Для всех, кого это интересует, я думаю, что понял это.
Причина, по которой вы не можете просто установить собственный домен, заключается в том, что служба позволяет вам иметь конфигурацию с несколькими зонами доступности, что означает наличие более 1 брокера. Лучший способ справиться, когда их больше 1, и с аварийным переключением - использовать балансировщик нагрузки, поэтому я думаю, что это то, что вам нужно сделать.
Я понял, что вам не нужен частный брокер, вы можете использовать publi c тоже. В консоли Amazon MQ вы получаете только IP-адрес publi c, но если вы используете go для EC2 и сетевых интерфейсов, вы найдете интерфейс с использованием IP-адреса publi c, который у вас есть, и из него получите частный IP
Вам нужно сделать то же самое в разделе сетевых интерфейсов EC2, чтобы получить частные IP-адреса балансировщика нагрузки (будет 1-2 IP-адреса). Эти частные IP-адреса необходимы для настройки балансировщика нагрузки и группы безопасности. Это шаги:
- Создание экземпляра Amazon MQ (publi c или частного)
- Я сделал publi c брокер
- Также один экземпляр не multi-AZ
- Группа безопасности уже была создана, но если у вас ее нет, создайте ее до или во время настройки
- Я добавил правила в группу безопасности для 2 портов, к которым вы обращаетесь к брокерам с
- 8162 - для панели управления (HTTPS)
- 61617 - для брокера (TLS)
- Перейдите в EC2 -> Сетевые интерфейсы - получите частный IP-адрес для брокера MQ (используя IP-адрес publi c, выделенный вашему экземпляру). Если вы создаете частного брокера, вы можете пропустить этот шаг.
- Создайте сертификат для вашего поддомена в службе ACM AWS. Подтвердите его с помощью электронной почты или DNS.
- Создайте NLB (TCP) со следующими настройками:
- Network Load Balanacer (TCP / TLS / UDP)
- Выберите имя
- Inte rnet с обращением к
- протокол TLS (Secure TCP) для слушателя
- порт 61617
- Зона доступности такая же, как у вашего брокера (obvs тот же VP C тоже)
- Выберите сертификацию из ACM
- Найдите свой сертификат, созданный на шаге 3. Вам необходимо проверить его, прежде чем он появится здесь
- Политика безопасности - ELBSecurityPolicy -2016-08
- Политика ALPN: нет
- Новая целевая группа - выберите имя
- Тип цели - IP
- Протокол: TLS
- Порт: 61617
- Проверка работоспособности: Протокол HTTPS
- Проверка работоспособности: Путь /index.html
- Проверка работоспособности: (переопределить) Порт: 8162
- Регистрируя вашу цель, вставьте частный IP вашего брокера, найденного на шаге 2, нажмите Добавить в список
- Обзор
- Fini sh
- После создания NLB перейдите к своей группе безопасности, которую вы связали с брокером, и добавьте частные IP-адреса NLB в группу безопасности (я сделал весь трафик c, но вы можете ограничьте его только двумя портами, которые вам нужны, для брокера и проверки работоспособности), 61617 и 8162
- Наконец, создайте запись домена в route53 (и запись псевдонима A), которая сопоставляет ваш поддомен с именем домена, выделенным для ваш NLB.
Это даст вам субдомен, использующий SSL для доступа к вашему брокеру. Вы можете сделать то же самое, но с помощью Application Load Balancer (HTTPS) для доступа к консоли. Я создаю второй LB, новый поддомен и сертификат, чтобы заставить это работать, и это сработало. Единственное различие между этими двумя состоит в том, что прослушиватель работает по HTTPS с использованием порта 8162, и вам нужно указать 2 подсети при настройке, в противном случае все остальное почти то же самое (особенно проверки работоспособности). Я не смог найти никаких документов, которые подробно объясняли бы, как и зачем это делать, у Amazon есть некоторые документы, но они не учитывают много деталей или аргументов в пользу того, почему вам нужно что-то делать, а сообщение в блоге, которое я нашел от них, говорило только об этом с частным брокером.
Наслаждайтесь.