Crea un HTTPS listener per il tuo Application Load Balancer - Sistema di bilanciamento del carico elastico
PrerequisitiAggiungi un ascoltatore HTTPS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un HTTPS listener per il tuo Application Load Balancer

Un ascoltatore verifica la presenza di richieste di connessione. La definizione del listener avviene al momento della creazione di un sistema di bilanciamento del carico; si possono aggiungere listener al sistema in qualsiasi momento.

Per creare un HTTPS listener, è necessario distribuire almeno un certificato SSL server sul sistema di bilanciamento del carico. Il sistema di bilanciamento del carico utilizza il certificato del server per terminare la connessione front-end e quindi decrittografare le richieste provenienti dai client prima di inoltrarle alle destinazioni. È inoltre necessario specificare una politica di sicurezza, che viene utilizzata per negoziare connessioni sicure tra i client e il sistema di bilanciamento del carico.

Se devi trasmettere traffico crittografato alle destinazioni senza che il sistema di bilanciamento del carico lo decifri, puoi creare un Network Load Balancer o un Classic Load Balancer con un listener sulla porta 443. TCP Con un TCP listener, il load balancer trasmette il traffico crittografato alle destinazioni senza decrittografarlo.

Le informazioni contenute in questa pagina consentono di creare un HTTPS listener per il sistema di bilanciamento del carico. Per aggiungere un HTTP listener al sistema di bilanciamento del carico, consulta. Crea un HTTP listener per il tuo Application Load Balancer

Prerequisiti

  • Per creare un HTTPS listener, è necessario specificare un certificato e una politica di sicurezza. Il sistema di bilanciamento del carico utilizza il certificato per terminare la connessione e decrittografare le richieste provenienti dai client prima di inoltrarle alle destinazioni. Il load balancer utilizza la politica di sicurezza per negoziare SSL le connessioni con i client.

    Gli Application Load Balancer non supportano le chiavi. ED25519

  • Per aggiungere un'operazione di inoltro alla regola predefinita del listener, è necessario specificare un gruppo target disponibile. Per ulteriori informazioni, consulta Crea un gruppo target per il tuo Application Load Balancer.

  • È possibile specificare lo stesso gruppo di destinazioni in più ascoltatori, che però devono appartenere allo stesso sistema di bilanciamento del carico. Per utilizzare un gruppo di destinazioni con un sistema di bilanciamento del carico, è necessario verificare non sia utilizzato da un ascoltatore per nessun altro sistema di bilanciamento del carico.

Aggiungi un ascoltatore HTTPS

Il listener si configura con un protocollo e una porta per le connessioni dai client al sistema di bilanciamento del carico e con un gruppo target per la regola predefinita del listener. Per ulteriori informazioni, consulta Configurazione dei listener.

Per aggiungere un HTTPS ascoltatore utilizzando la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Selezionare il load balancer.

  4. Nella scheda Ascoltatori e regole, scegli Aggiungi ascoltatore.

  5. Per Protocollo: Porta, scegli HTTPSe mantieni la porta predefinita o inserisci una porta diversa.

  6. (Facoltativo) Per abilitare l'autenticazione, in Autenticazione seleziona Usa OpenID o Amazon Cognito e indica le informazioni richieste. Per ulteriori informazioni, consulta Autenticazione degli utenti tramite Application Load Balancer.

  7. In Operazioni predefinite, procedere in uno dei seguenti modi:

    • Inoltra a gruppi di destinazione: scegliere uno o più gruppi di destinazione a cui inoltrare il traffico. Per aggiungere gruppi di destinazione, scegli Aggiungi gruppo di destinazioni. Se si utilizza più di un gruppo di destinazioni, seleziona un peso per ogni gruppo e controllare la percentuale associata. Se è stata abilitata la persistenza per uno o più gruppi di destinazioni, è necessario abilitare la persistenza a livello di gruppo per una regola.

    • Reindirizza a URL: specifica a URL che destinazione verranno reindirizzate le richieste del client. Ciò può essere fatto inserendo ogni parte separatamente nella scheda URIParti o inserendo l'indirizzo completo nella scheda Completo URL. Per Status code puoi configurare i reindirizzamenti come temporanei (HTTP302) o permanenti (HTTP301) in base alle tue esigenze.

    • Restituisci risposta fissa: specificare il Codice di risposta che verrà restituito alle richieste interrotte del client. Inoltre, è possibile specificare il Tipo di contenuto e il Corpo della risposta, ma non sono richiesti.

  8. Come Policy di sicurezza, consigliamo di utilizzare sempre la policy di sicurezza predefinita più recente.

  9. Per DefaultSSL/TLScertificate, sono disponibili le seguenti opzioni:

    • Se hai creato o importato un certificato utilizzando AWS Certificate Manager, seleziona Da ACM, quindi seleziona il certificato da Seleziona un certificato.

    • Se hai importato un certificato utilizzandoIAM, seleziona Da IAM, quindi seleziona il certificato da Seleziona un certificato.

    • Se hai un certificato da importare ma non ACM è disponibile nella tua regione, seleziona Importa, quindi seleziona IAM A. Digita il nome del certificato nel campo Nome del certificato. In Chiave privata del certificato, copia e incolla il contenuto del file della chiave privata (PEMcon codifica). Nel Corpo del certificato, copia e incolla il contenuto del file del certificato a chiave pubblica (PEM-encoded). In Certificate Chain, copia e incolla il contenuto del file della catena del certificato (PEM-encoded), a meno che non stiate utilizzando un certificato autofirmato e non sia importante che i browser accettino implicitamente il certificato.

  10. (Facoltativo) Per abilitare l'autenticazione reciproca, in Gestione dei certificati client abilita l'autenticazione reciproca (m). TLS

    Se abilitata, la TLS modalità reciproca predefinita è passthrough.

    Se selezioni Verifica con Trust Store:

    • Per impostazione predefinita, le connessioni con certificati client scaduti vengono rifiutate. Per modificare questo comportamento, espandi TLSle impostazioni Advanced m, quindi in Scadenza del certificato client seleziona Consenti certificati client scaduti.

    • In Trust Store scegli un trust store esistente o scegli Nuovo trust store.

      • Se hai scelto New trust store, fornisci un nome di Trust Store, la sede dell'Autorità di URI certificazione S3 e, facoltativamente, una posizione dell'elenco di revoca dei URI certificati S3.

  11. Seleziona Salva.

Per aggiungere un listener utilizzando il HTTPS AWS CLI

Utilizzare il comando create-listener per creare il listener e la regola predefinita e il comando create-rule per definire regole di listener aggiuntive.