私たちには、セキュアエンドポイントとパブリックエンドポイントの両方にサービスを提供するWebアプリケーションがあります。私たちは現在、弾力のある豆腐でそれを展開しています。エンドポイントごとに異なる証明書を確認する
今後、セキュアなエンドポイントに対してクライアント証明書を適用したいと考えています。すなわち、いくつかのエンドポイントについては、認証チェックが必要である。
ただし、弾性ロードバランサには、異なるルートに異なるSSL証明書を割り当てる設定がありません。
私たちが見つけた唯一の解決策は、アプリケーションロードバランサの前にnginxインスタンスを設定し、ここに証明書をチェックしてください。
AWSでこれを実現する方法はありますか?
私はまだ個人的に使用していませんが、新しいアプリケーションロードバランサがこれを処理できる可能性があります。リクエストに応じて、さまざまなタイプのリスナーを実行できます。ですから、nginxのルートを行く前に、それはに探して間違いなく価値がある:
https://aws.amazon.com/elasticloadbalancing/
あなたのEC2サービスパネルに入って1つのアウトをテストし、新しいロードバランサを作成することができます。アプリケーション・ロード・バランサ・タイプを選択し、必要に応じて構成できるかどうかを確認します。
クライアント証明書を使用してクライアントを認証するには、すべてのSSLをインスタンス自体で処理する必要があります。
このような設定をロードバランシングするには、TCPモードのクラシックELB(トランスペアレント、HTTP解釈なし、バランサでSSLが設定されていない)またはNetwork Load Balancerが必要ですウォーミングアップを必要とせず、本質的に無制限にスケーラビリティがあります。
弾性ビーンズトールrecently announced support for Network Load Balancer。
マイケルありがとうございます。残念ながら、ネットワークレイヤバランサは現在、表示されているようにsslオフロードをサポートしていません。https://aws.amazon.com/elasticloadbalancing/details/#details –
エンドポイントに関するセキュア/セキュアでない接続を区別する必要があるため、ルート;私はそれがアプリケーション層のソリューションを期待するのが妥当だと信じています。ネットワーク層バランサは、それが受け入れられたプロトコルであるため、SSLをサポートしていません。 –
ALBはクライアント証明書では機能しません。 –
ありがとうリック、ALBは、さまざまなタイプのリスナーを個別に構成し、それらを異なるエンドポイントにルーティングできる場合に役立ちます。 –