在EC2和负载平衡器上安装SSL
我在AWS中的应用程序ELB后面有一个ec2实例。我想将SSL应用于ec2实例和负载平衡器。对于ec2实例,我购买了ssl并安装了它,它工作正常。对于负载平衡器,我将使用免费的AWS ACM证书并将其安装在负载平衡器上。这会有什么问题吗?i、 e.在ec2和elb上安装SSL。
共有2个答案
如果您在ELB使用SSl/TSL,它将处理HTTPS连接的加密/解密(释放EC2实例的CPU来做其他工作)。
如果对后端使用HTTPS/SSL连接,则可以在后端实例上启用身份验证。此身份验证可用于确保后端实例仅接受加密通信,并确保后端实例具有正确的证书。
由于ELB HTTPS侦听器不支持客户端SSL证书,因此在ELB和后端使用SSL/TLS可能会产生问题。我认为您正在使用双向SSL(双向或客户端身份验证)
它不会有任何问题,但有一个警告。进入应用程序负载平衡器(ALB)的流量将被加密,客户端将验证ACM证书。ALB发送到主机的流量也将被加密,但不会验证主机上的证书。
根据下面的参考资料,ALB后端身份验证似乎在AWS的路线图上。它不是优先事项的原因在撰写第一个参考资料的AWS工程师的这句话中进行了总结:
服务器证书在TLS中扮演的角色是对服务器进行身份验证,因此它不能被模拟或MITM。ALB仅在我们的Amazon VPC网络上运行,这是一个软件定义网络,我们在其中封装和验证数据包级别的流量。
这样做的好处是,当在主机前面使用ALB或ELB时,您可以在主机上使用自签名证书来节省资金。
如果您需要确保主机上的证书有效,您可以使用经典弹性负载均衡器(ELB)。有关更多详细信息,请参阅参考文献。
参考文献
AWS ALB验证TLS回复
AWS ELB配置后端身份验证
-
我是谷歌计算引擎的新手,已经使用gogole云启动器在计算引擎上安装了Wordpress。现在,我想为此设置负载平衡器,下面是我尝试的内容:一步一步: 使用创建vm实例的云启动器安装WP 我已经创建了一个新的VM实例 创建实例模板 创建实例组 然后我设置了健康检查 创建允许HTTP的防火墙规则 但我的负载平衡器不工作,当我尝试从负载平衡器IP打开Wordpress站点时,它会显示:服务器错误,暂时
-
目标:将弹性/静态IP分配给负载平衡器(LB),以服务于处理DNS(端口53)、HTTPS(端口443)、HTTP(端口80)的EC2实例。 需要静态IP来正确配置DNS记录(即A记录)。需要在后端/服务器上终止TLS,以提供无限制的 经典的负载平衡器允许自定义安全规则,并允许在EC2实例上终止SSL。问题是静态IP不能分配给经典LB,只能分配给其中的单个实例,这无法平衡负载。 要分配静态IP,我
-
是否可以使用AWS应用程序负载平衡器和双向ssl(客户端证书)? 我当前的设置支持使用通过tcp到Web服务器endpoint的经典ELB转发。我现在需要使用URL路由流量,并希望在可能的情况下使用AWS应用程序负载均衡器进行路由。 如果没有,有没有关于如何在AWS中使用url路由流量的建议?
-
我遵循了GKE教程,使用beta Inrit类型创建HTTP负载均衡器,并且在使用nginx映像时工作正常。我的问题是为什么Inrit是必要的。 我可以创建一个容器引擎集群,然后创建一个使用库伯内特斯创建的实例组作为服务后端的HTTP负载均衡器,并且一切似乎都运行良好。当仅在部分流程中使用库伯内特斯似乎运行良好时,为什么我要经历使用Inete的所有麻烦?
-
本文向大家介绍详解Centos7.2安装Nginx实现负载平衡,包括了详解Centos7.2安装Nginx实现负载平衡的使用技巧和注意事项,需要的朋友参考一下 下载Nginx 到官网下载源码文件,地址:http://nginx.org/en/download.html,选择最新版本。本人下载的地址为:http://nginx.org/download/nginx-1.10.2.tar.gz,可用w
-
我有两条溪流。一个是事件流,另一个是数据库更新流。我想用从DB更新流构建的信息丰富事件流。 事件流非常庞大,使用5个字段进行分区。这给了我很好的分配。DB流不那么喋喋不休,并且使用两个字段进行分区。我目前正在使用两个公共字段连接这两个流,并使用flapMap来丰富第一个流。flatMap运算符使用ValueState维护状态,状态由两个公共字段自动键入。 除了实现自定义逻辑来手动提取键并更新维护状