应用程序负载平衡器(ELBv2)SSL直通
我正在尝试配置AWS应用型负载均衡器(与经典负载均衡器相比)以将流量分配到我的EC2 Web服务器。出于合规性原因,我的应用程序需要端到端SSL/HTTPS加密。
在我看来,确保在客户端和web服务器之间的整个过程中对流量进行加密的最简单方法是终止web服务器上的HTTPS连接。
我的第一个问题:是否可以通过AWS应用程序负载平衡器将HTTPS流量以这种方式传递到负载平衡器后面的web服务器?
根据我从AWS文档中收集的信息,可以使用经典的负载平衡器(通过TCP传递)以这种方式传递流量。但是,应用程序负载平衡器似乎要终止HTTPS连接本身,然后执行以下操作之一:
- 未加密地将流量发送到web服务器,出于法规遵从性原因,我无法这样做
- 创建到web服务器的新HTTPS连接,这似乎是额外的工作量
我的第二个问题:对留档的理解正确吗?
共有1个答案
终止web服务器上的SSL连接需要将负载平衡器侦听器从HTTPS更改为TCP。ALB不支持此功能,仅支持经典ELB。此外,如果您在web服务器上终止SSL,负载平衡器将无法检查请求,因为它无法解密请求,因此它将无法执行ALB支持的所有新奇的路由操作。
如果您实际上想将ALB用于它提供的新功能,并且需要端到端加密,则必须在ALB终止SSL并在Web服务器上安装SSL证书。Web服务器证书可能类似于自签名证书,因为只有ALB会看到该证书,而不是客户端。
我假设您需要端到端加密是出于合规性原因(PCI、HIPAA等)。否则没有非常令人信服的理由去经历设置它的麻烦。
-
是否可以使用AWS应用程序负载平衡器和双向ssl(客户端证书)? 我当前的设置支持使用通过tcp到Web服务器endpoint的经典ELB转发。我现在需要使用URL路由流量,并希望在可能的情况下使用AWS应用程序负载均衡器进行路由。 如果没有,有没有关于如何在AWS中使用url路由流量的建议?
-
如何将aws应用型负载均衡器和网络负载均衡器直接与自动缩放组(ASG)连接?在AWS控制台中,只有经典负载均衡器可用。我想要的是,每当在自动缩放组中启动实例时,它将开始直接向应用程序/网络负载均衡器报告,而不是手动输入目标组中的每个实例。
-
我希望在现有的服务器设置中集成WAF,因为我有经典的负载平衡器(带有EC2实例),它不支持WAF,我需要迁移到应用程序负载平衡器。 是否可以在不更改DNS(记录)的情况下将现有的经典负载平衡器迁移到应用程序负载平衡器?
-
我有一个java应用程序在两个ec2实例中运行,客户可以使用AWS应用程序负载均衡器访问它们。现在ALB可以作为SSL终止点工作。所有请求都通过端口443上的ALB。工作正常。问题是java应用程序有时需要重定向到不同的路径。由于java应用程序不知道它在SSL ALB后面运行,因此重定向路径包括超文本传输协议://而不是https:// 有什么方法可以在我的应用程序之外将协议修改为https?
-
我正在尝试设置应用型负载均衡,以将流量转发到AWS中的Nginx入口控制器。要设置Nginx入口控制器,我使用的是从安装说明中获得的YML。 部署后,一切正常,流量正确转发到EKS pod。但是,上面的YML文件正在aws中创建“经典负载均衡器”,因为我想创建“应用型负载均衡器”。我将“service.beta.kubernetes.io/aws-load-balancer-type: elb”更
-
AWS推出了应用程序负载平衡器,可以进行基于路径的路由。是否可以将经典负载平衡器放在应用程序负载平衡器之后。 示例:假设我们有两个经典的负载平衡器。应用程序负载平衡器将流量路由到所有url(如应用程序负载平衡器/前端)的第一个经典负载平衡器,并将流量路由到所有url(如应用程序负载平衡器/后端)的第二个经典负载平衡器* 目前,似乎我们只能将主机置于应用程序负载平衡器之后。是否可以将负载平衡器置于应