弹性beantalk：负载均衡器DNS无法访问

Question

我正在一个 Docker 容器中运行一个带有 uWSGI 的 Django 应用程序。此容器通过 CLI 中的 Elastic Beanstalk 启动，它使用负载均衡器（1 到 4 个实例）。我修改了 nginx 配置以处理 SSL 层和基本 HTTP 身份验证，这里是 .ebextensions/01ssl.config 内容的开头：

Resource  
sslSecurityGroupIngress: 
Type: AWS::EC2::SecurityGroupIngress
Properties:
  GroupName: {Ref : AWSEBSecurityGroup}
  # GroupId: {Ref : AWSEBSecurityGroup}
  IpProtocol: tcp
  ToPort: 443
  FromPort: 443
  CidrIp: 0.0.0.0/0

files:
/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
  # HTTPS Server

  server {
    listen 443;
    server_name .mydomain.com;
    ssl on;
    ssl_certificate /etc/pki/tls/certs/server.crt;
    ssl_certificate_key /etc/pki/tls/certs/server.key;

    ssl_session_timeout 5m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
    ssl_prefer_server_ciphers on;

    auth_basic "Restricted";
    auth_basic_user_file /etc/nginx/.htpasswd;

    location / {
      proxy_pass http://docker;
      proxy_http_version 1.1;

      proxy_set_header Connection "";
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
  }

问题在于应用程序可以通过 eb (ec2-xxxx.eu-west-1.compute.amazonaws.com) 创建的 EC2 实例访问，但不能通过负载均衡器 URL (foobar-dev.elasticbeanstalk.com) 访问）。当我直接访问 EC2 实例时，nginx（负载均衡器，对吗？）正确处理了 SSL 和身份验证。 我的目标是在此应用程序中使用 Route53，但目前，如果我按照文档所述指定负载均衡器 URL，它将不起作用。 我错过了什么？

编辑 1

谢谢 Rico，但不幸的是，它没有用，至少，它帮助我深入研究了权限的东西。 TCP 端口 443 已经对 EC2 实例上的所有人开放（感谢第一个 .ebextensions 块）。

如果我在 EB 控制台 > 配置 > 网络层 > 负载平衡 中使用我的证书添加安全端口 443，则无法访问运行状况检查 URL，因为存在 HTTP 身份验证（错误 401，状态检查是红色的）。

我尝试在 nginx 配置中创建两个服务器，第一个监听端口 80 并始终返回 200，第二个重定向到我的应用程序并处理 SSL 和 HTTP 身份验证内容：

Resources:
sslSecurityGroupIngress: 
Type: AWS::EC2::SecurityGroupIngress
Properties:
  GroupName: {Ref : AWSEBSecurityGroup}
  # GroupId: {Ref : AWSEBSecurityGroup}
  IpProtocol: tcp
  ToPort: 443
  FromPort: 443
  CidrIp: 0.0.0.0/0

files:
  /etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf:
mode: "000644"
owner: root
group: root
content: |
  map $http_upgrade $connection_upgrade {
        default         "upgrade";
        ""                      "";
  }

  server {
        listen 80;

        location / {
                 return 200 'OK';
        }
  }

/etc/nginx/sites-enabled/docker_server.conf:
mode: "000644"
owner: root
group: root
content: |
  # HTTPS Server

  server {
    listen 443;
    server_name .example.com;
    ssl on;
    ssl_certificate /etc/pki/tls/certs/server.crt;
    ssl_certificate_key /etc/pki/tls/certs/server.key;

    ssl_session_timeout 5m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
    ssl_prefer_server_ciphers on;

    auth_basic "Restricted";
    auth_basic_user_file /etc/nginx/.htpasswd;

    location / {
      proxy_pass http://docker;
      proxy_http_version 1.1;

      proxy_set_header Connection "";
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
  }

在此配置中，即使我连接到 https://www.example.com，也无法访问第二个服务器。 相反，我收到 200 OK。如何重定向到端口 443 上的应用程序？

Answer 1

200，它有效。 重现步骤：

• 使用我在第一个 EDIT 1 块中给出的 .ebextensions 中的文件（您还必须提供文件 .htpassword、server.crt 和 server.key）
• 启动 Elastic Beanstalk 环境
• 使用以下命令将 443 侦听器添加到负载均衡器： aws elb create-load-balancer-listeners --load-balancer-name <my load balancer name> --listeners "Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=arn:aws:iam::<my uploaded certificate>" （从 EB 控制台 > 配置 > 网络层 > 负载均衡 不起作用，因为负载均衡器端口 443 被转发到实例端口 80）
• 编辑负载均衡器（不是实例）的安全组并允许 HTTPS 流量（入站和出站）

对我来说，接下来的步骤是创建一个自动执行这些步骤的脚本。

Answer 2

您的问题是您不允许负载均衡器的安全组进入运行 Beanstalk 应用程序的 EC2 实例的安全组。

如果您使用的是 EC2 经典版，您可以看到负载均衡器的安全组是 amazon-elb/amazon-elb-sg。 （如果您使用的是 VPC，那么您需要为您的 VPC 使用特定的 LB 安全组）

然后你可以去你的实例的安全组添加它：

在 EC2 经典版中，每个区域的每个账户只有一个安全组，因此如果您想要更高的安全性，则需要使用 VPC。