добавленный SSL не работает для AWS Load Balancer с использованием ACM

Question

У меня есть AWS LoadBalancer , созданный с использованием Kube, Kops и AWS. Тип протокола для ELB : tcp . Это прекрасно работает для http запросов, означает, что я могу получить доступ к своему сайту с http://testing.example.com. Теперь я попытался добавить SSL для этого ELB , используя ACM (Certificate manager). Я добавил свои доменные данные example.com и *.example.com, запросив публичный сертификат . он успешно создан, и проверка домена также прошла успешно.

Затем я попытался добавить этот SSL в мой ELB, как показано ниже.

• пошел к моему ELB и выбрал ELB.
• Затем перешли на вкладку «Слушатели» и добавили к ней SSL, как показано ниже.

и ELB Описание приведено ниже.

Я не могу получить доступ к https://testing.example.com,, он зависает в течение нескольких минут и ничего не происходит. что происходит здесь. надеюсь, что ваша помощь с этим.

Answer 1

Если ваше внутреннее приложение (которое находится за ELB) прослушивает только HTTP-порт 30987, то вам нужен некоторый уровень завершения TLS перед вашим сервером приложений. Больше пищи для размышлений об этом подходе: https://security.stackexchange.com/questions/30403/should-ssl-be-terminated-at-a-load-balancer

Или вам нужно настроить сервер приложений, чтобы он также прослушивал контекст HTTPS / TLS, через другой порт (который вы должны отобразить в конфигурации ELB).

Кстати, я бы также предложил переключиться на ALB или NLB. Дополнительная информация: https://medium.com/cognitoiq/how-cognitoiq-are-using-application-load-balancers-to-cut-elastic-load-balancing-cost-by-90-78d4e980624b

Как только вы закончите настройку того предложения, которое вы выбрали, запустите curl -k -I https://testing.example.com/, чтобы проверить, не заблокирован ли вами ELB.

Answer 2

В конфигурации прослушивателя вы пересылаете HTTP-порт по умолчанию 80 на порт 30987 на внутреннем сервере. Так что это говорит мне, что внутренний сервер прослушивает HTTP-запросы на порт 30987.

Затем вы добавили прослушиватель SSL на порт по умолчанию 443, но вы перенаправили его на порт 443 на внутреннем сервере. Есть ли у вас что-то на вашем внутреннем канале прослушивания через порт 443 в дополнение к 30987?

Наиболее вероятное решение этой проблемы - изменить прослушиватель SSL на балансировщике нагрузки для переадресации на порт 30987 на внутреннем сервере, установив его в качестве параметра «Порт экземпляра».