Listener für Ihren Classic Load Balancer - ELB
ProtokolleHTTPS/SSL-Listener

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Listener für Ihren Classic Load Balancer

Bevor Sie ELB verwenden, müssen Sie einen oder mehrere Listener für Ihren Classic Load Balancer konfigurieren. Ein Listener ist ein Prozess, der Verbindungsanfragen überprüft. Er wird mit einem Protokoll und einem Port für Frontend-Verbindungen (Client zu Load Balancer) sowie einem Protokoll und einem Port für Backend-Verbindungen (Load Balancer zu Backend-Instance) konfiguriert.

ELB unterstützt die folgenden Protokolle:

  • HTTP

  • HTTPS (sicheres HTTP)

  • TCP

  • SSL (sicheres TCP)

Das HTTPS-Protokoll verwendet das SSL-Protokoll, um sichere Verbindungen über den HTTP-Layer aufzubauen. Sie können auch das SSL-Protokoll verwenden, um sichere Verbindungen über den TCP-Layer aufzubauen.

Wenn die Frontend-Verbindung TCP oder SSL verwendet, können Ihre Backend-Verbindungen entweder TCP oder SSL verwenden. Wenn die Frontend-Verbindung HTTP oder HTTPS verwendet, können Ihre Backend-Verbindungen entweder HTTP oder HTTPS verwenden.

Backend-Instances können auf den Ports 1-65535 lauschen.

Load Balancer können auf den folgenden Ports lauschen: 1-65535

Inhalt

Protokolle

Kommunikation für eine typische Webanwendung wird durch Hardware- und Software-Layer geleitet. Jeder Layer bietet eine spezifische Kommunikationsfunktion. Die Kontrolle über die Kommunikationsfunktion wird nacheinander von einem Layer zum nächsten übergeben. Die Open System Interconnection (OSI) definiert ein Modell für die Implementierung eines Standardformats für die Kommunikation, das in diesen Layern als Protokoll bezeichnet wird. Weitere Informationen finden Sie unter OSI-Modell in Wikipedia.

Wenn Sie ELB verwenden, benötigen Sie ein grundlegendes Verständnis von Layer 4 und Layer 7. Layer 4 ist die Transportschicht, die die Transmission Control Protocol (TCP)-Verbindung zwischen dem Client und Ihrer Backend-Instance über den Load Balancer beschreibt. Layer 4 ist die niedrigste Ebene, die für Ihren Load Balancer konfiguriert werden kann. Layer 7 ist die Anwendungsebene, die die Verwendung von Hypertext Transfer Protocol (HTTP) und HTTPS (sicheres HTTP)-Verbindungen von den Clients zum Load Balancer und vom Load Balancer zur Backend-Instance beschreibt.

Das SSL-Protokoll (Secure Sockets Layer) wird in erster Linie für die Verschlüsselung vertraulicher Daten über unsichere Netzwerke wie das Internet verwendet. Das SSL-Protokoll stellt eine sichere Verbindung zwischen einem Client und dem Backend-Server her und stellt sicher, dass alle Daten zwischen Ihrem Client und Ihrem Server privat und integriert sind.

TCP/SSL-Protokoll

Wenn Sie TCP (Layer 4) für Frontend- und Backend-Verbindungen verwenden, leitet Ihr Load Balancer die Anforderung an die Backend-Instances weiter, ohne die Header zu ändern. Nachdem der Load Balancer die Anforderung empfangen hat, versucht er, eine TCP-Verbindung zu der Backend-Instance auf dem in der Listener-Konfiguration spezifizierten Port zu öffnen.

Da Load Balancer Datenverkehr zwischen Clients und Ihren Backend-Instances abfangen, enthalten die Zugriffsprotokolle für Ihre Backend-Instance die IP-Adresse des Load Balancer statt des ursprünglichen Clients. Sie können Proxy-Protokoll aktivieren, damit ein Header mit den Verbindungsinformationen des Clients, wie z. B. die Quell-IP-Adresse, Ziel-IP-Adresse und Port-Nummern, hinzugefügt wird. Der Header wird im Rahmen der Anforderung dann wieder an die Backend-Instance gesendet. Sie können die erste Zeile in der Anforderung parsen, um die Verbindungsinformationen abzurufen. Weitere Informationen finden Sie unter Konfigurieren Sie das Proxyprotokoll für Ihren Classic Load Balancer.

Mit dieser Konfiguration erhalten Sie keine Cookies für Sticky Sessions oder X-Forwarded-Header.

HTTP/HTTPS-Protokoll

Wenn Sie HTTP (Layer 7) sowohl für Front-End- als auch für Back-End-Verbindungen verwenden, analysiert Ihr Load Balancer die Header in der Anfrage, bevor er die Anfrage an die Back-End-Instances sendet.

