Terminate SSL on Application Load Balancer| ALB| AWS

एडब्ल्यूएस – एप्लिकेशन लोड बैलेंसर्स (एएलबी) का अवलोकन।
AWS एप्लीकेशन लोड बैलेंसर्स का परिचय – ALB क्या है?

एडब्ल्यूएस एप्लीकेशन लोड बैलेंसर (एएलबी)
टीएल; डीआर
एप्लिकेशन लोड बैलेंसर (ALB) OSI मॉडल के लेयर 7 (एप्लिकेशन लेयर – रिक्वेस्ट लेयर) पर काम करता है। ALB HTTP और HTTPS प्रोटोकॉल का उपयोग करके अनुप्रयोगों के लोड संतुलन का समर्थन करता है।

एएलबी यह सुनिश्चित करके आपके एप्लिकेशन की सुरक्षा को सरल और बेहतर बनाता है कि नवीनतम एसएसएल/टीएलएस सिफर और प्रोटोकॉल हर समय उपयोग किए जाते हैं।

इलास्टिक लोड बैलेंसर (ईएलबी) ओवरव्यू के बारे में और पढ़ें।

विशेषताएँ
परत 7 लोड संतुलन – आप अनुरोध विशेषताओं के आधार पर गंतव्यों – EC2 उदाहरणों, माइक्रोसर्विसेज और कंटेनरों में HTTP/HTTPS ट्रैफ़िक को संतुलित कर सकते हैं।
सुरक्षा सुविधाएँ – आप अतिरिक्त सुरक्षा विकल्प प्रदान करने के लिए ALB सुरक्षा समूहों को संबद्ध कर सकते हैं।
वेब एप्लिकेशन फ़ायरवॉल – आप अपने ALB पर अपने वेब एप्लिकेशन की सुरक्षा के लिए AWS WAF का उपयोग कर सकते हैं।
HTTPS सपोर्ट – ALB क्लाइंट्स और लोड बैलेंसर के बीच HTTPS टर्मिनेशन को सपोर्ट करता है।
एसएसएल/टीएलएस ऑफलोडिंग – आप एक एचटीटीपीएस श्रोता बना सकते हैं जो एन्क्रिप्टेड कनेक्शन (एसएसएल ऑफलोड) का उपयोग करता है। ALB क्लाइंट TLS सत्र समाप्ति का समर्थन करता है। आपके सर्वर प्रमाणपत्रों को प्रबंधित करने के लिए AWS प्रमाणपत्र प्रबंधक (ACM) या IAM का उपयोग किया जा सकता है।
अनुपालन और सुरक्षा मानकों को पूरा करने के लिए आप अपने टीएलएस श्रोताओं के लिए पूर्वनिर्धारित सुरक्षा नीतियों में से चुन सकते हैं।
स्टिकी सत्र – स्टिकी सत्र एक ही क्लाइंट से एक ही गंतव्य तक अनुरोधों को रूट करने का एक तंत्र है। ALB अवधि-आधारित कुकीज़ और एप्लिकेशन-आधारित कुकीज़ दोनों का समर्थन करता है। ऑडियंस के स्तर पर स्टिकी सत्र सक्रिय होते हैं।
नेटिव IPv6 सपोर्ट – ALB VPC में नेटिव IPv6 को सपोर्ट करता है। यह क्लाइंट को IPv4 या IPv6 पर ALB से कनेक्ट करने की अनुमति देता है।
HTTP/2 समर्थन – HTTP/2 समर्थन मूल रूप से किसी ALB पर सक्षम है। HTTP / 2 का समर्थन करने वाले क्लाइंट TLS पर ALB से जुड़ सकते हैं।
WebSockets समर्थन – WebSockets और Secure WebSockets समर्थन मूल रूप से उपलब्ध है और इसका उपयोग ALB पर किया जा सकता है। यह एक सर्वर को अंतिम उपयोगकर्ताओं के साथ वास्तविक समय के संदेशों का आदान-प्रदान करने की अनुमति देता है, बिना अंतिम उपयोगकर्ताओं को एक अद्यतन के लिए सर्वर का अनुरोध (या मतदान) करना पड़ता है।
जीआरपीसी समर्थन – एएलबी माइक्रोसर्विसेज के बीच या जीआरपीसी-सक्षम क्लाइंट और सेवाओं के बीच जीआरपीसी ट्रैफिक को रूट और बैलेंस कर सकता है। जीआरपीसी परिवहन के लिए HTTP / 2 का उपयोग करता है और माइक्रोसर्विस आर्किटेक्चर में सेवाओं के बीच संचार के लिए पसंद का प्रोटोकॉल बन रहा है।
रीडायरेक्ट – एएलबी आने वाले अनुरोध को एक यूआरएल से दूसरे यूआरएल पर रीडायरेक्ट कर सकता है। उदाहरण के लिए, HTTP से HTTPS पुनर्निर्देशन और किसी एप्लिकेशन के पुराने संस्करण से नए संस्करण में पुनर्निर्देशन।
निश्चित प्रतिक्रिया – ALB यह नियंत्रित कर सकता है कि आपके एप्लिकेशन द्वारा कौन से क्लाइंट अनुरोध परोसे जाते हैं। यह आपको HTTP त्रुटि प्रतिक्रिया कोड और लोड बैलेंसर से कस्टम त्रुटि संदेशों के साथ आने वाले अनुरोधों का जवाब देने की अनुमति देता है, बिना आवेदन के अनुरोध को अग्रेषित किए।
सर्वर नाम संकेत (एसएनआई) – आप एक टीएलएस श्रोता के साथ कई सुरक्षित वेबसाइटों की सेवा के लिए एसएनआई का उपयोग कर सकते हैं। यानी, आप एक ही डोमेन के लिए एक से अधिक प्रमाणपत्रों को एक सुरक्षित श्रोता के साथ संबद्ध कर सकते हैं। यदि क्लाइंट में होस्टनाम कई प्रमाणपत्रों से मेल खाता है, तो लोड बैलेंसर एक बुद्धिमान चयन एल्गोरिथ्म के आधार पर सबसे अच्छा प्रमाणपत्र चुनता है।
लक्ष्य के रूप में आईपी पते – आप लक्ष्य के रूप में एप्लिकेशन बैकएंड आईपी पते के साथ किसी भी एडब्ल्यूएस-होस्टेड एप्लिकेशन (एकल वीपीसी, पीयरेड वीपीसी, और ईसी 2-क्लासिक) या ऑन-प्रिमाइसेस (डायरेक्ट कनेक्ट या वीपीएन कनेक्शन के माध्यम से) को संतुलित कर सकते हैं।
लैम्ब्डा लक्ष्य के रूप में कार्य करता है – आप लैम्ब्डा फ़ंक्शन को लोड बैलेंसर के लिए लक्ष्य के रूप में पंजीकृत कर सकते हैं और HTTP और HTTPS प्रोटोकॉल दोनों पर विभिन्न लैम्ब्डा फ़ंक्शंस के अनुरोधों को रूट करने के लिए सामग्री-आधारित रूटिंग नियमों के समर्थन का उपयोग कर सकते हैं।
सामग्री-आधारित रूटिंग – यदि आपके आवेदन में कई अलग-अलग सेवाएं शामिल हैं, तो एएलबी अनुरोध की सामग्री के आधार पर एक सेवा के लिए अनुरोध भेज सकता है जैसे होस्ट फ़ील्ड, पथ यूआरएल, एचटीटीपी हेडर, एचटीटीपी विधि, क्वेरी स्ट्रिंग, या स्रोत आईपी और पता।
होस्ट-आधारित रूटिंग: आप HTTP हेडर के होस्ट फ़ील्ड के आधार पर क्लाइंट अनुरोध को रूट कर सकते हैं, जिससे आप एक ही लोड बैलेंसर से कई डोमेन तक रूट कर सकते हैं।
पथ-आधारित रूटिंग: आप HTTP हेडर URL पथ के आधार पर क्लाइंट अनुरोध को रूट कर सकते हैं।
HTTP शीर्षलेख-आधारित रूटिंग: आप किसी मानक या कस्टम HTTP शीर्षलेख के मान के आधार पर क्लाइंट अनुरोध को रूट कर सकते हैं।
विधि-आधारित HTTP रूटिंग: आप किसी भी मानक या कस्टम के आधार पर क्लाइंट अनुरोध को रूट कर सकते हैं

