Elastic beanstalk:负载均衡器DNS无法访问
我在Docker容器中运行带有uWSGI的Django应用程序。此容器使用CLI中的Elastic Beanstalk启动,它使用负载均衡器(1到4个实例)。我修改了nginx配置以处理SSL层和基本的HTTP身份验证,这里是.ebextensions / 01ssl.config内容的开头:
Resource
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupName: {Ref : AWSEBSecurityGroup}
# GroupId: {Ref : AWSEBSecurityGroup}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
files:
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
# HTTPS Server
server {
listen 443;
server_name .mydomain.com;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers on;
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
location / {
proxy_pass http://docker;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
问题是应用程序可通过eb(ec2-xxxx.eu-west-1.compute.amazonaws.com)创建的EC2实例访问,但不能通过负载均衡器URL(foobar-dev.elasticbeanstalk.com)访问)。当我直接访问EC2实例时,nginx(负载均衡器,对吧?)正确处理SSL和身份验证。 我的目标是将Route53与此应用程序一起使用,但是目前,如果我按照文档中的说明指定了负载均衡器URL,则它不起作用。 我错过了什么?
编辑1
谢谢Rico但不幸的是,它没有用,至少,它帮助我挖掘了权限的东西。 TCP端口443已经向EC2实例上的每个人开放(感谢第一个.ebextensions块)。
如果我在 EB控制台>中添加我的证书的安全端口443配置>网络层>负载平衡,运行状况检查URL无法访问,因为存在HTTP身份验证(错误401,状态检查为红色)。
我尝试在nginx配置中创建两个服务器,第一个侦听端口80并始终返回200,第二个重定向到我的应用程序并处理SSL和HTTP身份验证:
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupName: {Ref : AWSEBSecurityGroup}
# GroupId: {Ref : AWSEBSecurityGroup}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
files:
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
map $http_upgrade $connection_upgrade {
default "upgrade";
"" "";
}
server {
listen 80;
location / {
return 200 'OK';
}
}
/etc/nginx/sites-enabled/docker_server.conf:
mode: "000644"
owner: root
group: root
content: |
# HTTPS Server
server {
listen 443;
server_name .example.com;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers on;
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
location / {
proxy_pass http://docker;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
在此配置中,即使我连接到 https://www.example.com,也无法访问第二台服务器。,相反,我收到200 OK。如何在端口443上重定向到我的应用程序?
2 个答案:
答案 0 :(得分:1)
200,它有效。 重现的步骤:
- 使用我的第一个EDIT 1块中给出的.ebextensions中的文件(您必须提供文件.htpassword,server.crt和server.key)
- 启动Elastic Beanstalk环境
- 使用以下命令将443侦听器添加到负载均衡器:
aws elb create-load-balancer-listeners --load-balancer-name <my load balancer name> --listeners "Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=arn:aws:iam::<my uploaded certificate>"(它不适用于 EB控制台&gt;配置&gt;网络层&gt;负载平衡,因为负载均衡器端口443被转发到实例端口80) - 编辑负载均衡器(不是实例)的安全组并允许HTTPS流量(入站和出站)
我的下一步是创建一个自动执行这些步骤的脚本。
答案 1 :(得分:0)
您的问题是您不允许负载均衡器的安全组进入运行Beanstalk应用程序的EC2实例的安全组。
如果您使用的是EC2 classic,则可以看到负载均衡器的安全组为amazon-elb/amazon-elb-sg。 (如果您使用的是VPC,那么您需要为您的VPC使用特定的LB安全组)
然后,您可以转到实例的安全组并添加它:
在EC2 classic中,每个区域每个帐户只有一个安全组,因此如果您想要更高的安全性,则需要使用VPC。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?