Aggiunta di un sistema di bilanciamento del carico con Elastic Load Balancing (facoltativo) - AWS CloudHSM
Creazione di una sottorete per un secondo server WebCreazione del secondo server WebCreazione del sistema di bilanciamento del carico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiunta di un sistema di bilanciamento del carico con Elastic Load Balancing (facoltativo)

Dopo aver configurato l'offload SSL/TLS con un server Web, puoi creare ulteriori server Web e un sistema di bilanciamento del carico Elastic Load Balancing che instrada il traffico HTTPS verso i server Web. Un sistema di bilanciamento del carico è in grado di ridurre il carico sui singoli server Web bilanciando il traffico tra due o più server. È inoltre in grado di aumentare la disponibilità del sito Web, poiché il sistema di bilanciamento del carico monitora lo stato dei server Web e instrada solo il traffico verso i server integri. Se un server Web presenta dei problemi, il sistema di bilanciamento del carico interrompe automaticamente l'instradamento del traffico verso quel server.

Creazione di una sottorete per un secondo server Web

Prima di creare un altro server Web, devi creare una nuova sottorete nello stesso VPC che contiene il tuo server Web esistente e il cluster AWS CloudHSM.

Per creare una nuova sottorete

  1. Apri la sezione Sottoreti della console Amazon VPC.

  2. Seleziona Create Subnet (Crea sottorete).

  3. Nella finestra di dialogo Create Subnet (Crea sottorete), seguire questi passaggi:

    1. In Name tag (Assegna un nome al tag), digitare un nome per la sottorete.

    2. Per VPC, scegliere il VPC AWS CloudHSM che contiene il server Web esistente e il cluster AWS CloudHSM.

    3. Per Availability Zone (Zona di disponibilità), scegliere una zona di disponibilità diversa da quella che contiene il server Web esistente.

    4. Per Blocco CIDR IPv4, digita il blocco CIDR da usare per la sottorete. Ad esempio, digita 10.0.10.0/24.

    5. Selezionare Yes, Create (Sì, crea).

  4. Seleziona la casella di controllo accanto alla sottorete pubblica che contiene il server Web esistente. Si tratta di una sottorete pubblica diversa da quella creata nella fase precedente.

  5. Nel riquadro dei contenuti, scegli la scheda Tabella di routing. Quindi scegliere il link per la tabella di routing.

    Seleziona il link della tabella di routing nella console Amazon VPC.

  6. Selezionare la casella di controllo accanto alla tabella di routing.

  7. Scegli la scheda Associazioni sottoreti. Quindi scegliere Edit (Modifica).

  8. Seleziona la casella di controllo accanto alla sottorete pubblica creata precedentemente in questa procedura. Quindi scegli Save (Salva).

Creazione del secondo server Web

Completa le fasi seguenti per creare un secondo server Web con la stessa configurazione del tuo server Web esistente.

Per creare un secondo server Web

  1. Apri la sezione Istanze nella console Amazon EC2.

  2. Selezionare la casella di controllo accanto all'istanza del server Web esistente.

  3. Scegliere Actions (Operazioni), Image (Immagine), quindi Create Image (Crea immagine).

  4. Nella finestra di dialogo Crea Image (Crea immagine), seguire questi passaggi:

    1. Per Image name (Nome immagine), digitare un nome per l'immagine.

    2. Per Image description (Descrizione immagine), digitare una descrizione per l'immagine.

    3. Scegliere Create Image (Crea immagine). Questa operazione riavvia il server Web esistente.

    4. Seleziona il link di visualizzazione dell'immagine ami-<AMI ID> in sospeso.

      Seleziona il link di visualizzazione dell'immagine in sospeso nella console Amazon EC2.

      Nella colonna Stato, prendi nota dello stato dell'immagine. Se lo stato dell'immagine è available (disponibile) (potrebbe essere necessario qualche minuto), passare alla fase successiva.

  5. Nel riquadro di navigazione, seleziona Instances (Istanze).

  6. Selezionare la casella di controllo accanto al server Web esistente.

  7. Scegliere Actions (Operazioni), quindi Launch More Like This (Avvia altre come questa).

  8. Selezionare Edit AMI (Modifica AMI).

    Seleziona il link di modifica dell'AMI nella console Amazon EC2.

  9. Nel riquadro di navigazione a sinistra, seleziona Le mie AMI. Quindi cancellare il testo nella casella di ricerca.

  10. Accanto all'immagine del server Web, scegliere Select (Seleziona).

  11. Seleziona Sì, voglio proseguire con questa AMI (<image name> - ami-<AMI ID>).

  12. Seleziona Successivo.

  13. Seleziona un tipo di istanza, quindi scegli Next: Configure Instance Details (Successivo: configura dettagli dell'istanza).