Hey guys, this is one of those ad-hoc videos which I promised I would be doing in between our courses, In this video how you can terminate an SSL certificate on to an Application Load Balancer.
You can create an SSL certificate using ACM – Amazon Certificate Manager or import the ssl into ACM if you have taken SSL from a third party vendor.

source

6 thoughts on “Terminate SSL on Application Load Balancer| ALB| AWS”
  1. Hi, My ALB(HTTPS) connects with backed http application and it's working fine. But if i connect with backend https application, getting 502 Bad Gateway error. Even I created ACM public certificate also. What I am missing here? It would be very much helpful if you suggest something.

  2. Hi sir, I'm working in a startup as a full stack developer, Recently I'm dealing with some issue on aws ELB, suddenly there are errors > Client Tls negotiation error count from 13/8/2020 till now and I don't remember any change that would effect this before a week or so. Can you help me in figuring this out or any suggestion by video on how to handle this issue would be very much helpful 🙏

  3. I have a question. Seems to be hard to find on the internet…If I have a wildcard certificate at the Load Balancer level, is necessary to have a separate certificate on the ec2 instance underneath the load balancer? Or will the wildcard certificate on the load balancer also secure the ec2 instance underneath it?
    For example…
    My load balancer has a wildcard certificate of *.company.com
    I have a DNS that is pointed to the load balancer which is bestcompany.company.com
    This ultimately gets routed to the EC2 instance underneath the load balancer.

    Do I need to install a certificate for bestcompany.company.com on the EC2 instance?

    I did not think so, but my workplace is telling me I need a certificate on the EC2 instance as well. Not sure if the engineer telling me this is misinformed.??

Leave a Reply

Your email address will not be published.

Captcha loading...