instances.

Pour configurer les paramètres de sécurité

  1. Pour Select Certificate, effectuez l'une des opérations suivantes :

    • Si vous avez créé ou importé un certificat à l'aide d'AWS Certificate Manager, sélectionnez Choose an existing certificate from AWS Certificate Manager (ACM) (Choisir un certificat de sécurité existant à partir d'AWS Certificate Manager (ACM)), puis choisissez le certificat dans Certificate (Certificat).

    • Si vous avez importé un certificat à l'aide d'IAM, sélectionnez Choose an existing certificate from AWS Identity and Access Management (IAM) (Choisir un certificat de sécurité existant à partir d'AWS Identity and Access Management (IAM)), puis choisissez le certificat dans Certificate (Certificat).

    • Si vous avez un certificat à importer, mais qu'ACM n'est pas disponible dans votre région, sélectionnez Upload a new SSL Certificate to AWS Identity and Access Management (IAM) (Charger un nouveau certificat SSL vers AWS Identity and Access Management (IAM)). Tapez le nom du certificat. Dans Private Key, copiez et collez le contenu du fichier de clé privée (codé PEM). Dans Public Key Certificate, copiez et collez le contenu du fichier de certificat de clé publique (codé PEM). Dans Certificate Chain, copiez et collez le contenu du fichier de chaîne de certificats (codé PEM), sauf si vous utilisez un certificat auto-signé et qu'il n'est pas important que les navigateurs acceptent implicitement le certificat.

  2. Pour Sélectionner un chiffrement, vérifiez que Stratégie de sécurité prédéfinie est sélectionné et défini sur ELBSecurityPolicy-2016-08. Nous vous recommandons de toujours utiliser la stratégie de sécurité prédéfinie la plus récente. Si vous devez utiliser une autre stratégie de sécurité prédéfinie ou créer une stratégie personnalisée, consultez Mettre à jour la Configuration de négociation SSL.

  3. (Facultatif) Si vous avez configuré l'écouteur HTTPS pour communiquer avec des instances à l'aide d'une connexion chiffrée, vous pouvez éventuellement configurer l'authentification des instances.

    1. Pour Backend Certificate, sélectionnez Enable backend authentication.

      Note

      Si vous ne voyez pas la section Certificat backend, revenez à Configuration de l'écouteur, puis sélectionnez HTTPS (HTTP sécurisé) pour Protocole de l'instance.

    2. Pour Certificate name, tapez le nom du certificat de clé publique.

    3. Pour Certificate Body (pem encoded), copiez et collez le contenu du certificat. L'équilibreur de charge communique avec une instance uniquement si la clé publique correspond à cette clé.

    4. Pour ajouter un autre certificat, choisissez Add another backend certificate.

    
				                    Activer l'authentification backend
  4. Choisissez Next: Configure Health Check.

Étape 4 : Configurer les vérifications de l'état

Elastic Load Balancing vérifie automatiquement l'état de santé des instances EC2 enregistrées pour votre équilibreur de charge. Si Elastic Load Balancing trouve une instance défectueuse, il arrête de lui envoyer du trafic et redirige le trafic vers les instances saines. Pour plus d'informations sur la configuration de vérifications de l'état, consultez Configurer les vérifications de l'état pour votre Classic Load Balancer.

Pour configurer des vérifications de l'état pour vos instances

  1. Sur la page Configure Health Check, sélectionnez un protocole de ping et un port de ping. Vos instances EC2 doivent accepter le trafic indiqué sur le port de ping spécifié.

  2. Pour Ping Path, remplacez la valeur par défaut par une seule barre oblique (« / »). Cela demande à Elastic Load Balancing d'envoyer les demandes de vérification de l'état à la page d'accueil par défaut pour votre serveur web, par exemple, index.html.

    
				                    Configurer la vérification de l'état
  3. Conservez les valeurs par défaut pour les autres paramètres.

  4. Choisissez Next: Add EC2 Instances.

Étape 5 : Enregistrer des instances EC2 auprès de votre équilibreur de charge

Votre équilibreur de charge répartit le trafic entre les instances qui sont enregistrées auprès de celui-ci. Vous pouvez sélectionner des instances EC2 dans une ou plusieurs zones de disponibilité au sein de la même région que l'équilibreur de charge. Pour plus d'informations, consultez Instances enregistrées pour votre Equilibreur de charge classique.

