在AWS中为 EC2 实例上的网站或应用程序启用https证书方式二:负载均衡器(ALB)

已于 2024-08-21 12:40:34 修改
阅读量396 收藏 9
点赞数 16
文章标签: aws 负载均衡 云计算
于 2024-08-21 12:39:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SINGWIN01/article/details/141390268
版权

环境说明:

这个方案更适合有负载均衡器需求的场景,因为ALB 是一个高度可用和可扩展的服务,可以自动分担应用程序的流量负载。如果单个 EC2 实例发生故障,ALB 会自动将流量重新路由到健康的实例,从而确保网站的高可用性。这里比较重要的一点是ALB 可以终止 SSL/TLS 连接,并将解密后的数据流转发到后端 EC2 实例,降低了实例的计算开销。所以意味着ALB和EC2之间是http通信,但是一般后端目标组内EC2处于一个私有子网内网的的一个状态,倒也没有这么大所谓。

实验环境说明:

一个域名,一台EC2服务器(OS:Amazon Linux 2023(Fedora)),使用nginx作为网页服务器,负载均衡器和自动扩展组(可选:实验里没有建议实际环境要有)。

操作步骤:

第一步:创建负载均衡器

可以根据实际参考这篇文章:AWS创建负载均衡器(控制台)_aws health checks failed with these codes: [404]-CSDN博客(注意负载均衡器要和EC2同VPC)

1.2(可选):为了网站的高可用性和扩展性建议使用自动扩展组

可以根据实际参考这篇文章:AWS AutoScaling自动扩展组创建_创建自定义aws ec2 auto scaling ami-CSDN博客(注意VPC要保持一致性)

第二步:申请证书或导入证书

如果使用的是route53,可以在ACM申请免费的公有证书(其它域名厂商也可以,只要记录做对)

可以根据实际参考这篇文章:AWS 在AWS上请求公有证书(免费)_亚马逊域名免费证书-CSDN博客

第三方像我们在上一篇文章申请下来可以参考:AWS 将在AWS之外获得的证书导入到AWS_aws iam identity center不支持的区域,如何导证书-CSDN博客

Let’s Encrypt一般会保存在/etc/letsencrypt/live/域名/

对于证书主体,使用 cert.pem,对于证书私钥,使用 privkey.pem,对于证书链,使用 fullchain.pem

第三步:编辑route53记录

在记录这里添加一条ALB的记录,添加完成等一会传播再去访问。

此时还没有加证书访问应该为不安全

第四步:编辑侦听器规则

这里是做了一个http重定向https的操作,当然不做也是可以直接443转发到目标组(注意:目标组端口得是80,如果填的443本身EC2服务器上并没有安装证书这个端口肯定是访问不了)只是怕有些用户会发http请求无法访问。如果像上一篇用第三方证书就直接都走443就好了

将80端口进来的流量转发到443端口里

再添加一个443端口的侦听器

选择第二步中申请下来的证书

完整的http重定向https的侦听器规则

第五步:验证访问

AWS亚马逊云服务全球代理
关注
  • 16
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
使用EC2 Userdata为丢失密钥的EC2更换密钥
08-22 622
背景描述:因为AWS密钥只允许创建好后第一时刻下载一次,之后下载完之后不再支持下载。因此保护密钥成是重中之重,更改换密钥也有多种方式其中官方介绍的五种方式:恢复方法 1:使用 EC2 用户数据(Userdata)恢复方法 2:使用 Amazon Systems Manager恢复方法 3:使用 EC2 Instance Connect恢复方法 4:使用 EC2 Serial Console恢复方法 5:使用 EBS Volume Swap。
博客
AWS Cloudfront 限制对 Application Load Balancer 的访问
08-21 655
第一步:进到相应Cloudfront内,点击源进行编辑添加标头请使用随机生成的值。将标头名称和值视为安全凭证,如用户名和密码。第二步:添加负载均衡器侦听器规则选择一个目标组设置优先级然后修改原来规则,然后它返回403或者其它第三步:修改完成后验证访问ALB应该如图再访问对应的Cloudfront。
博客
在AWS中为 EC2 实例上的网站或应用程序启用https证书方式三:Cloudfront
08-21 245
因为Cloudfront的流量费用在这几个当中是最便宜的了,并且依靠Cloudfront的特性:全球内容分发、DDoS 缓解、静态内容缓存等等。因为cloud front有自带证书所以访问是https,但是Cloudfront的域名无法自定义也不好记,肯定要用回自己的域名和证书。去route 53创建一条相关记录,记录名称那里要和前面Cloudfront的记录一样才能找到别名记录。因为我们想要访问的网站就显示https,其余根据实际需求来,这里暂时关闭WAF保护其余保持默认。
博客
在AWS中为 EC2 实例上的网站或应用程序启用https证书方式一:第三方证书(Let’s Encrypt)
08-20 638
因为ACM上面申请的免费公有证书无法下载到服务器上使用,所以在某处的流量是要以http进行通信的。这方案的缺点是证书无法自动续签,需要自己手动续签保持证书不过期不影响使用(最下面有参考链接)。原本Amazon Linux 2023系统是Fedora,但是软件库里面并没有snapd除非自己去加,所以这里采取pip更加通用的方式去做 ,根据官网的指示去做。运行此命令以获取证书并让 Certbot 自动编辑您的 nginx 配置以提供服务,只需一步即可启用 HTTPS 访问。3.安装 Certbot。
博客
使用Transit Gateway实现同账户不同区域不同VPC对等连接
08-20 296
在一个账户中有多个地区的多个VPC需要进行通信,如果使用VPC对等连接就要建立大量的对等连接数,而Transit Gateway可以实现。去到中转网关路由表找到对应的路由表创建静态路由,建立路由项,类外一个中转网关路由表也一样创建对应路由项。最后测试,测试的EC2的安全组要开放ICMP,不然也ping不通。另外一个VPC重复以上操作,来创建中转网关挂载。修改VPC路由表,添加中转网关挂载,另一个也一样。1.创建一个中转网关,分别在两个区域都要创建。2.为每一个VPC创建中转网关挂载。
博客
AWS S3跨账户迁移复制
08-20 598
arn:aws:iam::SourceBucket-account-ID:role/source-account-IAM-role:填写在源账户的创建的角色arn。如果后续遇到什么期限问题也可以权限临时全开(如源桶账号为⾃主可控,可先attach s3-full-access 权限,后续控制最⼩权限)ObjectDestinationBucket:是目标账户的桶 ObjectSourceBucke:源账户的桶。arn:aws:s3:::DESTINATION-BUCKET:填写目标桶的arn。
博客
为ALB配置S3存储日志
08-19 255
划到下面监控,将 S3 存储路径输入进去。建议访问日志和连接日志分开存放,保存更改。去到 S3 桶对应的文件夹查看,会发现 AWSLogs 这个文件夹被创建。:root"#标红的 elb-account-id 是新加坡。第三步,来到 EC2 控制台找到要配置的负载均衡器。如果你地区不一样请查看上面的官方文档链接查找替代。前置条件:一个负载均衡器和同一区域的 S3 桶。进到该负载均衡器的信息页面招待属性,点击编辑。到最后的路径下可以看到两个测试文件。第二步为 S3 桶配置桶策略。第四步验证是否成功。
博客
AWS EC2更改实例类型
08-19 150
首先登陆到EC2控制台在左侧选择实例,选中一个实例(得先停止实例),点击操作,点击下拉框中的实例设置,找到更改实例类型。在新实例类型选择想要的实例类型后点击应用然后点击实例状态启动现有实例,就好了
博客
AWS EC2安全组规则添加修改
07-30 147
类型选中对应的网络协议,源因为需要外部ping进来要公开访问选择任何位置或者填0.0.0.0/0,然后保存规则。第二步,在左侧导航栏找到实例,选中一个EC2,在下面找到安全,点击安全组蓝色字体就可以去到对应的安全组那。客户问题:例如 服务器为什么ping不通,80或者其它端口为什么不通,在哪里修改对应安全组规则等。例子1,服务器为什么ping不通,没有配置ICMP对应出入站规则前。第一步登陆控制台,在左上角搜索框搜索EC2。第三步编辑入站规则或出站规则。
博客
AWS route53域名转移到其它AWS账户(控制台)
07-30 282
第四步:登陆目的账户的AWS Route53控制台在左侧导航栏找到→请求,可以看到一个转入请求,选中此请求,点击右上角操作,在下拉框中选择接受。第一步:登陆上AWS Router53 控制台,在左侧导航栏找到→已注册的域→点击蓝色字体对应域名进入到详细界面。第五步,在密码处输入刚获取的转移密码,勾选同意条款,转移域。新转移的域名NS服务器记录会原来不一样可能会导致无法正常,建议修改用新的替换掉。第二步:点击右上角的转出,下拉框选择转移到另一个 AWS 账户。第三步:输入目的账户的ID,点击确认。
博客
使用system manager配置cloudwatch agent
06-17 720
但在实际使用的项目中,以内存监控为代表的系统、应用层面的监控是系统监控中的非常重要的一环,所以AWS提供了Cloudwatch Agent来帮助用户将EC2实例中的系统层面的信息,如:内存及其他相关信息通过Cloudwatch展现出来,这些信息的访问权仍然属于用户自己。接下来就是对日志的收集,日志中最好已经有数据了,如果需要可以增加更多日志,并指定到对应的Cloudwatch Logs Group中。默认情况下,AWS的监控服务Cloudwatch并没有对EC2内的内存总量和使用情况进行监控。
博客
AWS使用costexplorer查看EC2流量
06-17 316
第一步登录控制台点击右上角账号ID,在下拉框点击账单与成本管理第二步在左侧导航栏成本分下,找到 Cost Explorer,然后就可以配置报告参数选范围和粒度我们就以按月来粒度为每月为例,在服务中选择EC2服务往下滑动找到使用类型,搜索out-bytes并全部选择,点击应用然后就会显示时间范围内的EC2出站流量也可以选择单台EC2,在报告参数中找到Resource并搜索EC2服务然后在EC2实例中选择一个或多个实例,点击应用但是只能看最近14天的数据
博客
AWS 为账户设置账单成本预警通知
04-22 238
进入AWS控制台,右上角选择“账单与成本管理”在控制台右侧选择“Budgets status”使用“简化模板”,选择“每月成本预算”,填写预算金额填写接收预警的收件邮箱(支持多个),点击“创建预算”
博客
AWS 提交支持案例工单(Support case)教程
04-22 371
登录 AWS 管理控制台,访问 AWS 网站,输入账号凭证登录,打开 AWS 支持中心,在服务列表中选择 "支持",进入 AWS 支持中心主页,创建新的工单,点击 "创建案例",选择工单类别和服务,填写工单标题和描述,提供工单详情,上传相关文件或截图,设置工单严重程度,选择首选语言和联系方式,提交并跟踪工单,检查工单概要信息,提交工单,等待 AWS 支持团队响应,工单响应和沟通,查看工单状态和更新,与支持工程师沟通交流工单解决后关闭工单
博客
AWS RDS-Mysql通过蓝绿部署后使用DMS工具进行迁移(同AWS平台,跨账号迁移)
04-22 1034
源数据库binlog文件为Mixed格式,使用DMS迁移需要将binlog文件转换为ROW格式。binlog转换格式需要调整参数组,参数组该参数需要重启生效,但是生产环境数据库不能进行重启。
博客
AWS 提升服务配额限制(Service Quota Limit)
04-03 630
当我们想要创建一台EC2时,被告知cpu超出限制了,需要我们调整限制。
博客
AWS ALB 添加多个证书
04-03 288
进入ELB选中侦听器,点击管理侦听器,选择为SNI添加SSL证书。添加完成后可以更改默认值,现在访问可能仍是不安全,多刷一会就好了。选择证书,点击包含如下待处理事项添加证书,然后。
博客
AWS-EIP申请并关联EC2
04-03 170
第一步来EC2控制台,在左侧导航栏找到弹性IP,然后点击分配弹性IP地址。第三步选中刚才分配的EIP,点击操作,关联弹性IP地址。第三步选择实例,点击关联。
博客
AWS EC2 WINDOWS 重置管理员密码
04-03 519
在 Detected possible issues (检测到可能存在的问题) 屏幕上,选择 Reset Administrator Password (重置管理员密码),然后选择 Next (下一步)。在 Select a disk (选择磁盘) 屏幕上,选择 xvdfb设备,然后选择 Next (下一步)。在 Confirm (确认) 屏幕上,选择 Rescue (抢救),然后选择 OK (确定)。在 Summary (摘要) 屏幕上,查看信息,然后选择 Next (下一步)。
博客
AWS 导入证书
04-03 295
进入ACM控制台,点击导入证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值