パブリックサブネットで実行されているアプリケーションロードバランサ経由でプライベートサブネットで実行されているECSコンテナに、AWS APIゲートウェイ経由でトラフィックをルーティングしようとしています。一般的な古いHTTPを使用するとすべて正常に動作しますが、ゲートウェイとロードバランサ間の通信にトランスポート層セキュリティ(TLS、fka SSL)を追加したいと考えています。つまり、ロードバランサでSSLを終了します。us-east-1以外でHTTPS用にAWS API GatewayとApplication Load Balancerを組み合わせるにはどうすればよいですか?
- すでにHTTPSエンドポイントを公開していたカスタムドメイン名が設定され、自分のゲートウェイで動作しています。
- ロードバランサにHTTPSリスナーが設定されていますが、これは不正な証明書があると私を叱っていますが、私が直接ヒットしたときの警告を無視すると、正しくサービスにルーティングされます。したがって、ロードバランサのルーティングは正しいです。
- ゲートウェイをバランサに向けようとすると、ゲートウェイが破損します。さらに、us-east-1地域にあるカスタムドメイン名に対してのみ証明書を使用できるようです。現在のところ、CloudWatchでは以下のエラーが発生しています(プライバシーのために詳細がわかりません)。私のロードバランサは、どのように私は私の目標を達成することができ、私たち-東-1地域でないのですか?を考える
Execution failed due to configuration error: Host name 'XXXXXXXXX-lb-XXXXXXXXX..elb.amazonaws.com' does not match the certificate subject provided by the peer (CN=)
*さらに、us-east-1地域にあるカスタムドメイン名に対してのみ証明書を使用できるようです。*私はあなたが2つの制約を混同していると思います。バランサの場合、バランサ地域には証明書が必要です。 API-GWの場合、API-GWがCloudFrontに依存しているため、us-east-1からの証明書が必要になりました。 API-GWの背後にある汚れた証明書は、意図的に使用することはできません。 –