Elastic beanstalk:负载均衡器 DNS 无法访问
Elastic beanstalk : load balancer DNS unreachable
我是 运行 一个在 Docker 容器中带有 uWSGI 的 Django 应用程序。这个容器从 CLI 使用 Elastic Beanstalk 启动,它使用负载均衡器(1 到 4 个实例)。我修改了 nginx 配置以处理 SSL 层和基本的 HTTP 身份验证,这里是 .ebextensions/01ssl.config 内容的开始:
Resource
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupName: {Ref : AWSEBSecurityGroup}
# GroupId: {Ref : AWSEBSecurityGroup}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
files:
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
# HTTPS Server
server {
listen 443;
server_name .mydomain.com;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers on;
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
location / {
proxy_pass http://docker;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
问题是应用程序可以通过 eb (ec2-x-x-x-x.eu-west-1.compute.amazonaws.com) 创建的 EC2 实例访问,但不能通过负载均衡器访问 URL (foobar-dev.elasticbeanstalk.com)。当我直接访问 EC2 实例时,SSL 和身份验证由 nginx(负载均衡器,对吗?)正确处理。
我的目标是在此应用程序中使用 Route53,但目前,如果我按照文档所述指定负载均衡器 URL,它就不起作用。
我错过了什么?
编辑 1
谢谢 Rico,但不幸的是,它没有用,至少,它帮助我深入研究了权限方面的问题。 TCP 端口 443 已经对 EC2 实例上的所有人开放(感谢第一个 .ebextensions 块)。
如果我在 EB 控制台 > 配置 > 网络层 > 负载平衡中添加安全端口 443 和我的证书,健康检查 URL 无法访问,因为有HTTP 身份验证(错误 401,状态检查为红色)。
我尝试在 nginx 配置中创建两个服务器,第一个侦听端口 80 并始终 returns 200,第二个重定向到我的应用程序并处理 SSL 和 HTTP 身份验证:
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupName: {Ref : AWSEBSecurityGroup}
# GroupId: {Ref : AWSEBSecurityGroup}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
files:
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
map $http_upgrade $connection_upgrade {
default "upgrade";
"" "";
}
server {
listen 80;
location / {
return 200 'OK';
}
}
/etc/nginx/sites-enabled/docker_server.conf:
mode: "000644"
owner: root
group: root
content: |
# HTTPS Server
server {
listen 443;
server_name .example.com;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers on;
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
location / {
proxy_pass http://docker;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
在此配置中,即使我连接到 https://www.example.com.,也无法访问第二台服务器,而是收到 200 OK。如何在端口 443 上重定向到我的应用程序?
您的问题是您不允许负载均衡器的安全组进入您的 Beanstalk 应用程序所在的 EC2 实例的安全组 运行。
如果您使用的是 EC2 classic,您可以看到负载均衡器的安全组是 amazon-elb/amazon-elb-sg。 (如果您使用的是 VPC,那么您需要为您的 VPC 使用特定的 LB 安全组)
然后你可以去你的实例的安全组添加它:
在 EC2 classic 中,每个区域的每个帐户只有一个安全组,因此如果您想要更高的安全性,则需要使用 VPC。
200,有效。
重现步骤:
- 使用我的第一个 EDIT 1 块中给出的 .ebextensions 中的文件(您还必须提供文件 .htpassword、server.crt 和 server.key)
- 启动 Elastic Beanstalk 环境
- 使用以下命令将 443 侦听器添加到负载平衡器:
aws elb create-load-balancer-listeners --load-balancer-name <my load balancer name> --listeners "Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=arn:aws:iam::<my uploaded certificate>"
(它在 EB 控制台 > 配置 > 网络层 > 负载均衡 中不起作用,因为负载均衡器端口 443 被转发到实例端口 80)
- 编辑负载均衡器(不是实例)的安全组并允许 HTTPS 流量(入站和出站)
我的下一步是创建一个自动执行这些步骤的脚本。
我是 运行 一个在 Docker 容器中带有 uWSGI 的 Django 应用程序。这个容器从 CLI 使用 Elastic Beanstalk 启动,它使用负载均衡器(1 到 4 个实例)。我修改了 nginx 配置以处理 SSL 层和基本的 HTTP 身份验证,这里是 .ebextensions/01ssl.config 内容的开始:
Resource
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupName: {Ref : AWSEBSecurityGroup}
# GroupId: {Ref : AWSEBSecurityGroup}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
files:
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
# HTTPS Server
server {
listen 443;
server_name .mydomain.com;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers on;
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
location / {
proxy_pass http://docker;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
问题是应用程序可以通过 eb (ec2-x-x-x-x.eu-west-1.compute.amazonaws.com) 创建的 EC2 实例访问,但不能通过负载均衡器访问 URL (foobar-dev.elasticbeanstalk.com)。当我直接访问 EC2 实例时,SSL 和身份验证由 nginx(负载均衡器,对吗?)正确处理。 我的目标是在此应用程序中使用 Route53,但目前,如果我按照文档所述指定负载均衡器 URL,它就不起作用。 我错过了什么?
