我完全失去了,所以我道歉,如果我没有意义。 我需要在EC2中为我们的应用程序服务器创build一个负载平衡器。 我试图通过SSL进行ELB余额stream量(8443)。 但是,它要求我提供SSL证书。 它看起来是要求我的公钥和私钥(pem编码)。 ELB后面的服务器有一个密钥库文件,我们的开发者使用Oracle Java的keytool程序创build了这个文件。 创build的文件是二进制的。 它看起来像ELB期待一个文本,Pem格式的密钥。 为什么ELB要求我input证书? ELB不能将SSLstream量从一端转发到另一端,让服务器处理SSL? 相关的证书/密钥库文件和密钥必须在ELB和服务器上匹配吗? AWS文件表示使用openssl创build私钥和证书。 我可以独立运行openssl为负载平衡器创buildSSL证书,并将密钥库文件保留在服务器上吗? 在此先感谢您的帮助。
我在AWS上托pipe一个网站,并希望禁用来自TLS 1.2以外的任何密码的stream量。 这在ELB上很容易实现,但是要为那些需要更新浏览器访问网站的用户创build一个自定义的“login页面”。 我发现这篇文章是否有可能显示一个静态页面,如果所有ELB注册的实例closures? 这似乎提供了类似的东西,但不完全相同的function。
Amazon的Elastic Load Balancer支持PROXY协议版本1.这允许负载均衡器后面的服务器确定客户端连接的原始源IP地址。 但是, 协议规范在第2节和第5节中明确指出,您必须以某种方式确保只有经过授权的terminal才能连接到支持该协议的端口。 否则,恶意用户可以直接连接到服务器,绕过代理,并发送一个PROXY头,声称他们希望的任何源IP地址。 我的问题是,你如何与ELB做这个? 据我所知,没有固定的源IP地址列表可以连接到您的服务器。 没有办法限制一个端口,只有你的ELB可以连接到它。 看来任何人都可以创build一个EC2实例,并直接连接到您的服务器在ELB代理的同一个端口上,模拟负载均衡器,并声称从任何他们请求的IP地址连接。 那不可能是正确的。 我错过了什么?
背景 我试图以我在AWS Directory Services Simple AD中创build的用户身份login(通过SSH,运行到运行sssd的Amazon Linux EC2实例)。 我使用Kerberos进行身份validation,并使用LDAP(通过sssd )来识别用户。我通过ELB通过多个代理服务器连接到简单AD。 问题 当我将ELBconfiguration为使用TLS作为Kerberos端口时, sssd无法连接到Kerberos服务器,login失败。 没有TLS,它工作得很好,一旦我login没有TLS的证书caching和login继续工作时,我再次打开TLS。 RFC 6251介绍了如何通过TLS传输Kerberos V5,所以假设这应该是可能的,对吗? 我不确定我是否没有正确地执行此操作,或者如果sssd不支持通过TLS的Kerberos。 谷歌search没有产生任何成果,手册页没有任何看似与他们有关的东西。 请注意,我的LDAPS通过ELB完美工作,所以我至less知道我并不完全偏离轨道。 TL; DR如何回答我的问题 告诉我: 在通过TLS或Kerberos设置Kerberos时,我所做的是错误的 sssd不支持通过TLS的Kerberos 错误信息 这是从sssd的输出。 请注意,我编辑了IP地址。 (Thu Dec 31 18:36:43 2015) [[sssd[krb5_child[2780]]]] [sss_child_krb5_trace_cb] (0x4000): [2780] 1451587003.307171: Sending request (218 bytes) to MYTEAM.MYCOMPANY.INTERNAL (Thu Dec 31 18:36:43 2015) [[sssd[krb5_child[2780]]]] [sss_child_krb5_trace_cb] (0x4000): [2780] 1451587003.307390: Initiating […]
我正在closures来自http用户代理的特定请求的日志logging在Nginx的访问日志文件。 基本上来自亚马逊ELB健康检查和我们的外部(Pingdom)监测。 由于这些来自每隔几秒钟,使testing难以sorting通过日志。 "GET / HTTP/1.1" 200 727 "-" "ELB-HealthChecker/1.0" "GET /login HTTP/1.1" 200 7492 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com/)" 我能够阻止图像文件的日志logging,但没有看到任何传入的请求: location ~* ^.+.(jpg|jpeg|gif|css|png|js|ico|xml|svg)$ { access_log off; expires 30d; } 提前致谢! 