私はEBドッカーアプリケーションのHTTPSを管理する最善の方法を見つけようとしています。AWS Elastic Beanstalk VPC - ELBからインスタンスへのHTTPS
現時点で私は以下のアプローチを使用しています。
- ELBは443でHTTPS接続を受け入れ、インスタンスのHTTPポート80に転送します。
- ELBは80でHTTP接続を受け入れ、インスタンスのHTTPポート8080に転送します。
- インスタンスはポート80でHTTP接続を受け付け、ドッカーアプリに転送します。
- インスタンスは、ポート8080でHTTP接続を受け入れ、HTTPSにリダイレクトします。
これはすべて正常に動作します。これは、ドッカーアプリがリダイレクトをまったく心配する必要がないことを意味します。それはちょうどポート80で聞いて、それは事です。 ELBとドッカーのホストは残りを行います。
私はこの設定で懸念しているのは、ドッカーのアプリケーションが安全であることを知らないということです。私のアプリケーション内でこれをチェックすると、失敗するでしょう。
ドッカーアプリをドメイン名とSSL証明書とで完全に分離したいので、元のHTTPS接続をELBで終了したいと考えています。私はHTTPSプロトコルで要求を転送(再暗号化)するためにドッキングホスト(またはELB)を得ることができるいくつかの方法があるのだろうかと思っていますが、自己署名証明書を使用しています。
これは、ELBおよび/またはドッカーホストと私のドッカーアプリの間だけで、ブラウザではありません。
期限切れでない自己署名証明書を作成し、これをドッカーアプリ(現在Apache2を使用していますが、潜在的にnginxを使用する可能性があります)のWebサーバーに登録してから、ELBまたはドッカーに伝えてくださいリクエストをHTTPSとして転送するホスト、これは機能しますか?証明書が信頼されていないため、ある時点で転倒しますか?
または、実際に証明書を事前に生成する必要なく、ドッカーアプリのWebサーバーでHTTPS接続を終了できる方法がいくつかあります(これは、おそらく生成する必要があると思いますその場での証明書など)。
このようなことを行う推奨されるベストプラクティス方法はありますか?