Si necesito proporcionar certificados SSL personalizados para los clientes, ¿puedo seguir usando Elastic beanstalk?

Question

Tienes algunas opciones aquí:

Siga la ruta que mencionó, finalice su SSL en un grupo de instancias de HAProxy antes de reenviar el tráfico a través de su ELB a sus instancias.
Convierta su ELB en un reenviador TCP, lo que convierte a ELB en un tonto mezclador de paquetes. Aquí pierdes algunos beneficios de ELB, pero esto funcionará. Terminará SSL en las instancias que alojan su aplicación en este escenario, por lo que en una configuración de equilibrio de carga, necesitará copias del certificado en todas sus instancias. Podría ser bastante complicado de orquestar, pero factible.
(y mi opción preferida) use un ALB. Los ALB admiten múltiples certificados SSL y elegirán automáticamente el certificado correcto cuando el cliente indique el encabezado SNI. Podrá cargar los certificados necesarios (clave, certificado, intermediario) en IAM y seleccionarlos dentro de su ALB, todo a través de la API.

Los ALB tienen muchas otras ventajas además de SNI... admiten HTTP/2, enrutamiento basado en rutas a múltiples grupos objetivo (útil en algunos escenarios) y, hasta donde yo sé, son más baratos que los ELB clásicos.

Y sí, Elastic Beanstalk SÍ es compatible con ALB. Desafortunadamente, puede a) seleccionar usarlo solo en el momento de la creación del entorno y b) hacerlo solo a través de la nueva interfaz de usuario. He publicado algunoscólicosacerca de que UI y EB en general realmente han comenzado a usarlo durante las últimas semanas. Esperemos que solucionen estos problemas en el futuro. Mientras tanto, al menos debería poder guardar la configuración de su entorno actual, iniciar uno nuevo desde la configuración guardada (cambiando el tipo de balanceador de carga antes de la creación) y luego cambiar los CNAME una vez que esté en funcionamiento.

Tenga en cuenta también: su entorno debe estar configurado para usar una VPC para poder usar ALB.

Answer 1

Tienes algunas opciones aquí:

Siga la ruta que mencionó, finalice su SSL en un grupo de instancias de HAProxy antes de reenviar el tráfico a través de su ELB a sus instancias.
Convierta su ELB en un reenviador TCP, lo que convierte a ELB en un tonto mezclador de paquetes. Aquí pierdes algunos beneficios de ELB, pero esto funcionará. Terminará SSL en las instancias que alojan su aplicación en este escenario, por lo que en una configuración de equilibrio de carga, necesitará copias del certificado en todas sus instancias. Podría ser bastante complicado de orquestar, pero factible.
(y mi opción preferida) use un ALB. Los ALB admiten múltiples certificados SSL y elegirán automáticamente el certificado correcto cuando el cliente indique el encabezado SNI. Podrá cargar los certificados necesarios (clave, certificado, intermediario) en IAM y seleccionarlos dentro de su ALB, todo a través de la API.

Los ALB tienen muchas otras ventajas además de SNI... admiten HTTP/2, enrutamiento basado en rutas a múltiples grupos objetivo (útil en algunos escenarios) y, hasta donde yo sé, son más baratos que los ELB clásicos.

Y sí, Elastic Beanstalk SÍ es compatible con ALB. Desafortunadamente, puede a) seleccionar usarlo solo en el momento de la creación del entorno y b) hacerlo solo a través de la nueva interfaz de usuario. He publicado algunoscólicosacerca de que UI y EB en general realmente han comenzado a usarlo durante las últimas semanas. Esperemos que solucionen estos problemas en el futuro. Mientras tanto, al menos debería poder guardar la configuración de su entorno actual, iniciar uno nuevo desde la configuración guardada (cambiando el tipo de balanceador de carga antes de la creación) y luego cambiar los CNAME una vez que esté en funcionamiento.

Tenga en cuenta también: su entorno debe estar configurado para usar una VPC para poder usar ALB.

Si necesito proporcionar certificados SSL personalizados para los clientes, ¿puedo seguir usando Elastic beanstalk?

Respuesta1

información relacionada