所以我尝试了@Gnarfoz的build议,但是有一些有趣的副作用。 虽然这两个“健康检查”没有logging,Pingdom开始认识到服务器即使在启动和运行。 这很有趣,因为Load Balancer没有这样做,如果有的话,它会丢弃我们正在testing的节点。 我把MAP部分放在我的日志下面的HTML块中: access_log /www/access.log; error_log /www/error.log; map $http_user_agent $ignore_ua { default 0; "~Pingdom.*" 1; "ELB-HealthChecker/1.0" 1; } 我把IF语句放在我的服务器块中,默认位置是: location / { try_files $uri $uri/ […]
我们使用AWS ELB来执行SSL终止,并且Chrome浏览器显示“https”时会出现问题,并显示删除线。 它说:“该网站正在使用过时的安全设置,可能会阻止未来版本的Chrome能够安全地访问它。” 但它并没有明确地说出它不喜欢的设置。 我怎样才能找出什么铬有问题,使我们的用户会得到一个绿色的复选标记? 产生错误的示例URL如下: https : //aws.hatchlings.com/error/ 我通过SSL实验室运行我们的网站,它给了我们一个“A”等级:
我的环境具有通过多个系统的用户请求: [客户端] – > [ELB] —> [nginx] – > [网页] (ELB = AWS Elastic Load Balancer) 感谢这个答案 ,我有nginx确定并通过X-Forwarded-For和X-Real_IP头将正确的客户端IP地址传递给上游服务器(web)。 相关的nginxconfiguration: real_ip_header X-Forwarded-For; set_real_ip_from 10.0.0.0/8; real_ip_recursive on; proxy_set_header X-Real-IP $remote_addr; 我的问题是,nginx中的真实IP模块用其X-Forwarded-For计算结果replace现有的$remote_addrvariables。 这给了我最初的客户端IP,但是我正在丢失实际发送请求到代理(即ELB)的系统的IP地址。 总的来说,拥有客户端IP对我来说更为重要,但是我希望能够logging完整的请求链,以便我能够理解(并debugging)stream量是如何stream动的。 目前,我只能有nginxlogin客户端IP,自己的IP,以及上游服务器IP。 我希望能够loginELB IP。 我看到X-Istence在2013年问了同样的问题 ,运气不多。 从那以后有什么改变或改进?
我正在尝试使用AWS ELB获得HTTPS。 我一直在尝试大约一个小时,但无论我尝试什么,只要通过HTTPS连接就可以连接超时。 HTTP工作正常,但不是HTTPS。 任何人都可以提供帮助吗?
我已经configuration了AWS ELB以指向运行Wordpress 3.2.1的我的Ubuntu服务器。 一切工作良好的服务器,直到我把它放在负载平衡器后面。 我将负载均衡器设置为将端口80转发到端口80,将端口443转发到端口80。 我设置我的虚拟主机文件来检查elb的头文件: RewriteEngine On RewriteCond%{HTTP:X-Forwarded-Proto}!https RewriteRule!/状态https://% {SERVER_NAME}%{REQUEST_URI} [L,R] 现在,每当我去到一个httpsurl,我得到这个消息: 此网页有redirect循环 https://mywebsite.com/securepage/上的网页导致了太多的redirect 只要我禁用wordpress https插件 ( http://wordpress.org/extend/plugins/wordpress-https/ ) 这些网页可以正常工作,但现在已经充满了混合内容 应该是https的页面不再是https。 只要我直接访问服务器,而不是通过ELB,它再次工作。 有关我如何才能使用AWS ELB工作的任何想法?
在AWS Elastic Load Balancer上安装SSL Cert有点困难。 我有一个来自GoDaddy的通配证书,需要在ELB上指出。 我运行了命令(我在负载平衡器后面的一台服务器上运行了它): openssl req -new -newkey rsa:2048 -nodes -keyout mydomain.key -out mydomain.csr 然后我发送了.csr文件到GoDaddy。 在这一点上,他们已经返回一个带有两个文件的zip文件夹: gd_bundle.crt和mydomain.com.crt 。 在看gd_bundle.crt时,它似乎有两个唯一的关键字(两个64位编码的string)。 亚马逊ELB要求公钥和私钥,并基于我所做的事情,我不确定哪个是什么。 从这一点,我不知道该怎么做才能得到这一切加载。 任何帮助将不胜感激。