Crea un Classic Load Balancer con un listener HTTPS

Un sistema di bilanciamento del carico riceve le richieste dei client e le distribuisce tra le EC2 istanze registrate con il sistema di bilanciamento del carico.

È possibile creare un sistema di bilanciamento del carico che ascolti su entrambe le porte HTTP (80) e (443). HTTPS Se si specifica che il HTTPS listener invia le richieste alle istanze sulla porta 80, il sistema di bilanciamento del carico termina le richieste e la comunicazione dal sistema di bilanciamento del carico alle istanze non viene crittografata. Se il HTTPS listener invia richieste alle istanze sulla porta 443, la comunicazione dal load balancer alle istanze viene crittografata.

Se il load balancer utilizza una connessione crittografata per comunicare con le istanze, puoi anche opzionalmente abilitare l'autenticazione delle istanze. Questo garantisce che il load balancer comunica con un'istanza solo se la sua chiave pubblica corrisponde alla chiave specificata per il load balancer per questo scopo.

Per informazioni sull'aggiunta di un HTTPS listener a un sistema di bilanciamento del carico esistente, consulta. Configura un HTTPS listener per il tuo Classic Load Balancer

Prerequisiti

Prima di iniziare, assicurati che i seguenti prerequisiti siano soddisfatti:

• Completa le fasi descritte in Raccomandazioni per il tuo VPC.

• Avvia le EC2 istanze che intendi registrare con il tuo sistema di bilanciamento del carico. I gruppi di sicurezza per queste istanze devono consentire il traffico dal load balancer.

• Le EC2 istanze devono rispondere all'obiettivo del controllo di integrità con un codice di HTTP stato 200. Per ulteriori informazioni, consulta Controlli dello stato delle istanze del tuo Classic Load Balancer.

• Se prevedi di abilitare l'opzione keep-alive sulle tue EC2 istanze, ti consigliamo di impostare le impostazioni keep-alive almeno sulle impostazioni di timeout di inattività del tuo sistema di bilanciamento del carico. Se desideri garantire che il load balancer sia responsabile della chiusura delle connessioni all'istanza, assicurati che il valore impostato sull'istanza per il tempo di keep-alive sia superiore all'impostazione del timeout di inattività sul load balancer. Per ulteriori informazioni, consulta Configura il timeout per connessione inattiva per il Classic Load Balancer.

• Se crei un listener sicuro, devi distribuire un certificato server sul tuo sistema di bilanciamento del carico. SSL Il load balancer utilizza il certificato per terminare e quindi decrittografare le richieste prima di inviarle alle istanze. Se non disponi di un SSL certificato, puoi crearne uno. Per ulteriori informazioni, consulta SSL/TLScertificati per Classic Load Balancers.

Crea un sistema HTTPS di bilanciamento del carico utilizzando la console

In questo esempio, vengono configurati due listener per il load balancer. Il primo listener accetta HTTP le richieste sulla porta 80 e le invia alle istanze sulla porta 80 utilizzando. HTTP Il secondo listener accetta HTTPS le richieste sulla porta 443 e le invia alle istanze utilizzando la porta 80 (o utilizzando HTTP la porta 443 se si desidera configurare l'HTTPSautenticazione dell'istanza di back-end).

Si definisce listener il processo che verifica la presenza di richieste di connessione. È configurato con un protocollo e una porta sia per connessioni front-end (dal client al load balancer) sia per connessioni back-end (dal load balancer all'istanza). Per informazioni sulle configurazioni di porte, protocolli e listener supportati da Elastic Load Balancing, consulta Listener per il Classic Load Balancer.

Per creare il tuo Classic Load Balancer sicuro utilizzando la console

1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

2. Sulla barra di navigazione, seleziona una regione per il bilanciamento del carico. Assicurati di selezionare la stessa regione che hai selezionato per le tue EC2 istanze.

