Buat listener HTTPS untuk Application Load Balancer Anda - Elastic Load Balancing
PrasyaratMenambahkan pendengar HTTPS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat listener HTTPS untuk Application Load Balancer Anda

Pendengar memeriksa permintaan koneksi. Anda menentukan listener saat membuat penyeimbang beban, dan Anda dapat menambahkan listener ke penyeimbang beban kapan Anda saja.

Untuk membuat pendengar HTTPS, Anda harus menerapkan setidaknya satu sertifikat server SSL pada penyeimbang beban Anda. Penyeimbang beban menggunakan sertifikat server untuk mengakhiri koneksi front-end dan kemudian mendekripsi permintaan dari klien sebelum mengirimkannya ke target. Anda juga harus menentukan kebijakan keamanan, yang digunakan untuk menegosiasikan koneksi aman antara klien dan penyeimbang beban.

Jika Anda perlu meneruskan lalu lintas terenkripsi ke target tanpa penyeimbang beban mendekripsi, Anda dapat membuat Network Load Balancer atau Classic Load Balancer dengan pendengar TCP di port 443. Dengan pendengar TCP, penyeimbang beban meneruskan lalu lintas terenkripsi ke target tanpa mendekripsi.

Informasi di halaman ini membantu Anda membuat listener HTTPS untuk penyeimbang beban Anda. Untuk menambahkan listener HTTP ke penyeimbang beban Anda, lihat Membuat listener HTTP untuk Application Load Balancer Anda.

Prasyarat

  • Untuk menambahkan tindakan maju ke peraturan listener default, Anda harus menentukan grup target yang tersedia. Untuk informasi selengkapnya, lihat Buat grup target untuk Application Load Balancer Anda.

  • Anda dapat menentukan grup target yang sama di beberapa pendengar, tetapi pendengar ini harus termasuk dalam penyeimbang beban yang sama. Untuk menggunakan grup target dengan penyeimbang beban, Anda harus memverifikasi bahwa grup tersebut tidak digunakan oleh pendengar untuk penyeimbang beban lainnya.

  • Application Load Balancers tidak mendukung ED25519 kunci.

Menambahkan pendengar HTTPS

Anda mengonfigurasi pendengar dengan protokol dan port untuk koneksi dari klien ke penyeimbang beban. Untuk informasi selengkapnya, lihat Konfigurasi listener.

Saat membuat pendengar yang aman, Anda harus menentukan kebijakan keamanan dan sertifikat. Untuk menambahkan sertifikat ke daftar sertifikat, lihatMenambahkan sertifikat ke daftar sertifikat.

Anda harus mengonfigurasi aturan default untuk pendengar. Anda dapat menambahkan aturan listener lainnya setelah Anda membuat listener. Untuk informasi selengkapnya, lihat Aturan pendengar.

Console
Untuk menambahkan pendengar HTTPS

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Pada panel navigasi, pilih Load Balancers.

  3. Pilih penyeimbang beban.

  4. Pada tab Listeners and rules, pilih Add listener.

  5. Untuk Protokol, pilih HTTPS. Simpan port default atau masukkan port yang berbeda.

  6. (Opsional) Untuk menambahkan aturan otentikasi, pilih Otentikasi pengguna memilih penyedia identitas, dan berikan informasi yang diperlukan. Untuk informasi selengkapnya, lihat Mengautentikasi pengguna menggunakan Application Load Balancer.

  7. Untuk tindakan Routing, pilih salah satu tindakan routing berikut dan berikan informasi yang diperlukan:

    • Teruskan ke grup sasaran - Pilih grup sasaran. Untuk menambahkan grup target lain, pilih Tambahkan grup target, pilih grup target, tinjau persentase relatif, dan perbarui bobot sesuai kebutuhan. Anda harus mengaktifkan kelengketan tingkat grup jika Anda mengaktifkan kekakuan pada salah satu grup target.

      Jika Anda tidak memiliki grup target yang memenuhi kebutuhan Anda, pilih Buat grup target untuk membuatnya sekarang. Untuk informasi selengkapnya, lihat Buat grup target.

    • Redirect ke URL - Masukkan URL dengan memasukkan setiap bagian secara terpisah pada tab bagian URI, atau dengan memasukkan alamat lengkap pada tab URL Lengkap. Untuk kode Status, pilih sementara (HTTP 302) atau permanen (HTTP 301) berdasarkan kebutuhan Anda.

    • Kembalikan respons tetap - Masukkan kode Respons untuk mengembalikan permintaan klien yang dijatuhkan. Secara opsional, Anda dapat menentukan jenis Konten dan badan Respons.

  8. Untuk kebijakan Keamanan, kami memilih kebijakan keamanan yang disarankan. Anda dapat memilih kebijakan keamanan yang berbeda sesuai kebutuhan.

  9. Untuk SSL/TLS sertifikat Default, pilih sertifikat default. Kami juga menambahkan sertifikat default ke daftar SNI. Anda dapat memilih sertifikat menggunakan salah satu opsi berikut:

    • Dari ACM — Pilih sertifikat dari Sertifikat (dari ACM), yang menampilkan sertifikat yang tersedia dari. AWS Certificate Manager

    • Dari IAM — Pilih sertifikat dari Sertifikat (dari IAM), yang menampilkan sertifikat yang Anda impor. AWS Identity and Access Management

    • Impor sertifikat - Pilih tujuan untuk sertifikat Anda; Impor ke ACM atau Impor ke IAM. Untuk kunci privat Sertifikat, salin dan tempel isi file kunci pribadi (dikodekan PEM). Untuk badan Sertifikat, salin dan tempel isi file sertifikat kunci publik (dikodekan PEM). Untuk Rantai Sertifikat, salin dan tempel konten file rantai sertifikat (dikodekan PEM), kecuali jika Anda menggunakan sertifikat yang ditandatangani sendiri dan tidak penting bahwa browser secara implisit menerima sertifikat.

  10. (Opsional) Untuk mengaktifkan otentikasi timbal balik, di bawah penanganan sertifikat Klien, aktifkan Mutual Authentication (mTLS).

    Mode default adalah passthrough. Jika Anda memilih Verifikasi dengan toko kepercayaan:

    • Secara default, koneksi dengan sertifikat klien yang kedaluwarsa ditolak. Untuk mengubah perilaku ini, perluas pengaturan mTL lanjutan, lalu di bawah kedaluwarsa sertifikat Klien pilih Izinkan sertifikat klien yang kedaluwarsa.

    • Untuk toko Trust, pilih toko kepercayaan yang ada, atau pilih Toko kepercayaan baru dan berikan informasi yang diperlukan.

  11. (Opsional) Untuk menambahkan tag, perluas tag Listener. Pilih Tambahkan tag baru dan masukkan kunci tag dan nilai tag.

  12. Pilih Tambahkan pendengar.

AWS CLI
Untuk membuat pendengar HTTPS

Gunakan perintah create-listener. Contoh berikut membuat pendengar HTTPS dengan aturan default yang meneruskan lalu lintas ke grup target yang ditentukan.

aws elbv2 create-listener \
    --load-balancer-arn load-balancer-arn \
    --protocol HTTPS \
    --port 443 \
    --default-actions Type=forward,TargetGroupArn=target-group-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06 \
    --certificates certificate-arn
CloudFormation
Untuk membuat pendengar HTTPS

Tentukan sumber daya tipe AWS::ElasticLoadBalancingV2::Listener. Contoh berikut membuat pendengar HTTPS dengan aturan default yang meneruskan lalu lintas ke grup target yang ditentukan.

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn