問題タブ [aws-elb]

HTTPS を使用してバックエンド サーバーと通信する ELB をセットアップしようとしています。単一のバックエンド サーバーを使用して概念実証をセットアップしようとしていますが、ELB をサーバーと通信させることができないようです。SSL を使用しないセットアップは完全に機能するため、これは証明書の問題であるとほぼ確信しています。

どうすればこれを設定できますか? 複数の回答やブログ投稿からさまざまな提案を試みましたが、うまくいきません。

私が今行っていることは、次のコマンドを使用して自己署名証明書を設定することです ( AWS ELB -> Backend Server over HTTPS with Self-Signed Certificate から):

署名時に複数のドメイン名を試しましたが、それらを使用してカールできます。

ここで使用すべきドメイン/IP/DNS エントリはありますか? 少なくともcurlが機能することはかなり良いと思います。

現在、私のnginx構成（サイト対応ファイル内）は次のようになっています：

これは、上記の curl コマンドで機能します。

クラシック ロード バランサとアプリケーション ロード バランサを試しました。クラシックでは、ssl.crt の内容を追加しようとしました。アプリケーション ロード バランサに同様のオプションはありませんが、HTTP->HTTPS を非常に簡単に転送できるため、可能であればそれらを使用したいと考えています。いずれにしても、クラシック ロード バランサーもアプリケーション ロード バランサーもサーバーと通信していません。

何が欠けているかについての提案はありますか？または、何が欠けているかを判断する方法は？

AWS ALB には、インスタンス、IP、ラムダの 3 つのターゲット タイプがあります。

Ansible プレイブックを使用してターゲット グループを作成する場合、使用できるオプションは 2 つだけです - インスタンスと IP。リンクはこちら

では、Ansible を使用して Lambda のターゲット グループを作成する方法は?

ECS のローリング アップデートを DAEMON モードでテストしてきましたが、時折発生する「502 Bad Gateway」応答を回避できません。これは、排水戦略プロセスのバグを指しているように見えるこれをテストするために行ったことです。

まず、curl GET ( source ) に応答する最小限の hello-world プログラムを Kotlin/Jersey で作成しました。300 ミリ秒ごとにループでエンドポイントにヒットします。

次に、ロールアウトの進行状況を観察できるように、わずかに異なる応答 (110 と 1010) を生成する新しいコンテナー イメージを (同じタグを使用して) プッシュします。最後に、次のコマンドでサービスの更新を強制します。

サービスには 2 つのタスクがあり、Minimum health percentには 50% があります。Bash ループは、ローリング更新中に次の出力を生成します。ある時点で、「110」(古いコード) と「1010」(新しいコード) の 2 つの出力があります。これは、コンテナーの 1 つが更新され、もう一方はまだ更新されていません:

Bash コンソールのイベントを AWS コンソールのイベント (どちらも NTP 時刻同期) と関連付けると、9:04:39 頃に「ドレイン」にもかかわらず、古いコード/コンテナーにヒットしていることがわかります。 9:04:28 以降に発生したと思われるイベントを、以下で赤くハイライトしました。9:04:39 に、ループ内の「502 Bad Gateway」応答と相関するタスクが最終的に停止されます。

私の結論は、ELB が最後のターゲットを正しく排出していないため、表示されるエラーが発生するということです。

これをさらに診断する方法や別の方法で構成する方法について誰かが考えている場合は、お知らせください。

ELB の登録解除の遅延を 10 秒から 30 秒に増やすことで、サービスの中断を回避することができました。