3. Nel pannello di navigazione, sotto Load Balancing (Bilanciamento del carico), scegli Load Balancers (Load balancer).

4. Seleziona Create Load Balancer (Crea load balancer).

5. Espandi la sezione Classic Load Balancer, quindi scegli Crea.

6. Configurazione di base

   1. In Nome del sistema di bilanciamento del carico, immetti un nome per il sistema di bilanciamento del carico.

      Il nome del Classic Load Balancer deve essere univoco nel set di Classic Load Balancer della regione, può essere composto da un massimo di 32 caratteri, può contenere solo caratteri alfanumerici e trattini e non deve iniziare o finire con un trattino.

   2. In Schema, seleziona Con connessione Internet.

7. Mappatura della rete

   1. Per VPC, seleziona la stessa VPC che hai selezionato per le tue istanze.

   2. In Mappature, seleziona innanzitutto una zona di disponibilità, quindi scegli una sottorete pubblica tra quelle disponibili. Puoi selezionare solo una sottorete per ogni zona di disponibilità. Per migliorare la disponibilità del sistema di bilanciamento del carico, seleziona più zone di disponibilità e sottoreti.

8. Gruppi di sicurezza

   1. Per i gruppi di sicurezza, seleziona un gruppo di sicurezza esistente configurato per consentire il HTTP traffico richiesto sulla porta 80 e il HTTPS traffico sulla porta 443.

      Se non è presente, puoi creare un nuovo gruppo di sicurezza con le regole necessarie.

9. Ascoltatori e instradamento

   1. Lascia l'ascoltatore predefinito con le impostazioni di default e seleziona Aggiungi listener.

   2. In Listener sul nuovo ascoltatore, seleziona HTTPS come protocollo e la porta verrà aggiornata a 443. Per impostazione predefinita, Istanza utilizza il protocollo HTTP sulla porta 80.

   3. Se è necessaria l'autenticazione back-end, modifica il protocollo dell'istanza su HTTPS. In questo modo, anche la porta dell'istanza viene aggiornata in 443.

10. Impostazioni listener sicuro

    Quando utilizzi HTTPS o SSL per il tuo listener front-end, devi distribuire un SSL certificato sul tuo sistema di bilanciamento del carico. Il load balancer utilizza il certificato per terminare la connessione e decrittografare le richieste provenienti dai client prima di inviarle alle istanze. Inoltre, occorre specificare una policy di sicurezza. Elastic Load Balancing fornisce policy di sicurezza con configurazioni di SSL negoziazione predefinite, oppure puoi creare policy di sicurezza personalizzate. Se hai configuratoHTTPS/SSLsulla connessione back-end, puoi abilitare l'autenticazione delle tue istanze.

    1. Per quanto riguarda la politica di sicurezza, ti consigliamo di utilizzare sempre la politica di sicurezza predefinita più recente o di creare una politica personalizzata. Vedi Aggiornamento della configurazione di SSL negoziazione.

    2. Per DefaultSSL/TLScertificate, sono disponibili le seguenti opzioni:

       • Se hai creato o importato un certificato utilizzando AWS Certificate Manager, seleziona Da ACM, quindi seleziona il certificato da Seleziona un certificato.

       • Se hai importato un certificato utilizzandoIAM, seleziona Da IAM, quindi seleziona il certificato da Seleziona un certificato.

       • Se hai un certificato da importare ma non ACM è disponibile nella tua regione, seleziona Importa, quindi seleziona IAM A. Digita il nome del certificato nel campo Nome del certificato. In Chiave privata del certificato, copia e incolla il contenuto del file della chiave privata (PEMcon codifica). Nel Corpo del certificato, copia e incolla il contenuto del file del certificato a chiave pubblica (PEM-encoded). In Certificate Chain, copia e incolla il contenuto del file della catena del certificato (PEM-encoded), a meno che non stiate utilizzando un certificato autofirmato e non sia importante che i browser accettino implicitamente il certificato.

    3. (Facoltativo) Se hai configurato il HTTPS listener per comunicare con le istanze utilizzando una connessione crittografata, puoi facoltativamente impostare l'autenticazione delle istanze nel certificato di autenticazione Backend.