Note

Lorsque vous enregistrez une instance avec une interface réseau Elastic (ENI) attachée, l'équilibreur de charge achemine le trafic vers l'adresse IP principale de l'interface principale (eth0) de l'instance.

Pour enregistrer des Instances EC2 auprès de votre équilibreur de charge

  1. Sur la page Add EC2 Instances, sélectionnez les instances à enregistrer auprès de votre équilibreur de charge.

  2. Laissez les options d'équilibrage de charge entre zones et de drainage de la connexion activées.

  3. Choisissez Next: Add Tags.

Étape 6 : Baliser votre équilibreur de charge (facultatif)

Vous pouvez baliser votre équilibreur de charge ou passer à l'étape suivante.

Pour ajouter des balises à votre équilibreur de charge

  1. Sur la page Add Tags, spécifiez une clé et une valeur pour la balise.

  2. Pour ajouter une autre balise, choisissez Create Tag, puis spécifiez une clé et une valeur pour la balise.

  3. Une fois que vous avez fini d'ajouter des balises, choisissez Review and Create.

Étape 7 : Créer et vérifier votre équilibreur de charge

Avant de créer l'équilibreur de charge, vérifiez les paramètres que vous avez sélectionnés. Une fois l'équilibreur de charge créé, vous pouvez vérifier qu'il envoie le trafic vers vos instances EC2.

Pour créer et tester votre équilibreur de charge

  1. Sur la page Review, vérifiez vos paramètres. Si vous devez apporter des modifications, choisissez le lien correspondant pour modifier les paramètres.

  2. Sélectionnez Create.

  3. Une fois que vous êtes informé que votre équilibreur de charge a été créé, choisissez Close.

  4. Sélectionnez votre nouvel équilibreur de charge.

  5. Sous l'onglet Description, vérifiez la ligne Status. Si elle indique que certaines de vos instances ne sont pas en service, c'est probablement parce qu'elles sont encore dans le processus d'enregistrement. Pour plus d'informations, consultez Dépanner un Classic Load Balancer : enregistrement d'instance.

  6. (Facultatif) Une fois qu'au moins l'une de vos instances EC2 est en service, vous pouvez tester votre équilibreur de charge. Copiez la chaîne du champ DNS name (par exemple, my-load-balancer-1234567890.us-west-2.elb.amazonaws.com) et collez-la dans le champ d'adresse d'un navigateur web connecté à Internet. Si votre équilibreur de charge fonctionne, vous voyez la page par défaut de votre serveur.

Étape 8 : Supprimer votre équilibreur de charge (facultatif)

Dès que votre équilibreur de charge est disponible, vous êtes facturé pour chaque heure ou heure partielle pendant laquelle vous le laissez tourner. Lorsque vous n'avez plus besoin d'un équilibreur de charge, vous pouvez le supprimer. Dès que l'équilibreur de charge est supprimé, vous cessez d'être facturé pour celui-ci.

Pour supprimer l'équilibreur de charge

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, sous LOAD BALANCING, choisissez Load Balancers.

  3. Sélectionnez l'équilibreur de charge.

  4. Choisissez Actions, Delete.

  5. Lorsque vous êtes invité à confirmer l'opération, choisissez Yes, Delete.

  6. (Facultatif) Quand vous supprimez un équilibreur de charge, les instances EC2 qui lui sont associées continuent de s'exécuter et vous êtes facturé pour chaque heure ou heure partielle pendant laquelle vous les laissez tourner. Pour plus d'informations sur l'arrêt ou la résiliation de vos instances, consultez Arrêt et démarrage de votre instance ou Résilier une instance dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Créer un équilibreur de charge HTTPS/SSL à l'aide de l'interface AWS CLI

Utilisez les instructions suivantes pour créer un équilibreur de charge à l'aide de l'interface AWS CLI

Étape 1 : Configurer des écouteurs

Un écouteur est un processus qui vérifie les demandes de connexion. Il est configuré avec un protocole et un port pour les connexions frontales (du client vers l'équilibreur de charge), et un protocole et un port pour les connexions principales (de l'équilibreur de charge vers l'instance). Pour plus d'informations sur les ports, protocoles et configurations d'écouteur pris en charge par Elastic Load Balancing, consultez Ecouteurs de votre Classic Load Balancer.