Für jede registrierte und fehlerfreie Instance hinter einem Load HTTP/HTTPS Balancer öffnet und verwaltet ELB eine oder mehrere TCP-Verbindungen. Diese Verbindungen gewährleisten, dass immer eine Verbindung für den Empfang von HTTP/HTTPS-Anforderungen bereitsteht.

Die HTTP-Anforderungen und -Antworten verwenden Header-Felder, um Informationen über HTTP-Nachrichten zu senden. ELB unterstützt X-Forwarded-For Header. Da Load Balancer Datenverkehr zwischen Clients und Servern abfangen, enthalten Ihre Server-Zugriffsprotokolle nur die IP-Adresse des Load Balancer. Verwenden Sie den X-Forwarded-For-Anforderungs-Header, um die IP-Adresse des Clients anzuzeigen. Weitere Informationen finden Sie unter X-Forwarded-For.

Wenn Sie HTTP/HTTPS verwenden, können Sie Sticky Sessions auf Ihrem Load Balancer aktivieren. Eine Sticky Session bindet eine Benutzersitzung an eine bestimmte Backend-Instance. So wird sichergestellt, dass alle Anforderungen, die während der Sitzung vom Benutzer gesendet werden, an dieselbe Backend-Instance weitergeleitet werden. Weitere Informationen finden Sie unter Konfigurieren von Sticky Sessions für Ihren Classic Load Balancer.

Der Load Balancer unterstützt nicht alle HTTP-Erweiterungen. Sie benötigen möglicherweise einen TCP-Listener, wenn der Load Balancer nicht in der Lage ist, die Anforderung zu beenden, da unerwartete Methoden, Antwortcodes oder andere Nicht-Standard-HTTP 1.0/1.1-Implementierungen vorliegen.

HTTPS/SSL-Listener

Sie können einen Load Balancer mit den folgenden Sicherheitsfunktionen erstellen.

SSL-Serverzertifikate

Wenn Sie HTTPS oder SSL für Ihre Frontend-Verbindungen verwenden, müssen Sie ein X.509-Zertifikat (SSL-Server-Zertifikat) auf Ihrem Load Balancer bereitstellen. Der Load Balancer entschlüsselt Anforderungen von Clients, bevor er sie an die Backend-Instances zurücksendet (auch als SSL-Terminierung bezeichnet). Weitere Informationen finden Sie unter SSL/TLS-Zertifikate für Classic Load Balancer.

Wenn Sie nicht möchten, dass der Load Balancer den SSL-Abschluss (auch als SSL-Auslagerung bezeichnet) übernimmt, können Sie TCP für die Frontend- und Backend-Verbindungen verwenden und Zertifikate auf den registrierten Instances, die die Anforderungen bearbeiten, bereitstellen.

SSL-Aushandlung

ELB bietet vordefinierte SSL-Verhandlungskonfigurationen, die für die SSL-Aushandlung verwendet werden, wenn eine Verbindung zwischen einem Client und Ihrem Load Balancer hergestellt wird. Die SSL-Aushandlungskonfigurationen sind mit einer breiten Palette von Clients kompatibel und verwenden hochfeste kryptografische Algorithmen, die als Verschlüsselungen bezeichnet werden. Bei manchen Anwendungsfällen müssen alle Daten im Netzwerk verschlüsselt werden, und es werden nur bestimmte Verschlüsselungen zugelassen. Einige Sicherheits-Compliance-Standards (z. B. PCI, SOX usw.) erfordern möglicherweise bestimmte Protokolle und Verschlüsselungen von Clients, um sicherzustellen, dass die Sicherheitsstandards erfüllt werden. In diesen Fällen können Sie eine benutzerdefinierte SSL-Aushandlungskonfiguration basierend auf Ihren spezifischen Anforderungen erstellen. Ihre Verschlüsselungen und Protokolle sollten innerhalb von 30 Sekunden wirksam werden. Weitere Informationen finden Sie unter SSL-Aushandlungskonfigurationen für Classic Load Balancer.

Backend-Serverauthentifizierung

Wenn Sie HTTPS oder SSL für Ihre Backend-Verbindungen verwenden, können Sie die Authentifizierung Ihrer registrierten Instances aktivieren. Sie können dann das Authentifizierungsverfahren verwenden, um sicherzustellen, dass die Instances nur verschlüsselte Kommunikation akzeptieren und jede registrierte Instance den richtigen öffentlichen Schlüssel besitzt.

Weitere Informationen finden Sie unter Konfigurieren der Backend-Authentifizierung.