       Nota

       Se non vedi la sezione Certificato di autenticazione di back-end, torna a Listener e routing e seleziona HTTPS come protocollo per Istanza.

       1. Per Certificate name (Nome certificato), digita il nome del certificato a chiave pubblica.

       2. Per Certificate Body (PEMcodificato), copia e incolla il contenuto del certificato. Il load balancer comunica con un'istanza solo se la sua chiave pubblica corrisponde a questa chiave.

       3. Per aggiungere un altro certificato, scegli Aggiungi nuovo certificato di back-end. Il limite è cinque.

11. Controlli dell'integrità

    1. Nella sezione Ping della destinazione, seleziona un Protocollo Ping e una Porta Ping. Le EC2 istanze devono accettare il traffico sulla porta ping specificata.

    2. In Porta Ping, assicurati che la porta sia 80.

    3. In Percorso ping, sostituisci il valore predefinito con una barra singola (/). In questo modo Elastic Load Balancing invierà le richieste di controllo dell'integrità alla home page predefinita del server web, ad esempio index.html.

    4. In Impostazioni avanzate del controllo dell'integrità, utilizza i valori predefiniti.

12. Istanze

    1. Seleziona Aggiungi istanze per visualizzare la schermata di selezione delle istanze.

    2. In Istanze disponibili puoi selezionare le istanze attualmente disponibili per il sistema di bilanciamento del carico, in base alle impostazioni di rete selezionate in precedenza.

    3. Dopo aver effettuato le selezioni, scegli Conferma per aggiungere le istanze da registrare al sistema di bilanciamento del carico.

13. Attributes

    1. Mantieni i valori predefiniti per Abilita il sistema di bilanciamento del carico tra zone, Abilita svuotamento della connessione e Timeout (intervallo di svuotamento).

14. Tag del sistema di bilanciamento del carico (facoltativo)

    1. Il campo Chiave è obbligatorio.

    2. Il campo Valore è facoltativo.

    3. Per aggiungere un altro tag, seleziona Aggiungi nuovo tag, quindi inserisci i valori nel campo Chiave e facoltativamente nel campo Valore.

    4. Per rimuovere un tag esistente, seleziona Rimuovi accanto al tag da rimuovere.

15. Riepilogo e creazione

    1. Se hai bisogno di modificare le impostazioni, seleziona Modifica accanto all'impostazione da cambiare.

    2. Dopo aver verificato le impostazioni mostrate nel riepilogo, seleziona Crea sistema di bilanciamento del carico per iniziare a creare il sistema di bilanciamento del carico.

    3. Nella pagina di creazione finale, seleziona Visualizza sistema di bilanciamento del carico per visualizzare il sistema di bilanciamento del carico nella console AmazonEC2.

16. Verify

    1. Seleziona il nuovo load balancer.

    2. Nella scheda Istanze di destinazione, verifica la colonna Stato di integrità. Dopo che almeno una delle tue EC2 istanze è in servizio, puoi testare il tuo sistema di bilanciamento del carico.

    3. Nella sezione Dettagli, copia il DNSnome del sistema di bilanciamento del carico, che sarà simile a. my-load-balancer-1234567890.us-east-1.elb.amazonaws.com

    4. Incolla il DNSnome del sistema di bilanciamento del carico nel campo dell'indirizzo di un browser web pubblico connesso a Internet. Se il sistema di bilanciamento del carico funziona correttamente, verrà visualizzata la pagina predefinita del server.

17. Rimozione (facoltativa)

    1. Se hai un CNAME record per il tuo dominio che punta al sistema di bilanciamento del carico, indirizzalo verso una nuova posizione e attendi che la DNS modifica abbia effetto prima di eliminare il sistema di bilanciamento del carico.

    2. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

    3. Selezionare il load balancer.

    4. Seleziona Operazioni, Elimina sistema di bilanciamento del carico.

    5. Quando viene richiesta la conferma, digita confirm, quindi scegli Elimina.

    6. Dopo aver eliminato un sistema di bilanciamento del carico, le EC2 istanze registrate con il sistema di bilanciamento del carico continuano a funzionare. Verranno addebitate le spese per ogni ora parziale o intera in cui continuano a funzionare. Quando non è più necessaria un'EC2istanza, è possibile interromperla o terminarla per evitare costi aggiuntivi.

Crea un sistema di HTTPS bilanciamento del carico utilizzando il AWS CLI

Utilizza le seguenti istruzioni per creare un sistema di SSL bilanciamento del caricoHTTPS/utilizzando. AWS CLI

Attività

• Fase 1: configurare i listener
• Fase 2: Configurare la politica SSL di sicurezza
• Fase 3: configurare l'autenticazione dell'istanza di back-end (facoltativo)
• Fase 4: configurare i controlli dell'integrità (facoltativo)
• Fase 5: EC2 Registrare le istanze
• Fase 6: verificare le istanze
• Fase 7: eliminare il load balancer (facoltativo)

Fase 1: configurare i listener

Si definisce listener il processo che verifica la presenza di richieste di connessione. È configurato con un protocollo e una porta per connessioni front-end (dal client al load balancer) e connessioni back-end (dal load balancer all'istanza). Per informazioni sulle configurazioni di porte, protocolli e listener supportati da Elastic Load Balancing, consulta Listener per il Classic Load Balancer.

In questo esempio, puoi configurare due listener per il load balancer specificando le porte e i protocolli da usare per le connessioni front-end e back-end. Il primo listener accetta HTTP le richieste sulla porta 80 e le invia alle istanze sulla porta 80 utilizzando. HTTP Il secondo listener accetta HTTPS le richieste sulla porta 443 e invia le richieste alle istanze utilizzando la porta 80. HTTP

Poiché il secondo listener lo utilizza HTTPS per la connessione front-end, è necessario distribuire un SSL certificato server sul sistema di bilanciamento del carico. Il load balancer utilizza il certificato per terminare e quindi decrittografare le richieste prima di inviarle alle istanze.

Per configurare i listener per il load balancer

1. Ottieni l'Amazon Resource Name (ARN) del SSL certificato. Per esempio:

   ACM

   arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

   IAM

   arn:aws:iam::123456789012:server-certificate/my-server-certificate

2. Usa il seguente create-load-balancercomando per configurare il load balancer con i due listener:

   aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=http,LoadBalancerPort=80,InstanceProtocol=http,InstancePort=80" "Protocol=https,LoadBalancerPort=443,InstanceProtocol=http,InstancePort=80,SSLCertificateId="ARN" --availability-zones us-west-2a

   Di seguito è riportata una risposta di esempio:

   {
     "DNSName": "my-loadbalancer-012345678.us-west-2.elb.amazonaws.com"
   }

3. (Facoltativo) Utilizzate il seguente describe-load-balancerscomando per visualizzare i dettagli del sistema di bilanciamento del carico:

   aws elb describe-load-balancers --load-balancer-name my-load-balancer

Fase 2: Configurare la politica SSL di sicurezza

Puoi selezionare una delle policy di sicurezza predefinite oppure creare la tua policy di sicurezza personalizzata. In caso contrario, Elastic Load Balancing configura il load balancer con la policy di sicurezza predefinita ELBSecurityPolicy-2016-08. Per ulteriori informazioni, consulta SSLconfigurazioni di negoziazione per Classic Load Balancer.

Per verificare che il load balancer sia associato alla policy di sicurezza di default

Utilizzando il seguente comando describe-load-balancers:

aws elb describe-load-balancers --load-balancer-name my-loadbalancer

Di seguito è riportata una risposta di esempio. Ricorda che ELBSecurityPolicy-2016-08 è associato a load balancer sulla porta 443.