Dans cet exemple, vous configurez deux écouteurs pour votre équilibreur de charge en spécifiant les ports et les protocoles à utiliser pour les connexions frontales et principales. Le premier écouteur accepte les demandes HTTP sur le port 80 et les envoie aux instances sur le port 80 à l'aide de HTTP. Le deuxième écouteur accepte les demandes HTTPS sur le port 443 et les envoie aux instances à l'aide de HTTP sur le port 80.

Comme le deuxième écouteur utilise HTTPS pour la connexion frontale, vous devez déployer un certificat de serveur SSL sur votre équilibreur de charge. L'équilibreur de charge utilise le certificat pour mettre fin à la connexion, puis déchiffrer les demandes avant de les envoyer aux instances.

Pour configurer des écouteurs pour votre équilibreur de charge

  1. Obtenez l'Amazon Resource Name (ARN) du certificat SSL. Exemples :

    ACM

    arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

    IAM

    arn:aws:iam::123456789012:server-certificate/my-server-certificate
  2. Utilisez la commande create-load-balancer suivante pour configurer l'équilibreur de charge avec les deux écouteurs :

    aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=http,LoadBalancerPort=80,InstanceProtocol=http,InstancePort=80" "Protocol=https,LoadBalancerPort=443,InstanceProtocol=http,InstancePort=80,SSLCertificateId="ARN" --availability-zones us-west-2a

    Voici un exemple de réponse :

    { "DNSName": "my-loadbalancer-012345678.us-west-2.elb.amazonaws.com" }
  3. (Facultatif) Utilisez la commande describe-load-balancers suivante pour afficher les détails de votre équilibreur de charge :

    aws elb describe-load-balancers --load-balancer-name my-load-balancer

Étape 2 : Configurer la stratégie de sécurité SSL

Vous pouvez sélectionner l'une des stratégies de sécurité prédéfinies, ou créer votre propre stratégie de sécurité personnalisée. Sinon, Elastic Load Balancing configure votre équilibreur de charge avec la stratégie de sécurité prédéfinie par défaut, ELBSecurityPolicy-2016-08. Nous vous recommandons d'utiliser la stratégie de sécurité par défaut. Pour plus d'informations sur les stratégies de sécurité, consultez Configurations de négociation SSL pour Classic Load Balancers.

Pour vérifier que votre équilibreur de charge est associé à la stratégie de sécurité par défaut

Utilisez la commande describe-load-balancers suivante :

aws elb describe-load-balancers --load-balancer-name my-loadbalancer

Voici un exemple de réponse. Notez que la stratégie ELBSecurityPolicy-2016-08 est associée à l'équilibreur de charge sur le port 443.

{ "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }

Si vous préférez, vous pouvez configurer la stratégie de sécurité SSL pour votre équilibreur de charge au lieu d'utiliser la stratégie de sécurité par défaut.

(Facultatif) Pour utiliser une stratégie de sécurité SSL prédéfinie

  1. Utilisez la commande describe-load-balancer-policies suivante pour répertorier les noms des stratégies de sécurité prédéfinies :

    aws elb describe-load-balancer-policies

    Pour plus d'informations sur la configuration des stratégies de sécurité prédéfinies, consultez Stratégies de sécurité SSL prédéfinies.

  2. Utilisez la commande create-load-balancer-policy suivante pour créer une stratégie de négociation SSL à l'aide de l'une des stratégies de sécurité prédéfinies que vous avez décrites à l'étape précédente :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=predefined-policy
  3. (Facultatif) Utilisez la commande describe-load-balancer-policies suivante pour vérifier que la stratégie est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  4. Utilisez la commande set-load-balancer-policies-of-listener suivante pour activer la stratégie sur le port 443 de l'équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy

    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  5. (Facultatif) Utilisez la commande describe-load-balancers suivante pour vérifier que la stratégie est activée :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Voici un exemple de réponse montrant que la stratégie est activée sur le port 443.

