Elastic beanstalk:负载均衡器DNS无法访问

时间:2015-07-06 16:19:38

标签: ssl amazon-web-services nginx amazon-ec2 docker

我在Docker容器中运行带有uWSGI的Django应用程序。此容器使用CLI中的Elastic Beanstalk启动,它使用负载均衡器(1到4个实例)。我修改了nginx配置以处理SSL层和基本的HTTP身份验证,这里是.ebextensions / 01ssl.config内容的开头:

Resource  
sslSecurityGroupIngress: 
Type: AWS::EC2::SecurityGroupIngress
Properties:
  GroupName: {Ref : AWSEBSecurityGroup}
  # GroupId: {Ref : AWSEBSecurityGroup}
  IpProtocol: tcp
  ToPort: 443
  FromPort: 443
  CidrIp: 0.0.0.0/0

files:
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
  # HTTPS Server

  server {
    listen 443;
    server_name .mydomain.com;
    ssl on;
    ssl_certificate /etc/pki/tls/certs/server.crt;
    ssl_certificate_key /etc/pki/tls/certs/server.key;

    ssl_session_timeout 5m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
    ssl_prefer_server_ciphers on;

    auth_basic "Restricted";
    auth_basic_user_file /etc/nginx/.htpasswd;

    location / {
      proxy_pass http://docker;
      proxy_http_version 1.1;

      proxy_set_header Connection "";
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
  }

问题是应用程序可通过eb(ec2-xxxx.eu-west-1.compute.amazonaws.com)创建的EC2实例访问,但不能通过负载均衡器URL(foobar-dev.elasticbeanstalk.com)访问)。当我直接访问EC2实例时,nginx(负载均衡器,对吧?)正确处理SSL和身份验证。 我的目标是将Route53与此应用程序一起使用,但是目前,如果我按照文档中的说明指定了负载均衡器URL,则它不起作用。 我错过了什么?

编辑1

谢谢Rico但不幸的是,它没有用,至少,它帮助我挖掘了权限的东西。 TCP端口443已经向EC2实例上的每个人开放(感谢第一个.ebextensions块)。

如果我在 EB控制台>中添加我的证书的安全端口443配置>网络层>负载平衡,运行状况检查URL无法访问,因为存在HTTP身份验证(错误401,状态检查为红色)。

我尝试在nginx配置中创建两个服务器,第一个侦听端口80并始终返回200,第二个重定向到我的应用程序并处理SSL和HTTP身份验证:

Resources:
sslSecurityGroupIngress: 
Type: AWS::EC2::SecurityGroupIngress
Properties:
  GroupName: {Ref : AWSEBSecurityGroup}
  # GroupId: {Ref : AWSEBSecurityGroup}
  IpProtocol: tcp
  ToPort: 443
  FromPort: 443
  CidrIp: 0.0.0.0/0

files:
  /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
  map $http_upgrade $connection_upgrade {
        default         "upgrade";
        ""                      "";
  }

  server {
        listen 80;

        location / {
                 return 200 'OK';
        }
  }

/etc/nginx/sites-enabled/docker_server.conf:
mode: "000644"
owner: root
group: root
content: |
  # HTTPS Server

  server {
    listen 443;
    server_name .example.com;
    ssl on;
    ssl_certificate /etc/pki/tls/certs/server.crt;
    ssl_certificate_key /etc/pki/tls/certs/server.key;

    ssl_session_timeout 5m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
    ssl_prefer_server_ciphers on;

    auth_basic "Restricted";
    auth_basic_user_file /etc/nginx/.htpasswd;

    location / {
      proxy_pass http://docker;
      proxy_http_version 1.1;

      proxy_set_header Connection "";
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
  }

在此配置中,即使我连接到 https://www.example.com,也无法访问第二台服务器。,相反,我收到200 OK。如何在端口443上重定向到我的应用程序?

2 个答案:

答案 0 :(得分:1)

200,它有效。 重现的步骤:

  • 使用我的第一个EDIT 1块中给出的.ebextensions中的文件(您必须提供文件.htpassword,server.crt和server.key)
  • 启动Elastic Beanstalk环境
  • 使用以下命令将443侦听器添加到负载均衡器: aws elb create-load-balancer-listeners --load-balancer-name <my load balancer name> --listeners "Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=arn:aws:iam::<my uploaded certificate>" (它不适用于 EB控制台&gt;配置&gt;网络层&gt;负载平衡,因为负载均衡器端口443被转发到实例端口80)
  • 编辑负载均衡器(不是实例)的安全组并允许HTTPS流量(入站和出站)

我的下一步是创建一个自动执行这些步骤的脚本。

答案 1 :(得分:0)

您的问题是您不允许负载均衡器的安全组进入运行Beanstalk应用程序的EC2实例的安全组。

如果您使用的是EC2 classic,则可以看到负载均衡器的安全组为amazon-elb/amazon-elb-sg。 (如果您使用的是VPC,那么您需要为您的VPC使用特定的LB安全组)

sg1

然后,您可以转到实例的安全组并添加它:

sg2

在EC2 classic中,每个区域每个帐户只有一个安全组,因此如果您想要更高的安全性,则需要使用VPC。

相关问题
最新问题