{
    "LoadBalancerDescriptions": [
        {
            ...
            "ListenerDescriptions": [
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "SSLCertificateId": "ARN", 
                        "LoadBalancerPort": 443, 
                        "Protocol": "HTTPS", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": [
                        "ELBSecurityPolicy-2016-08"
                    ]
                }, 
                {
                    "Listener": {
                        "InstancePort": 80, 
                        "LoadBalancerPort": 80, 
                        "Protocol": "HTTP", 
                        "InstanceProtocol": "HTTP"
                    }, 
                    "PolicyNames": []
                }
            ],
            ...
        }
    ]
}

Se preferisci, puoi configurare la politica di SSL sicurezza per il tuo sistema di bilanciamento del carico anziché utilizzare la politica di sicurezza predefinita.

(Facoltativo) per utilizzare una politica di sicurezza predefinita SSL

1. Utilizzate il describe-load-balancer-policiescomando seguente per elencare i nomi delle politiche di sicurezza predefinite:

   aws elb describe-load-balancer-policies

   Per informazioni sula configurazione delle policy di sicurezza predefinite, consulta Politiche di sicurezza predefinite SSL.

2. Utilizzate il create-load-balancer-policycomando seguente per creare una politica di SSL negoziazione utilizzando una delle politiche di sicurezza predefinite descritte nel passaggio precedente:

   aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer
   --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
   --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=predefined-policy

3. (Facoltativo) Utilizzate il describe-load-balancer-policiescomando seguente per verificare che la politica sia stata creata:

   aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

   La risposta include la descrizione della policy.

4. Utilizzate il seguente comando set-load-balancer-policies-of-listener per abilitare la policy sulla porta 443 di load balancer:

   aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy

   Nota

   Il comando set-load-balancer-policies-of-listener sostituisce l'insieme di policy corrente per la porta del load balancer con l'insieme di policy specificato. L'elenco --policy-names deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata.

5. (Facoltativo) Utilizzate il seguente describe-load-balancerscomando per verificare che la policy sia abilitata:

   aws elb describe-load-balancers --load-balancer-name my-loadbalancer

   Di seguito è riportato un esempio di risposta che mostra che la policy è abilitata sulla porta 443.

   {
       "LoadBalancerDescriptions": [
           {
               ....
               "ListenerDescriptions": [
                   {
                       "Listener": {
                           "InstancePort": 80, 
                           "SSLCertificateId": "ARN", 
                           "LoadBalancerPort": 443, 
                           "Protocol": "HTTPS", 
                           "InstanceProtocol": "HTTP"
                       }, 
                       "PolicyNames": [
                           "my-SSLNegotiation-policy"
                       ]
                   }, 
                   {
                       "Listener": {
                           "InstancePort": 80, 
                           "LoadBalancerPort": 80, 
                           "Protocol": "HTTP", 
                           "InstanceProtocol": "HTTP"
                       }, 
                       "PolicyNames": []
                   }
               ],
               ...
           }
       ]
   }

Quando si crea una policy di sicurezza personalizzata, occorre abilitare almeno un protocollo e una crittografia. I DSA codici e RSA sono specifici dell'algoritmo di firma e vengono utilizzati per creare il SSL certificato. Se disponi già del SSL certificato, assicurati di abilitare il codice utilizzato per creare il certificato. Il nome della policy personalizzata non deve iniziare con ELBSecurityPolicy- o ELBSample-, poiché questi prefissi sono prenotati per i nomi delle policy di sicurezza predefinite.

(Facoltativo) per utilizzare una politica di sicurezza personalizzata SSL

1. Utilizzare il create-load-balancer-policycomando per creare una politica di SSL negoziazione utilizzando una politica di sicurezza personalizzata. Per esempio:

   aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer 
    --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType 
    --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true 
    AttributeName=Protocol-TLSv1.1,AttributeValue=true 
    AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true 
    AttributeName=Server-Defined-Cipher-Order,AttributeValue=true

2. (Facoltativo) Utilizzate il seguente describe-load-balancer-policiescomando per verificare che la politica sia stata creata:

   aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy

   La risposta include la descrizione della policy.

3. Utilizzate il seguente comando set-load-balancer-policies-of-listener per abilitare la policy sulla porta 443 di load balancer:

   aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy

   Nota

   Il comando set-load-balancer-policies-of-listener sostituisce l'insieme di policy corrente per la porta del load balancer con l'insieme di policy specificato. L'elenco --policy-names deve includere tutte le policy da abilitare. Se si omette una policy attualmente abilitata, questa viene disabilitata.