    { "LoadBalancerDescriptions": [ { .... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }

Lorsque vous créez une stratégie de sécurité personnalisée, vous devez activer au moins un protocole et un chiffrement. Les chiffrements DSA et RSA sont spécifiques à l'algorithme de signature et sont utilisés pour créer le certificat SSL. Si vous avez déjà votre certificat SSL, veillez à activer le chiffrement qui a été utilisé pour créer ce certificat. Le nom de votre stratégie personnalisée ne doit pas commencer par ELBSecurityPolicy- ou ELBSample-, car ces préfixes sont réservés pour les noms des stratégies de sécurité prédéfinies.

(Facultatif) Pour utiliser une stratégie de sécurité SSL personnalisée

  1. Utilisez la commande create-load-balancer-policy suivante pour créer une stratégie de négociation SSL à l'aide d'une stratégie de sécurité personnalisée. Exemples :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=true
  2. (Facultatif) Utilisez la commande describe-load-balancer-policies suivante pour vérifier que la stratégie est créée :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

    La réponse inclut la description de la stratégie.

  3. Utilisez la commande set-load-balancer-policies-of-listener suivante pour activer la stratégie sur le port 443 de l'équilibreur de charge :

    aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy

    Note

    La commande set-load-balancer-policies-of-listener remplace l'ensemble de stratégies actuel pour le port de programme d'équilibreur de charge indiqué par l'ensemble de stratégies spécifié. La liste --policy-names doit inclure toutes les stratégies à activer. Si vous omettez une stratégie actuellement activée, celle-ci est désactivée.

  4. (Facultatif) Utilisez la commande describe-load-balancers suivante pour vérifier que la stratégie est activée :

    aws elb describe-load-balancers --load-balancer-name my-loadbalancer

    Voici un exemple de réponse montrant que la stratégie est activée sur le port 443.

    { "LoadBalancerDescriptions": [ { .... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ] }

Étape 3 : Configurer l'authentification d'instance principale (facultatif)

Si vous configurez HTTPS/SSL sur la connexion principale, vous pouvez éventuellement configurer l'authentification de vos instances.

Lorsque vous configurez l'authentification d'instance principale, vous créez une stratégie de clé publique. Ensuite, vous utilisez cette stratégie de clé publique pour créer une stratégie d'authentification d'instance principale. Enfin, vous définissez la stratégie d'authentification d'instance principale avec le port de l'instance pour le protocole HTTPS.

L'équilibreur de charge communique avec une instance uniquement si la clé publique que l'instance présente à l'équilibreur de charge correspond à une clé publique de la stratégie d'authentification pour votre équilibreur de charge.

Pour configurer l'authentification d'instance principale

  1. Utilisez la commande suivante pour extraire la clé publique :

    openssl x509 -in your X509 certificate PublicKey -pubkey -noout
  2. Utilisez la commande create-load-balancer-policy suivante pour créer une stratégie de clé publique :

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-PublicKey-policy \ --policy-type-name PublicKeyPolicyType --policy-attributes AttributeName=PublicKey,AttributeValue=MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEXAMPLE=

    Note

    Pour spécifier une valeur de clé publique pour --policy-attributes, supprimez les première et dernière lignes de la clé publique (la ligne contenant « -----BEGIN PUBLIC KEY----- » et la ligne contenant « -----END PUBLIC KEY----- »). L'interface AWS CLI n'accepte pas les caractères espace dans --policy-attributes.

  3. Utilisez la commande create-load-balancer-policy suivante pour créer une stratégie d'authentification d'instance principale à l'aide de my-PublicKey-policy.

    aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-authentication-policy --policy-type-name BackendServerAuthenticationPolicyType --policy-attributes AttributeName=PublicKeyPolicyName,AttributeValue=my-PublicKey-policy

    Vous pouvez éventuellement utiliser plusieurs stratégies de clé publique. L'équilibreur de charge essaie toutes les clés, une par une. Si la clé publique présentée par une instance correspond à l'une de ces clés publiques, l'instance est authentifiée.