编辑 1
谢谢 Rico,但不幸的是,它没有用,至少,它帮助我深入研究了权限方面的问题。 TCP 端口 443 已经对 EC2 实例上的所有人开放(感谢第一个 .ebextensions 块)。
如果我在 EB 控制台 > 配置 > 网络层 > 负载平衡中添加安全端口 443 和我的证书,健康检查 URL 无法访问,因为有HTTP 身份验证(错误 401,状态检查为红色)。
我尝试在 nginx 配置中创建两个服务器,第一个侦听端口 80 并始终 returns 200,第二个重定向到我的应用程序并处理 SSL 和 HTTP 身份验证:
Resources:
sslSecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupName: {Ref : AWSEBSecurityGroup}
# GroupId: {Ref : AWSEBSecurityGroup}
IpProtocol: tcp
ToPort: 443
FromPort: 443
CidrIp: 0.0.0.0/0
files:
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
map $http_upgrade $connection_upgrade {
default "upgrade";
"" "";
}
server {
listen 80;
location / {
return 200 'OK';
}
}
/etc/nginx/sites-enabled/docker_server.conf:
mode: "000644"
owner: root
group: root
content: |
# HTTPS Server
server {
listen 443;
server_name .example.com;
ssl on;
ssl_certificate /etc/pki/tls/certs/server.crt;
ssl_certificate_key /etc/pki/tls/certs/server.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_prefer_server_ciphers on;
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
location / {
proxy_pass http://docker;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
在此配置中,即使我连接到 https://www.example.com.,也无法访问第二台服务器,而是收到 200 OK。如何在端口 443 上重定向到我的应用程序?
您的问题是您不允许负载均衡器的安全组进入您的 Beanstalk 应用程序所在的 EC2 实例的安全组 运行。
如果您使用的是 EC2 classic,您可以看到负载均衡器的安全组是 amazon-elb/amazon-elb-sg。 (如果您使用的是 VPC,那么您需要为您的 VPC 使用特定的 LB 安全组)
然后你可以去你的实例的安全组添加它:
在 EC2 classic 中,每个区域的每个帐户只有一个安全组,因此如果您想要更高的安全性,则需要使用 VPC。
200,有效。 重现步骤:
- 使用我的第一个 EDIT 1 块中给出的 .ebextensions 中的文件(您还必须提供文件 .htpassword、server.crt 和 server.key)
- 启动 Elastic Beanstalk 环境
- 使用以下命令将 443 侦听器添加到负载平衡器:
aws elb create-load-balancer-listeners --load-balancer-name <my load balancer name> --listeners "Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=arn:aws:iam::<my uploaded certificate>"(它在 EB 控制台 > 配置 > 网络层 > 负载均衡 中不起作用,因为负载均衡器端口 443 被转发到实例端口 80) - 编辑负载均衡器(不是实例)的安全组并允许 HTTPS 流量(入站和出站)
我的下一步是创建一个自动执行这些步骤的脚本。