4. (Facoltativo) Utilizzate il seguente describe-load-balancerscomando per verificare che la policy sia abilitata:

   aws elb describe-load-balancers --load-balancer-name my-loadbalancer

   Di seguito è riportato un esempio di risposta che mostra che la policy è abilitata sulla porta 443.

   {
       "LoadBalancerDescriptions": [
           {
               ....
               "ListenerDescriptions": [
                   {
                       "Listener": {
                           "InstancePort": 80, 
                           "SSLCertificateId": "ARN", 
                           "LoadBalancerPort": 443, 
                           "Protocol": "HTTPS", 
                           "InstanceProtocol": "HTTP"
                       }, 
                       "PolicyNames": [
                           "my-SSLNegotiation-policy"
                       ]
                   }, 
                   {
                       "Listener": {
                           "InstancePort": 80, 
                           "LoadBalancerPort": 80, 
                           "Protocol": "HTTP", 
                           "InstanceProtocol": "HTTP"
                       }, 
                       "PolicyNames": []
                   }
               ],
               ...
           }
       ]
   }

Fase 3: configurare l'autenticazione dell'istanza di back-end (facoltativo)

Se configuriHTTPS/SSLsulla connessione back-end, puoi facoltativamente configurare l'autenticazione delle tue istanze.

Durante l'autenticazione dell'istanza di back-end crei una policy per la chiave pubblica. Quindi, utilizza questa policy per la chiave pubblica per creare una policy per l'autenticazione dell'istanza di back-end. Infine, imposti la politica di autenticazione dell'istanza di back-end con la porta dell'istanza per il protocollo. HTTPS

Il load balancer comunica con un'istanza solo se la chiave pubblica presentata dall'istanza al load balancer corrisponde a una chiave pubblica nella policy di autenticazione per il load balancer.

Per configurare l'autenticazione dell'istanza di back-end

1. Utilizzare il comando seguente per recuperare la chiave pubblica:

   openssl x509 -in your X509 certificate PublicKey -pubkey -noout

2. Utilizzate il seguente create-load-balancer-policycomando per creare una politica a chiave pubblica:

   aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-PublicKey-policy \
   --policy-type-name PublicKeyPolicyType --policy-attributes AttributeName=PublicKey,AttributeValue=MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w
    0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ
    WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw
    EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5
    jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh
    MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb
    WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx
    HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE
    BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI
    k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ
    ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr
    AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN
    KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo
    EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw
    3rrszlaEXAMPLE=

   Nota

   Per specificare un valore della chiave pubblica per --policy-attributes, rimuovere la prima e l'ultima riga della chiave pubblica (la riga contenente"-----BEGIN PUBLIC KEY-----"e la riga contenente"-----END PUBLIC KEY-----"). AWS CLI Non accetta spazi bianchi in--policy-attributes.

3. Utilizzare il create-load-balancer-policycomando seguente per creare una politica di autenticazione dell'istanza di back-end utilizzando. my-PublicKey-policy

   aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-authentication-policy --policy-type-name BackendServerAuthenticationPolicyType --policy-attributes AttributeName=PublicKeyPolicyName,AttributeValue=my-PublicKey-policy

   Opzionalmente, è possibile utilizzare più criteri della chiave pubblica. Il load balancer prova tutte le chiavi, una alla volta. Se la chiave pubblica presentata da un'istanza corrisponde a una di queste chiavi pubbliche, l'istanza viene autenticata.

4. Utilizzate il seguente for-backend-server comando set-load-balancer-policies- per impostare la my-authentication-policy porta dell'istanza per. HTTPS In questo esempio, la porta dell'istanza è 443.

   aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 443 --policy-names my-authentication-policy

5. (Facoltativo) Utilizzate il seguente describe-load-balancer-policiescomando per elencare tutte le politiche per il sistema di bilanciamento del carico:

   aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer

6. (Facoltativo) Utilizzate il seguente describe-load-balancer-policiescomando per visualizzare i dettagli della politica:

   aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-names my-authentication-policy

Fase 4: configurare i controlli dell'integrità (facoltativo)

Elastic Load Balancing controlla regolarmente lo stato di ogni EC2 istanza registrata in base ai controlli di integrità configurati. Se Elastic Load Balancing trova un'istanza non integra, interrompe l'invio del traffico all'istanza e indirizza il traffico verso le istanze integre. Per ulteriori informazioni, consulta Controlli dello stato delle istanze del tuo Classic Load Balancer.

Quando crei il load balancer, Elastic Load Balancing utilizza le impostazioni predefinite per i controlli dell'integrità. Se preferisci, puoi modificare la configurazione del controllo dello stato per il load balancer anziché utilizzare le impostazioni di default.

Per configurare i controlli dello stato per le istanze

Utilizzando il seguente comando configure-health-check:

aws elb configure-health-check --load-balancer-name my-loadbalancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3

Di seguito è riportata una risposta di esempio:

{
    "HealthCheck": {
        "HealthyThreshold": 2,
        "Interval": 30,
        "Target": "HTTP:80/ping",
        "Timeout": 3,
        "UnhealthyThreshold": 2
    }
}

Fase 5: EC2 Registrare le istanze

Dopo aver creato il sistema di bilanciamento del carico, è necessario registrare EC2 le istanze con il sistema di bilanciamento del carico. Puoi selezionare EC2 istanze da una singola zona di disponibilità o da più zone di disponibilità all'interno della stessa regione del sistema di bilanciamento del carico. Per ulteriori informazioni, consulta Istanze registrate per Classic Load Balancer.

Utilizzate il comando register-instances-with-load-balancer come segue:

aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Di seguito è riportata una risposta di esempio:

{
    "Instances": [
        {
            "InstanceId": "i-4f8cf126"
        },
        {
            "InstanceId": "i-0bb7ca62"
        }
    ]
}

Fase 6: verificare le istanze

Il load balancer è utilizzabile non appena una qualsiasi delle istanze registrate si trova nello stato InService.

Per verificare lo stato delle nuove EC2 istanze registrate, utilizzate il seguente comando: describe-instance-health

aws elb describe-instance-health  --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62

Di seguito è riportata una risposta di esempio:

{
    "InstanceStates": [
        {
            "InstanceId": "i-4f8cf126", 
            "ReasonCode": "N/A", 
            "State": "InService", 
            "Description": "N/A"
        }, 
        {
            "InstanceId": "i-0bb7ca62", 
            "ReasonCode": "Instance", 
            "State": "OutOfService", 
            "Description": "Instance registration is still in progress"
        }
    ]
}

Se il campo State di un'istanza è OutOfService, è probabile che le istanze siano ancora in corso di registrazione. Per ulteriori informazioni, consulta Risoluzione dei problemi di un Classic Load Balancer: registrazione dell'istanza.

Quando lo stato di almeno delle istanze è InService, puoi testare il load balancer. Per testare il sistema di bilanciamento del carico, copia il DNS nome del sistema di bilanciamento del carico e incollalo nel campo dell'indirizzo di un browser Web connesso a Internet. Se il sistema di bilanciamento del carico funziona, viene visualizzata la pagina predefinita del server. HTTP

Fase 7: eliminare il load balancer (facoltativo)

L'eliminazione di un sistema di bilanciamento del carico annulla automaticamente la registrazione delle istanze associate. EC2 Non appena il load balancer viene eliminato, i relativi addebiti vengono bloccati. Tuttavia, le EC2 istanze continuano a funzionare e tu continui a incorrere in addebiti.

Per eliminare il sistema di bilanciamento del carico, utilizza il seguente comando: delete-load-balancer

aws elb delete-load-balancer --load-balancer-name my-loadbalancer

Per interrompere le EC2 istanze, usa il comando stop-instances. Per terminare le istanze, usa il comando EC2 terminate-instances.