如何配置 AWS 网络负载均衡器以使用 Terraform 路由 HTTPS 流量?

【问题标题】:How do I configure AWS network load balancers to route HTTPS traffic with Terraform?如何配置 AWS 网络负载均衡器以使用 Terraform 路由 HTTPS 流量?
【发布时间】:2020-04-10 22:06:21
【问题描述】:

我正在尝试使用 API Gateway 的 VPC 链接将流量路由到 HTTPS 上的内部 API。 但是,VPC 链接迫使我将 API 的负载均衡器从“应用程序”更改为“网络”。

我了解网络负载平衡器位于第 4 层,因此不了解 HTTPS。

我习惯使用第 7 层应用负载均衡器。因此,我不确定应该如何在 terraform 中配置或确实使用网络负载均衡器。

以下是我在 Terraform 中配置网络负载均衡器的尝试。 健康检查失败,我不确定我做错了什么。 

resource "aws_ecs_service" “app” {
  name = "${var.env}-${var.subenv}-${var.appname}"
  cluster = "${aws_ecs_cluster.cluster.id}"
  task_definition = "${aws_ecs_task_definition.app.arn}"
  desired_count = "${var.desired_app_count}"
  deployment_minimum_healthy_percent = 50
  deployment_maximum_percent = 200
  iam_role = "arn:aws:iam::${var.account}:role/ecsServiceRole"

  load_balancer {
    target_group_arn = "${aws_lb_target_group.app-lb-tg.arn}"
    container_name = "${var.env}-${var.subenv}-${var.appname}"
    container_port = 9000
  }
  depends_on = [
    "aws_lb.app-lb"
  ]
}

resource "aws_lb" “app-lb" {
  name               = "${var.env}-${var.subenv}-${var.appname}"
  internal           = false
  load_balancer_type = "network"
  subnets = "${var.subnet_ids}"
  idle_timeout = 600

  tags {
    Owner = ""
    Env = "${var.env}"
  }
}

resource "aws_lb_listener" “app-lb-listener" {
  load_balancer_arn = "${aws_lb.app-lb.arn}"
  port = 443
  protocol = "TCP"

  default_action {
    type = "forward"
    target_group_arn = "${aws_lb_target_group.app-lb-tg.arn}"
  }
}

resource "aws_lb_target_group" “app-lb-tg" {
  name = "${var.env}-${var.subenv}-${var.appname}"
  port = 443
  stickiness = []

  health_check {
    path = "/actuator/health"
  }

  protocol = "TCP"
  vpc_id = "${var.vpc_id}"
}

作为参考,这是我之前在尝试切换到网络负载平衡器之前配置应用程序负载平衡器的方式:

resource "aws_ecs_service" "app" {
  name = "${var.env}-${var.subenv}-${var.appname}"
  cluster = "${aws_ecs_cluster.cluster.id}"
  task_definition = "${aws_ecs_task_definition.app.arn}"
  desired_count = "${var.desired_app_count}"
  deployment_minimum_healthy_percent = 50
  deployment_maximum_percent = 200
  iam_role = "arn:aws:iam::${var.account}:role/ecsServiceRole"

  load_balancer {
    target_group_arn = "${aws_lb_target_group.app-alb-tg.arn}"
    container_name = "${var.env}-${var.subenv}-${var.appname}"
    container_port = 9000
  }
  depends_on = [
    "aws_alb.app-alb"]
}

resource "aws_alb" "app-alb" {
  name = "${var.env}-${var.subenv}-${var.appname}"
  subnets = "${var.subnet_ids}"
  security_groups = [
    "${var.vpc_default_sg}",
    "${aws_security_group.app_internal.id}"]
  internal = false
  idle_timeout = 600
  tags {
    Owner = ""
    Env = "${var.env}"
  }
}

resource "aws_lb_listener" "app-alb-listener" {
  load_balancer_arn = "${aws_alb.app-alb.arn}"
  port = "443"
  protocol = "HTTPS"
  ssl_policy = "ELBSecurityPolicy-2015-05"
  certificate_arn = "${var.certificate_arn}"

  default_action {
    type = "forward"
    target_group_arn = "${aws_lb_target_group.app-alb-tg.arn}"
  }
}

resource "aws_lb_target_group" "app-alb-tg" {
  name = "${var.env}-${var.subenv}-${var.appname}"
  port = 80
  health_check {
    path = "/actuator/health"
  }
  protocol = "HTTP"
  vpc_id = "${var.vpc_id}"   
}

【问题讨论】:

  • 这适用还是错误?如果它没有出错,仅仅是健康检查失败了吗?看起来 AWS 在您应用它时应该在验证时失败(Terraform 这样做会很棘手,因为它不正式支持交叉参数验证)但是您不应该在不设置健康检查协议的情况下指定健康检查路径到 HTTP/HTTPS。
  • 查看此链接 aws.amazon.com/blogs/aws/… 如果我没记错的话,您需要将“协议”从 TCP 更改为 TLS

标签: amazon-web-services terraform aws-api-gateway terraform-provider-aws aws-load-balancer


【解决方案1】:

一个流经它的网络负载平衡器automatically performs passive health checks on non UDP traffic,所以如果这足够了,那么您可以删除活动的运行状况检查配置。

如果您想启用主动健康检查,那么您可以使用 TCP 健康检查(默认),它只会检查端口是否打开,或者您可以指定 HTTP/HTTPS 协议并指定路径。理想情况下,当您尝试为健康检查指定路径但未将协议设置为 HTTP 或 HTTPS 时,AWS API 会出错,但现在显然不是这样。

使用 Terraform,这看起来像这样:

resource "aws_lb_target_group" "app-alb-tg" {
  name     = "${var.env}-${var.subenv}-${var.appname}"
  port     = 443
  protocol = "TCP"
  vpc_id   = "${var.vpc_id}"

  health_check {
    path     = "/actuator/health"
    protocol = "HTTPS"
  }
}

请记住,主动运行状况检查将从网络负载平衡器的角度(不仅仅是源流量)检查目标上的端口是否打开。这意味着您的目标将需要允许来自您的 NLB 所在的子网以及您的源流量源自的安全组或 CIDR 范围等的流量。

【讨论】:

  • 当我使用 TCP aws_lb_listener 尝试此操作时,我收到此错误:“侦听器和以下目标组的协议不兼容”。
  • 抱歉,复制粘贴了错误的目标组定义。只是对目标组上的运行状况检查协议进行了更改,因此您仍应将 TCP 流量传递到目标,但使用 HTTP 或 HTTPS 协议进行运行状况检查。
  • Np,我不太确定的一件事是 ssl_policy 和 certificate_arn 应该去哪里。与之前的 ALB 一样,我在 aws_lb_listener 中进行了设置。但鉴于我现在使用的是 NLB,我是否可以假设不再需要它们?
  • 如果您在 NLB 卸载 TLS 而不是执行直通 TCP,您只需要 ssl_policycertificate_arn,这就是您的问题。如果您对该配置有特定问题,但最好创建一个单独的问题。
猜你喜欢
  • 1970-01-01
  • 2021-05-13
  • 2020-05-08
  • 1970-01-01
  • 2021-12-19
  • 2021-05-19
  • 1970-01-01
  • 2021-01-10
  • 2018-11-05
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode