Criar um receptor HTTPS para seu Application Load Balancer - Elastic Load Balancing
Pré-requisitosAdicionar um receptor HTTPS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um receptor HTTPS para seu Application Load Balancer

Um receptor verifica se há solicitações de conexão. Você define um listener ao criar seu load balancer e você pode adicionar listeners ao seu load balancer a qualquer momento.

Para criar um receptor HTTPS, você deve implantar pelo menos um certificado de servidor SSL no balanceador de carga. O load balancer usa um certificado de servidor para encerrar a conexão front-end e descriptografa solicitações dos clientes antes de enviá-las aos destinos. Você também deve especificar uma política de segurança que será usada para negociar conexões protegidas entre os clientes e o balanceador de carga.

Se precisar transmitir tráfego criptografado para destinos sem que o balanceador de carga o decodifique, você poderá criar um Network Load Balancer ou Classic Load Balancer com um receptor TCP na porta 443. Com um receptor TCP, o balanceador de carga transmite o tráfego criptografado para os destinos sem descriptografá-lo.

As informações dessa página ajudam você a criar um listener HTTPS para o load balancer. Para adicionar um listener HTTPS ao seu load balancer, consulte Criar um receptor HTTP para seu Application Load Balancer.

Pré-requisitos

  • Para adicionar uma ação de encaminhamento à regra do listener padrão, você deve especificar um grupo de destino disponível. Para obter mais informações, consulte Criar um grupo de destino para o Application Load Balancer.

  • Você pode especificar o mesmo grupo de destino em vários receptores, mas esses receptores devem pertencer ao mesmo balanceador de carga. Para usar um grupo de destino com um balanceador de carga, você deve verificar se ele não está sendo usado por um receptor para nenhum outro balanceador de carga.

  • Os Application Load Balancers não oferecem suporte a ED25519 chaves.

Adicionar um receptor HTTPS

Você configura um ouvinte com um protocolo e uma porta para conexões de clientes ao balanceador de carga. Para obter mais informações, consulte Configuração do receptor.

Ao criar um ouvinte seguro, você deve especificar uma política de segurança e um certificado. Para adicionar certificados à lista de certificados, consulteAdicionar certificados à lista de certificados.

Você deve configurar uma regra padrão para o ouvinte. Você pode adicionar outras regras de ouvinte depois de criar o ouvinte. Para obter mais informações, consulte Regras do listener.

Console
Para adicionar um ouvinte HTTPS

  1. Abra o EC2 console da Amazon em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Balanceador de carga.

  3. Selecione o load balancer.

  4. Na guia Receptores e regras, escolha Adicionar receptor.

  5. Em Protocol, escolha HTTPS. Mantenha a porta padrão ou insira uma porta diferente.

  6. (Opcional) Para adicionar uma regra de autenticação, selecione Autenticar usuários, escolha um provedor de identidade e forneça as informações necessárias. Para obter mais informações, consulte Autenticar usuários usando um Application Load Balancer.

  7. Em Ação de roteamento, selecione uma das seguintes ações de roteamento e forneça as informações necessárias:

    • Encaminhar para grupos-alvo — Escolha um grupo-alvo. Para adicionar outro grupo-alvo, escolha Adicionar grupo-alvo, escolha um grupo-alvo, revise as porcentagens relativas e atualize os pesos conforme necessário. Você deve ativar a aderência em nível de grupo se tiver ativado a aderência em qualquer um dos grupos-alvo.

      Se você não tiver um grupo-alvo que atenda às suas necessidades, escolha Criar grupo-alvo para criar um agora. Para obter mais informações, consulte Criar um grupo de destino.

    • Redirecionar para URL — Insira o URL inserindo cada parte separadamente na guia Partes do URI ou inserindo o endereço completo na guia URL completo. Para Código de status, selecione temporário (HTTP 302) ou permanente (HTTP 301) com base em suas necessidades.

    • Retornar resposta fixa — insira o código de resposta para retornar as solicitações canceladas do cliente. Opcionalmente, você pode especificar o tipo de conteúdo e o corpo da resposta.

  8. Em Política de segurança, selecionamos a política de segurança recomendada. Você pode selecionar uma política de segurança diferente conforme necessário.

  9. Em SSL/TLS Certificado padrão, escolha o certificado padrão. Também adicionamos o certificado padrão à lista SNI. Você pode selecionar um certificado usando uma das seguintes opções:

    • Do ACM — Escolha um certificado do Certificado (do ACM), que exibe os certificados disponíveis do. AWS Certificate Manager

    • Do IAM — Escolha um certificado do Certificado (do IAM), que exibe os certificados para os quais você importou AWS Identity and Access Management.

    • Importar certificado — Escolha um destino para seu certificado; Importar para o ACM ou Importar para o IAM. Para a chave privada do certificado, copie e cole o conteúdo do arquivo de chave privada (codificado por PEM). Para Corpo do certificado, copie e cole o conteúdo do arquivo de certificado de chave pública (codificado por PEM). Para a cadeia de certificados, copie e cole o conteúdo do arquivo da cadeia de certificados (codificado por PEM), a menos que você esteja usando um certificado autoassinado e não seja importante que os navegadores aceitem implicitamente o certificado.

  10. (Opcional) Para ativar a autenticação mútua, em Tratamento de certificados do cliente, ative a autenticação mútua (mTLS).

    O modo padrão é de passagem. Se você selecionar Verificar com armazenamento confiável:

    • Por padrão, as conexões com certificados expirados de cliente são rejeitadas. Para alterar esse comportamento, expanda Configurações avançadas de mTLS e, em Expiração do certificado do cliente, selecione Permitir certificados expirados de cliente.

    • Para Armazenamento confiável, escolha um repositório confiável existente ou escolha Novo armazenamento confiável e forneça as informações necessárias.

  11. (Opcional) Para adicionar tags, expanda as tags Listener. Escolha Adicionar nova tag e insira a chave e o valor da tag.

  12. Escolha Add listener.

AWS CLI
Para criar um ouvinte HTTPS

Use o comando create-listener. O exemplo a seguir cria um ouvinte HTTPS com uma regra padrão que encaminha o tráfego para o grupo-alvo especificado.

aws elbv2 create-listener \
    --load-balancer-arn load-balancer-arn \
    --protocol HTTPS \
    --port 443 \
    --default-actions Type=forward,TargetGroupArn=target-group-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06 \
    --certificates certificate-arn
CloudFormation
Para criar um ouvinte HTTPS

Defina um recurso do tipo AWS::ElasticLoadBalancingV2::Listener. O exemplo a seguir cria um ouvinte HTTPS com uma regra padrão que encaminha o tráfego para o grupo-alvo especificado.

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn