为您的 Applicati HTTPS on Load Balancer 创建侦听器 - Elastic Load Balancing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为您的 Applicati HTTPS on Load Balancer 创建侦听器

侦听器检查连接请求。您可在创建负载均衡器时定义侦听器,并可随时向负载均衡器添加侦听器。

要创建HTTPS侦听器,您必须在负载均衡器上部署至少一个SSL服务器证书。负载均衡器先使用服务器证书终止前端连接,再解密来自客户端的请求,然后将请求发送到目标。您还必须指定一个安全策略,以用于协商客户端与负载均衡器之间的安全连接。

如果您需要在不由负载均衡器解密的情况下将加密流量传递到目标,则可以在端口 443 上创建带有TCP侦听器的网络负载均衡器或 Classic Load Balancer。借助TCP侦听器,负载均衡器无需解密即可将加密流量传递到目标。

此页面上的信息可帮助您为负载均衡器创建HTTPS侦听器。要向您的负载均衡器添加HTTP侦听器,请参阅为您的 Applicati HTTP on Load Balancer 创建侦听器

先决条件

  • 要创建HTTPS侦听器,必须指定证书和安全策略。负载均衡器先使用证书终止连接,然后解密来自客户端的请求,最后再将请求路由到目标。负载均衡器在与客户端协商SSL连接时使用安全策略。

    应用程序负载均衡器不支持ED25519密钥。

  • 要将转发操作添加到默认侦听器规则,您必须指定可用的目标组。有关更多信息,请参阅 为您的应用程序负载均衡器创建目标组

  • 您可以在多个侦听器中指定同一个目标组,但这些侦听器必须属于同一个负载均衡器。要将目标组与负载均衡器结合使用,您必须确认其没有被任何其他负载均衡器的侦听器使用。

添加HTTPS监听器

您为侦听器配置用于从客户端连接到负载均衡器的协议和端口,并为默认侦听器规则配置目标组。有关更多信息,请参阅 侦听器配置

使用控制台添加HTTPS监听器
  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择负载均衡器。

  4. 侦听器和规则选项卡上,选择添加侦听器

  5. 对于 “协议:端口”,选择HTTPS并保留默认端口,或者输入其他端口。

  6. (可选)要启用身份验证,请在身份验证下选择使用 OpenID 或 Amazon Cognito,并提供所请求的信息。有关更多信息,请参阅 使用 Application Load Balancer 验证用户身份

  7. 对于 Default actions (默认操作),请执行下列操作之一:

    • 转发给目标组 – 选择一个或多个要将流量转发到其中的目标组。要添加目标组,请选择添加目标组。如果使用多个目标组,请为每个目标组选择权重并查看相关联的百分比。如果已对一个或多个目标组启用粘性,则必须在规则上启用组级粘性。

    • 重定向到 URL-指定URL客户端请求将重定向到的。这可以通过在URI零件选项卡上分别输入每个部分,或者在完整选项卡上输入完整地址来完成。URL对于状态码,您可以根据需要将重定向配置为临时 (HTTP302) 或永久 (HTTP301)。

    • 返回固定响应 – 指定将返回到已删除客户端请求的响应代码。此外,您以指定内容类型响应正文,但它们不是必需的。

  8. 对于安全策略,建议您始终使用最新的预定义安全策略。

  9. 对于 “默认”SSL/TLS证书,有以下选项可用:

    • 如果您使用创建或导入了证书 Amazon Certificate Manager,请选择 “”ACM,然后从 “选择证书” 中选择证书

    • 如果您使用导入证书IAM,请选择 “”IAM,然后从 “选择证书” 中选择您的证书

    • 如果您有要导入的证书,但在您所在的地区ACM不可用,请选择导入,然后选择收件人IAM。证书名称字段中输入证书的名称。在 “证书私钥” 中,复制并粘贴私钥文件(PEM-编码)的内容。在证书正文中,复制并粘贴公钥证书文件(PEM-编码)的内容。在证书链中,复制并粘贴证书链文件(PEM-encoded)的内容,除非您使用的是自签名证书,并且浏览器是否隐式接受证书并不重要。

  10. (可选)要启用相互身份验证,请在客户端证书处理下启用相互身份验证 (mTLS)

    启用后,默认的双向TLS模式为直通

    如果选择使用信任存储进行验证

    • 默认情况下,客户端证书已过期的连接会被拒绝。要更改此行为,请展开 Advanced m TLS 设置,然后在 “客户端证书到期” 下选择 “允许过期的客户端证书”。

    • 信任存储下,选择现有信任存储,或选择新建信任存储

      • 如果您选择 “新建信任存储”,请提供信任存储名称S3 URI 证书颁发机构位置以及(可选)S 3 URI 证书吊销列表位置

    • (可选)选择是否要启用 “宣传 TrustStore CA 主题名称”。

  11. 选择保存

要添加HTTPS监听器,请使用 Amazon CLI

使用 create-listener 命令可创建侦听器和默认规则,使用 create-rule 命令可定义更多侦听器规则。