Elastic Beanstalk ไม่รองรับพอร์ตหลายพอร์ตจาก Single Docker Container ดังนั้นคุณต้องจัดการสิ่งนี้ในระดับพร็อกซีตามที่แนะนำ อย่างไรก็ตามอินสแตนซ์ EC2 ของคุณไม่จำเป็นต้องรู้เกี่ยวกับใบรับรองของคุณเนื่องจากคุณสามารถยุติการเชื่อมต่อ SSL ที่ load balancer
ใน.ebextensions
ไดเรกทอรีของคุณสร้างการกำหนดค่าสำหรับพร็อกซี nginx ที่มีการกำหนดค่าเซิร์ฟเวอร์สองรายการ อันที่หนึ่งพร็อกซี่http://docker
(การกำหนดค่าเริ่มต้นพอร์ต 80) และอีกอันที่เปลี่ยนเส้นทางไปยัง https (ฉันเลือกพอร์ต 8080)
.ebextensions/01-nginx-proxy.config
:
files:
"/etc/nginx/sites-available/000-default.conf":
mode: "000644"
owner: root
group: root
content: |
map $http_upgrade $connection_upgrade {
default "upgrade";
"" "";
}
server {
listen 80;
gzip on;
gzip_comp_level 4;
gzip_types text/html text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
access_log /var/log/nginx/access.log;
location / {
proxy_pass http://docker;
proxy_http_version 1.1;
proxy_set_header Connection $connection_upgrade;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
server {
listen 8080;
location / {
return 301 https://$host$request_uri;
}
}
commands:
00_enable_site:
command: 'rm -f /etc/nginx/sites-enabled/* && ln -s /etc/nginx/sites-available/000-default.conf /etc/nginx/sites-enabled/000-default.conf'
สร้างการกำหนดค่าที่สองสำหรับตัวโหลดบาลานซ์ EB และกลุ่มความปลอดภัยที่ตั้งค่าดังต่อไปนี้:
- อินสแตนซ์ EC2 :
- อนุญาตการรับส่งข้อมูลบนพอร์ต 80/8080 จากตัวโหลดบาลานซ์
- อนุญาตการรับส่งข้อมูลบนพอร์ต 22 ได้จากทุกที่ (สำหรับการเข้าถึง ssh หรือไม่ก็ได้)
- เครื่องถ่วงโหลด :
- ส่งต่อพอร์ต 443 HTTPS ไปที่พอร์ต 80 HTTP
- ส่งต่อพอร์ต 80 HTTP ไปยังพอร์ต 8080 HTTP
.ebextensions/02-load-balancer.config
:
"Resources" : {
"AWSEBSecurityGroup": {
"Type" : "AWS::EC2::SecurityGroup",
"Properties" : {
"GroupDescription" : "Instance security group (22/80/8080 in)",
"SecurityGroupIngress" : [ {
"IpProtocol" : "tcp",
"FromPort" : "80",
"ToPort" : "80",
"SourceSecurityGroupId" : { "Ref" : "AWSEBLoadBalancerSecurityGroup" }
}, {
"IpProtocol" : "tcp",
"FromPort" : "8080",
"ToPort" : "8080",
"SourceSecurityGroupId" : { "Ref" : "AWSEBLoadBalancerSecurityGroup" }
}, {
"IpProtocol" : "tcp",
"FromPort" : "22",
"ToPort" : "22",
"CidrIp" : "0.0.0.0/0"
} ]
}
},
"AWSEBLoadBalancerSecurityGroup": {
"Type" : "AWS::EC2::SecurityGroup",
"Properties" : {
"GroupDescription" : "Load balancer security group (80/443 in, 80/8080 out)",
"VpcId" : "<vpc_id>",
"SecurityGroupIngress" : [ {
"IpProtocol" : "tcp",
"FromPort" : "80",
"ToPort" : "80",
"CidrIp" : "0.0.0.0/0"
}, {
"IpProtocol" : "tcp",
"FromPort" : "443",
"ToPort" : "443",
"CidrIp" : "0.0.0.0/0"
} ],
"SecurityGroupEgress": [ {
"IpProtocol" : "tcp",
"FromPort" : "80",
"ToPort" : "80",
"CidrIp" : "0.0.0.0/0"
}, {
"IpProtocol" : "tcp",
"FromPort" : "8080",
"ToPort" : "8080",
"CidrIp" : "0.0.0.0/0"
} ]
}
},
"AWSEBLoadBalancer" : {
"Type" : "AWS::ElasticLoadBalancing::LoadBalancer",
"Properties" : {
"Listeners" : [ {
"LoadBalancerPort" : "80",
"InstancePort" : "8080",
"Protocol" : "HTTP"
}, {
"LoadBalancerPort" : "443",
"InstancePort" : "80",
"Protocol" : "HTTPS",
"SSLCertificateId" : "arn:aws:iam::<certificate_id>:<certificate_path>"
} ]
}
}
}
(หมายเหตุ: อย่าลืมแทนที่ SSLCertificateId และ VpcId ด้วยค่าของคุณ)
ทราฟฟิกใด ๆ บนพอร์ต 80 ของ load balancer (HTTP) จะกดพอร์ต 8080 บนอินสแตนซ์ EC2 ซึ่งเปลี่ยนเส้นทางไปยัง HTTPS การรับส่งข้อมูลบนพอร์ต 443 บนตัวโหลดบาลานซ์ (HTTPS) จะจบลงด้วยการให้บริการโดยพอร์ต 80 บนอินสแตนซ์ EC2 ซึ่งเป็นพร็อกซีของนักเทียบท่า