AWS loadbalancer + Nginx + gunicorn - как использовать ssl

Question

Я пытаюсь использовать docker-machine для создания экземпляров ec2 со стеком nginx + gunicorn + django. У меня есть Интернет-балансировщик приложений с двумя целевыми группами (зеленый / синий) для предотвращения простоев в новом развертывании (новые развертывания развертываются в неиспользуемой группе, а группа балансировщика нагрузки изменяется, когда все проверяется)

Все отлично работает с портом 80, но когда я пытаюсь добавить прослушиватель для порта 443 с выданным сертификатом Amazon для этого домена, я не могу заставить его работать. Нужно ли также получать сертификаты изнутри Nginx? Нужен ли Nginx для прослушивания порта 443? Цели?

Loadbalancer:

+------------+-----------------------------+----------------+
| Listener ID|            Rules.           | SSL Certificate|
+------------+-----------------------------+----------------+
| HTTP: 80   | Default: forwarding to blue.| N/A.           |
+------------+-----------------------------+----------------+
| HTTPS: 443 | Default: forwarding to blue.|Default: (ACM). |
+------------+-----------------------------+----------------+

Цели:

+------------+--------------+--------------+--------------+---------------+
|    Name    |     Port     |   Protocol   |  Target type | Load Balancer |
+------------+--------------+--------------+--------------+---------------+
| Blue       | 80           | HTTP         | instance     | loadbalancer  |
+------------+--------------+--------------+--------------+---------------+
| Green      | 80           | HTTP         | instance     |               |
+------------+--------------+--------------+--------------+---------------+

Мой Nginx conf:

user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

events {
  worker_connections  1024;
}

http {
  include       /etc/nginx/mime.types;
  default_type  application/octet-stream;

  log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
  '$status $body_bytes_sent "$http_referer" '
  '"$http_user_agent" "$http_x_forwarded_for"';

  access_log  /var/log/nginx/access.log  main;

  sendfile        on;
  #tcp_nopush     on;

  keepalive_timeout  65;

  upstream app {
    server django:5000;
  }

  server {
    listen 80;
    charset utf-8;

    location = /favicon.ico {
        return 204;
        access_log     off;
        log_not_found  off;
    }

    location / {
        try_files $uri @proxy_to_app;
    }

    # django app
     location @proxy_to_app {
        proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
        proxy_pass http://app;
    }
  }
}

Answer 1

Написание своего собственного ответа, если кто-то еще столкнулся с этой проблемой.

В группе безопасности, используемой для создания экземпляра Ec2, должен быть открыт входящий порт 443. Если ваш файл docker-compose не предоставляет порт 443, он не будет автоматически добавлять порт как открытый в группе безопасности. Вы можете вручную открыть порт в консоли aws для Ec2 в разделе сеть и безопасность.