  4. Utilisez la commande set-load-balancer-policies-for-backend-server suivante pour définir my-authentication-policy sur le port d'instance pour le protocole HTTPS. Dans cet exemple, le port d'instance est le port 443.

    aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 443 --policy-names my-authentication-policy
  5. (Facultatif) Utilisez la commande describe-load-balancer-policies suivante pour répertorier toutes les stratégies pour votre équilibreur de charge :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer
  6. (Facultatif) Utilisez la commande describe-load-balancer-policies suivante pour afficher les détails de la stratégie :

    aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-names my-authentication-policy

Étape 4 : Configurer des vérifications de l'état (facultatif)

Elastic Load Balancing vérifie régulièrement l'état de santé de chaque instance EC2 enregistrée en fonction des vérifications de l'état que vous avez configurées. Si Elastic Load Balancing trouve une instance défectueuse, il arrête de lui envoyer du trafic et achemine le trafic vers les instances saines. Pour plus d'informations, consultez Configurer les vérifications de l'état pour votre Classic Load Balancer.

Lorsque vous créez votre équilibreur de charge, Elastic Load Balancing utilise les paramètres par défaut pour les vérifications de l'état. Si vous préférez, vous pouvez modifier la configuration de vérification de l'état de votre équilibreur de charge au lieu d'utiliser les paramètres par défaut.

Pour configurer les vérifications de l'état pour vos instances

Utilisez la commande configure-health-check suivante :

aws elb configure-health-check --load-balancer-name my-loadbalancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3

Voici un exemple de réponse :

{ "HealthCheck": { "HealthyThreshold": 2, "Interval": 30, "Target": "HTTP:80/ping", "Timeout": 3, "UnhealthyThreshold": 2 } }

Étape 5 : Enregistrer des instances EC2

Une fois que vous avez créé votre équilibreur de charge, vous devez enregistrez vos instances EC2 après de celui-ci. Vous pouvez sélectionner des instances EC2 d'une ou de plusieurs zones de disponibilité au sein de la même région que l'équilibreur de charge. Pour plus d'informations, consultez Instances enregistrées pour votre Equilibreur de charge classique.

Utilisez la commande register-instances-with-load-balancer comme suit :

aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Voici un exemple de réponse :

{ "Instances": [ { "InstanceId": "i-4f8cf126" }, { "InstanceId": "i-0bb7ca62" } ] }

Étape 6 : Vérifier les instances

Votre équilibreur de charge est utilisable dès que l'une de vos instances enregistrées est à l'état InService.

Pour vérifier l'état de vos instances EC2 nouvellement enregistrées, utilisez la commande describe-instance-health suivante :

aws elb describe-instance-health --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Voici un exemple de réponse :

{ "InstanceStates": [ { "InstanceId": "i-4f8cf126", "ReasonCode": "N/A", "State": "InService", "Description": "N/A" }, { "InstanceId": "i-0bb7ca62", "ReasonCode": "Instance", "State": "OutOfService", "Description": "Instance registration is still in progress" } ] }

Si le champ State pour une instance est OutOfService, c'est probablement parce que vos instances sont encore en cours d'enregistrement. Pour plus d'informations, consultez Dépanner un Classic Load Balancer : enregistrement d'instance.

Une fois que l'état d'au moins une de vos instances est InService, vous pouvez tester votre équilibreur de charge. Pour tester votre équilibreur de charge, copiez son nom DNS et collez-le dans le champ d'adresse d'un navigateur web connecté à Internet. Si votre équilibreur de charge fonctionne, vous voyez la page par défaut de votre serveur HTTP.

Étape 7 : Supprimer votre équilibreur de charge (facultatif)

La suppression d'un l'équilibreur de charge annule automatiquement l'enregistrement de ses instances EC2 associées. Dès que l'équilibreur de charge est supprimé, vous cessez d'être facturé pour cet équilibreur de charge. Toutefois, les instances EC2 continuent de s'exécuter et vous continuez à payer de frais.

Pour supprimer votre équilibreur de charge, utilisez la commande delete-load-balancer suivante :

aws elb delete-load-balancer --load-balancer-name my-loadbalancer

Pour arrêter vos instances EC2, utilisez la commande stop-instances. Pour mettre fin à vos instances EC2 (les résilier), utilisez la commande terminate-instances.