Creazione di un ascoltatore HTTPS per Application Load Balancer - Sistema di bilanciamento del carico elastico
PrerequisitiAggiunta di un ascoltatore HTTPS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un ascoltatore HTTPS per Application Load Balancer

Un ascoltatore verifica la presenza di richieste di connessione. La definizione del listener avviene al momento della creazione di un sistema di bilanciamento del carico; si possono aggiungere listener al sistema in qualsiasi momento.

Per creare un listener HTTPS, è necessario distribuire almeno un certificato del server SSL sul sistema di bilanciamento del carico. Il sistema di bilanciamento del carico utilizza il certificato del server per terminare la connessione front-end e quindi decrittografare le richieste provenienti dai client prima di inoltrarle alle destinazioni. È inoltre necessario specificare una politica di sicurezza, che viene utilizzata per negoziare connessioni sicure tra i client e il sistema di bilanciamento del carico.

Se è necessario passare traffico crittografato alle destinazioni senza una decrittazione da parte del sistema di bilanciamento del carico, è possibile creare un Network Load Balancer o un Classic Load Balancer con un ascoltatore TCP sulla porta 443. Con un ascoltatore TCP, il sistema di bilanciamento del carico passa il traffico crittografato alle destinazioni senza decrittarlo.

L’informazione in questa pagina consente di creare un listener HTTPS per il sistema di bilanciamento del carico. Per aggiungere un listener HTTP al sistema di bilanciamento del carico consulta Creazione di un ascoltatore HTTP per Application Load Balancer.

Prerequisiti

  • Per aggiungere un'operazione di inoltro alla regola predefinita del listener, è necessario specificare un gruppo target disponibile. Per ulteriori informazioni, consulta Crea un gruppo target per il tuo Application Load Balancer.

  • È possibile specificare lo stesso gruppo di destinazioni in più ascoltatori, che però devono appartenere allo stesso sistema di bilanciamento del carico. Per utilizzare un gruppo di destinazioni con un sistema di bilanciamento del carico, è necessario verificare non sia utilizzato da un ascoltatore per nessun altro sistema di bilanciamento del carico.

  • Gli Application Load Balancer non supportano le chiavi. ED25519

Aggiunta di un ascoltatore HTTPS

Si configura un listener con un protocollo e una porta per le connessioni dai client al sistema di bilanciamento del carico. Per ulteriori informazioni, consulta Configurazione dei listener.

Quando si crea un listener sicuro, è necessario specificare una politica di sicurezza e un certificato. Per aggiungere certificati all'elenco dei certificati, vedereAggiunta di certificati all’elenco dei certificati.

È necessario configurare una regola predefinita per il listener. È possibile aggiungere altre regole per il listener dopo aver creato il listener. Per ulteriori informazioni, consulta Regole dei listener.

Console
Per aggiungere un listener HTTPS

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Seleziona Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Selezionare il load balancer.

  4. Nella scheda Ascoltatori e regole, scegli Aggiungi ascoltatore.

  5. In Protocol (Protocollo), scegli HTTPS. Mantieni la porta predefinita o inserisci una porta diversa.

  6. (Facoltativo) Per aggiungere una regola di autenticazione, seleziona Autentica, gli utenti hanno scelto un provider di identità e fornisci le informazioni richieste. Per ulteriori informazioni, consulta Autenticazione degli utenti tramite Application Load Balancer.

  7. Per Azione di routing, seleziona una delle seguenti azioni di routing e fornisci le informazioni richieste:

    • Inoltra ai gruppi target: scegli un gruppo target. Per aggiungere un altro gruppo target, scegli Aggiungi gruppo target, scegli un gruppo target, rivedi le percentuali relative e aggiorna i pesi secondo necessità. Devi abilitare la fedeltà a livello di gruppo se hai abilitato la fedeltà su uno qualsiasi dei gruppi target.

      Se non hai un gruppo target che soddisfi le tue esigenze, scegli Crea gruppo target per crearne uno subito. Per ulteriori informazioni, consulta Creazione di un gruppo target.

    • Reindirizza all'URL: inserisci l'URL inserendo ogni parte separatamente nella scheda Parti URI o inserendo l'indirizzo completo nella scheda URL completo. Per il codice di stato, selezionate temporaneo (HTTP 302) o permanente (HTTP 301) in base alle vostre esigenze.

    • Restituisci una risposta fissa: inserisci il codice di risposta da restituire in caso di mancata risposta alle richieste dei client. Facoltativamente, puoi specificare il tipo di contenuto e il corpo della risposta.

  8. Per la politica di sicurezza, selezioniamo la politica di sicurezza consigliata. È possibile selezionare una politica di sicurezza diversa in base alle esigenze.

  9. Per SSL/TLS Certificato predefinito, scegli il certificato predefinito. Aggiungiamo anche il certificato predefinito all'elenco SNI. Puoi selezionare un certificato utilizzando una delle seguenti opzioni:

    • Da ACM: scegli un certificato da Certificate (da ACM), che mostra i certificati disponibili da. AWS Certificate Manager

    • Da IAM: scegli un certificato da Certificate (da IAM), che mostra i certificati in cui hai importato. AWS Identity and Access Management

    • Importa certificato: scegli una destinazione per il tuo certificato; importa in ACM o importa in IAM. Per la chiave privata del certificato, copia e incolla il contenuto del file della chiave privata (con codifica PEM). Per Certificate Body, copia e incolla il contenuto del file di certificato a chiave pubblica (con codifica PEM). Per Certificate Chain, copia e incolla il contenuto del file della catena del certificato (con codifica PEM), a meno che non stiate utilizzando un certificato autofirmato e non sia importante che i browser accettino implicitamente il certificato.

  10. (Facoltativo) Per abilitare l'autenticazione reciproca, in Gestione dei certificati Client, abilita l'autenticazione reciproca (MTL).

    La modalità predefinita è passthrough. Se si seleziona Verifica con trust store:

    • Per impostazione predefinita, le connessioni con certificati client scaduti vengono rifiutate. Per modificare questo comportamento, espandi le impostazioni Advanced MTLS, quindi in Scadenza del certificato client seleziona Consenti certificati client scaduti.

    • Per Trust store, scegli un trust store esistente oppure scegli Nuovo trust store e fornisci le informazioni richieste.

  11. (Facoltativo) Per aggiungere tag, espandi i tag Listener. Scegliete Aggiungi nuovo tag e inserite la chiave del tag e il valore del tag.

  12. Scegli Add listener (Aggiungi listener).

AWS CLI
Per creare un listener HTTPS

Utilizzate il comando create-listener. L'esempio seguente crea un listener HTTPS con una regola predefinita che inoltra il traffico al gruppo di destinazione specificato.

aws elbv2 create-listener \
    --load-balancer-arn load-balancer-arn \
    --protocol HTTPS \
    --port 443 \
    --default-actions Type=forward,TargetGroupArn=target-group-arn \
    --ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06 \
    --certificates certificate-arn
CloudFormation
Per creare un listener HTTPS

Definire un tipo AWS::ElasticLoadBalancingV2::Listenerdi risorsa. L'esempio seguente crea un listener HTTPS con una regola predefinita che inoltra il traffico al gruppo di destinazione specificato.

Resources:
  myHTTPSListener:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties: 
      LoadBalancerArn: !Ref myLoadBalancer
      Protocol: HTTPS
      Port: 443
      DefaultActions:
        - Type: "forward"
          TargetGroupArn: !Ref myTargetGroup
      SslPolicy: ELBSecurityPolicy-TLS13-1-2-2021-06
      Certificates: 
        - CertificateArn: certificate-arn