我正在为https网站设置ELB,我对端口配置有疑问......
现在我在ELB上有这个端口配置:
在我的实例上,我有这个Apache配置:
显然它正在运作,但这是正确的方法吗?
感谢您的帮助
塞琳
PS:当我开始配置ELB时,我指示443转发到443,但后来我不得不回答有关身份验证的奇怪问题......
答案 0 :(得分:15)
问题中描述的配置不起作用,因为它创建了一个永无止境的重定向:443(ELB)转发到80(Apache)转发到443(ELB)转发到80(Apache)转发到443(ELB)等等。
所以,我修改了ELB配置:
当我创建转发到443(HTTPS)的侦听器443(HTTPS)时,我没有回答有关身份验证的问题。当我查看ELB描述时,我可以看到“后端身份验证:已禁用”
健康检查在HTTPS上完成:443
(我还修改了实例安全组:只有负载均衡器可以访问端口80和443上的实例)
<强>更新
另一个解决方案是在实例上只打开端口80:
但是要使用X-Forwarded-Proto来确定客户端是使用HTTP还是HTTPS并且仅在X-Forwarded-Proto = http
时转发到HTTPSApache的例子:
<VirtualHost *:80>
...
RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteCond %{HTTP_USER_AGENT} !^ELB-HealthChecker
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
...
</VirtualHost>
添加了行RewriteCond %{HTTP_USER_AGENT} !^ELB-HealthChecker,因此不会重定向ELB检查。有关健康检查的其他解决方案,请参阅https://serverfault.com/questions/470015/how-should-i-configure-my-elb-health-check-when-using-namevirtualhosts-and-redir
有关X-Forwarded-Proto的AWS文档:http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/x-forwarded-headers.html#x-forwarded-proto
答案 1 :(得分:0)
这是一种有效的方法。您可以让ELB处理SSL终止。
在某些合规情况下,整个路径必须一直加密到实例。如果这不适用于您,则您无需进行任何更改。