  14. Per Step 3: Configure Instance Details (Fase 3: Configurare i dettagli dell'istanza), procedere come segue:

    1. Per Network (Rete), scegliere il VPC che contiene il server Web esistente.

    2. Per Subnet (Sottorete), scegliere la sottorete pubblica creata per il secondo server Web.

    3. Per Auto-assign Public IP (Assegna automaticamente IP pubblico), scegliereEnable (Abilita).

    4. Modifica i dettagli rimanenti dell'istanza in base alle preferenze. Quindi, scegliere Next: Add Storage (Fase successiva: aggiungi storage).

  15. Modifica le impostazioni di storage come desiderato. Quindi selezionare Next: Add Tags (Fase successiva: aggiungere tag).

  16. Aggiungi o modifica i tag come preferito, quindi scegliere Next: Configure Security Group (Fase successiva: configurare il gruppo di sicurezza) .

  17. Per Step 6: Configure Security Group (Fase 6: configurare il gruppo di sicurezza), procedere come segue:

    1. Per Assign a security group (Assegna un gruppo di sicurezza), scegliere Select an existing security group (Seleziona un gruppo di sicurezza esistente).

    2. Seleziona la casella di controllo accanto al gruppo di sicurezza denominato cloudhsm-<cluster ID>-sg. AWS CloudHSM ha creato questo gruppo di sicurezza per conto tuo quando hai creato il cluster. È necessario scegliere il gruppo di sicurezza per consentire all'istanza del server Web di connettersi ai moduli HSM nel cluster.

    3. Seleziona la casella di controllo accanto al gruppo di sicurezza che consente il traffico HTTPS in entrata. Il gruppo di sicurezza è stato creato in precedenza.

    4. (Facoltativo) Seleziona la casella di controllo accanto a un gruppo di sicurezza che consente il traffico SSH (per Linux) o RDP (per Windows) in entrata dalla rete. Ovvero, il gruppo di sicurezza deve consentire il traffico TCP in entrata sulla porta 22 (per SSH su Linux) o sulla porta 3389 (per RDP su Windows). In caso contrario, non è possibile connettersi all'istanza del client. Se non disponi di un gruppo di sicurezza come questo, è necessario crearne uno e assegnarlo all'istanza del client in un secondo momento.

    Scegliere Review and Launch (Analizza e avvia).

  18. Consultare i dettagli dell'istanza e scegliere Launch (Avvia).

  19. Scegliere se avviare l'istanza con una coppia di chiavi esistente, creare una nuova coppia di chiavi o avviare l'istanza senza alcuna coppia di chiavi.

    • Per utilizzare una coppia di chiavi esistente, eseguire quanto descritto di seguito.

      1. Scegli Choose an existing key pair (Scegli una coppia di chiavi esistente).

      2. Per Select a key pair (Selezionare una coppia di chiavi), scegliere la coppia di chiavi da utilizzare.

      3. Seleziona la casella di controllo accanto a Prendo atto di avere accesso al file della chiave privata selezionata (<private key file name>.pem) e che senza questo file non potrei accedere alla mia istanza.

    • Per creare una nuova coppia di chiavi, eseguire quanto descritto di seguito:

      1. Scegliere Create a new key pair (Crea nuova coppia di chiavi).

      2. Per Key pair name (Nome coppia di chiavi), digitare un nome per la coppia di chiavi.

      3. Scegliere Download Key Pair (Scarica la coppia di chiavi) e salvare il file della chiave privata in una posizione protetta e accessibile.

        avvertimento

        Non è possibile scaricare nuovamente il file della chiave privata dopo questo punto. Se il file della chiave privata non viene scaricato a questo punto, non sarà possibile accedere all'istanza del client.

    • Per avviare l'istanza senza una coppia di chiavi, procedere nel seguente modo:

      1. Scegliere Proceed without a key pair (Procedi senza una coppia di chiavi).

      2. Selezionare la casella di controllo accanto a I acknowledge that I will not be able to connect to this instance unless I already know the password built into this AMI. (Prendo atto che non potrò collegarmi a questa istanza, a meno che io non conosca già la password integrata in questa AMI.)

    Scegliere Launch Instances (Avvia istanze).

Creazione del sistema di bilanciamento del carico

Completa la procedura seguente per creare un sistema di bilanciamento del carico Elastic Load Balancing che indirizzi il traffico HTTPS ai tuoi server Web.

Per creare un sistema di bilanciamento del carico

  1. Apri la sezioneSistemi di bilanciamento del carico nella console Amazon EC2.

  2. Seleziona Crea sistema di bilanciamento del carico.

  3. Nella sezione Network Load Balancer (Sistema di bilanciamento del carico della rete), selezionare Create (Crea).

  4. Per Step 1: Configure Load Balancer (Fase 1: configurare il sistema di bilanciamento del carico), procedere come segue:

    1. Per Name (Nome), digitare un nome per il sistema di bilanciamento del carico in fase di creazione.

    2. Nella sezione Ascoltatori, per Porta del sistema di bilanciamento del carico, modifica il valore impostandolo su 443.

    3. Nella sezione Availability Zones (Zone di disponibilità), per VPC scegliere il VPC che contiene i server Web.

    4. Nella sezione Availability Zones (Zone di disponibilità), scegliere le sottoreti che contengono i server Web.

    5. Seleziona Successivo: Configurazione del routing.

  5. Per Step 2: Configure Routing (Fase 2: configurare l'instradamento), procedere come segue:

    1. Per Name (Nome), digitare un nome per il gruppo target in fase di creazione.

    2. Per Porta, modifica il valore impostandolo su 443.

    3. Seleziona Next: Register Targets (Fase successiva: registrazione delle destinazioni).

  6. Per Step 3: Register Targets (Fase 3: registrare i target), procedere come segue:

    1. Nella sezione Istanze, seleziona le caselle di controllo accanto alle istanze del server Web. Quindi scegliere Add to registered (Aggiungi a elementi registrati).

    2. Seleziona Next: Revisione.

  7. Esaminare i dettagli del sistema di bilanciamento del carico, quindi scegliere Create (Crea).

  8. Se il sistema di bilanciamento del carico è stato creato correttamente, scegliere Close (Chiudi).

Dopo aver completato i passaggi precedenti, la console Amazon EC2 mostra il sistema di bilanciamento del carico Elastic Load Balancing.

Quando lo stato del sistema di bilanciamento del carico è attivo, puoi verificare se il sistema è in funzione. Ciò significa che puoi verificare se sta inviando il traffico HTTPS al tuo server Web con l'offload SSL/TLS con AWS CloudHSM. Per farlo, puoi utilizzare un browser Web o uno strumento come OpenSSL s_client.

Per verificare se il tuo sistema di bilanciamento del carico funziona con un browser Web

  1. Nella console Amazon EC2, individua il nome DNS del sistema di bilanciamento del carico appena creato. quindi selezionare il nome DNS e copiarlo.

  2. Utilizza un browser Web, ad esempio Mozilla Firefox o Google Chrome, per connetterti al sistema di bilanciamento del carico utilizzando il relativo nome DNS. Accertarsi che l'URL nella barra degli indirizzi inizi con https://.

    Suggerimento

    Puoi utilizzare un servizio DNS come Amazon Route 53 per instradare il nome del dominio del tuo sito Web (ad esempio, https://www.example.com/) al tuo server Web. Per ulteriori informazioni, consulta la sezione Routing del traffico a un'istanza Amazon EC2 nella Guida per gli sviluppatori di Amazon Route 53 oppure nella documentazione del servizio DNS in uso.

  3. Utilizza il browser Web per visualizzare il certificato del server Web. Per ulteriori informazioni, consulta gli argomenti seguenti:

    Altri browser Web potrebbero avere caratteristiche simili da utilizzare per visualizzare il certificato del server Web.

  4. Assicurati che il certificato corrisponda a quello configurato per l'uso da parte del server Web.

Per verificare se il sistema di bilanciamento del carico funziona con OpenSSL s_client

  1. Utilizza il seguente comando OpenSSL per connetterti al sistema di bilanciamento del carico tramite HTTPS. Sostituisci <DNS name> con il nome DNS del sistema di bilanciamento del carico in uso. 

    openssl s_client -connect <DNS name>:443
    Suggerimento

    Puoi utilizzare un servizio DNS come Amazon Route 53 per instradare il nome del dominio del tuo sito Web (ad esempio, https://www.example.com/) al tuo server Web. Per ulteriori informazioni, consulta la sezione Routing del traffico a un'istanza Amazon EC2 nella Guida per gli sviluppatori di Amazon Route 53 oppure nella documentazione del servizio DNS in uso.

  2. Assicurati che il certificato corrisponda a quello configurato per l'uso da parte del server Web.

A questo punto disponi di un sito Web protetto tramite HTTPS, con la chiave privata del server Web archiviata in un modulo HSM nel tuo cluster AWS CloudHSM. Il tuo sito Web ha due server Web e un sistema di bilanciamento del carico per aiutare a migliorare l'efficienza e la disponibilità.