在 AWS ELB 中的多個 EC2 實例上擴展多個 SSL 域
我正在設置伺服器,該伺服器將在各種負載平衡的 EC2 實例中託管多個 SSL 域,並且作為一名非常擅長網路/基礎設施的程序員,我有一些問題:
我假設通過使用 ELB,我只需要在 ELB 下設置一次 HTTPS 並將證書安裝在那里而不是實際實例上?
對於 SSL,我在使用 ELB 時是否仍需要為每個站點提供單獨的 IP 地址,或者從 ELB 到實例的通信是否通過 HTTP 執行?
將網站指向 elb 的最佳方式是什麼?CNAME 記錄到亞馬遜 ELB 實例名稱?
我應該為此使用負載均衡器嗎,我在正確的軌道上嗎?
我完全願意接受有關此問題的任何其他建議/幫助。
感謝您的幫助。
你在正確的軌道上。
ELB 可以是 SSL 終止代理。在這種情況下,您在 ELB 上設置了一次 HTTPS,然後將證書安裝在那里而不是實例上。
傳統上,對於 SSL,您需要 Web 伺服器名稱來匹配證書中的 CN。現在已經有一段時間沒有這種情況了。請參閱http://en.wikipedia.org/wiki/Secure_Sockets_Layer#Support_for_name-based_virtual_servers所以不,在任何情況下,您都不需要為每個站點單獨的 IP 地址,包括 ELB 終止的 SSL。
您可以將 ELB 配置為終止 SSL 並向實例發送 HTTP。
Amazon 強烈建議您的網站 CNAME 為 ELB 實例名稱(或名稱,多可用區 ELB 每個可用區返回 1 個名稱)。IP 地址可能會發生變化,尤其是當您的 ELB 由於流量高峰而非常 E 時。
如果您的 ELB 將成為多可用區,我還將研究“用於 Elastic Load Balancing 的 DNS 故障轉移”。
我強烈建議您閱讀亞馬遜關於 ELB 的文件http://aws.amazon.com/elasticloadbalancing/。所有這些問題都得到了解答——還有更多!——在那裡得到了解答,並且有最佳實踐。這將比通過 Serverfault 問題獲得零碎的理解要好。(當然,如果您想澄清文件,SF 可能是提問的好地方。)