web-dev-qa-db-ja.com

Elastic Beanstalk force https

AWS Elastic Beanstalkを介してデプロイしているサイトでHTTPSを強制する際に問題が発生します。

EmberJSを使用したフロントエンドアプリケーションです。私は、httpトラフィックをhttpsにリダイレクトする方法を理解しようとして、何日もぐるぐる回っています。 EC2マシンでAmazon Linux AMIを使用しています。

HTTPSを強制するのはElastic Beanstalk内ではないという結論に達しました(まだこれが正しいかどうかはわかりません)。 Elastic BeanstalkロードバランサーでHTTPとHTTPSの両方を許可し、サーバーにリダイレクトしようとしています。

ここで問題が発生しています。 mod_rewriteヘッダーに基づいたX-Forwarded-Protoなしの書き換えルールに関する多くの回答を見つけていますが、そのファイルは、検索でEC2マシンに存在しません。

また、.ebextensionsディレクトリ内に構成ファイルを作成しようとしましたが、それも機能しませんでした。

私がしようとしている主なことは、httpアドレスをヒットしようとすると、ユーザーをhttpsに誘導することです。ポインタや提案は大歓迎です、ありがとう!

編集:64ビットのDebian jessie v1.4.1を使用していますPython 3.4(Preconfigured-Docker)

12
awwester

環境によって構成が異なるため、使用するElastic Beanstalk環境を指定する必要があると思います(参照: Supported Platforms )。

基本的に、カスタマイズする必要があります:

  • Elastic Load Balancer
    • ポート80でリッスンし、EC2インスタンスのポート80にプロキシします。
    • ポート443でリッスンし、EC2インスタンスのポート443にプロキシします。
  • EC2 Webサーバー/プロキシ
    • ポート80でリッスンし、HTTPSにリダイレクトして応答します。
    • ポート443でリッスンし、リクエストを処理します。

カスタマイズするには、CLIまたは.ebextensionsを使用できます。

AWS Elastic BeanstalkでHTTPSおよびHTTPリダイレクトを有効にする で確認できます。 Elastic BeanstalkシングルDockerコンテナがHTTPSとHTTPを提供するように構成する方法を説明します(HTTPSにリダイレクトします)。必要に応じて設定を調整できます。

7
Edward Samuel

また、X-Forwarded-ProtoヘッダーはELBによって設定されます。これが私がやったことです:

files:
  "/etc/nginx/sites-available/elasticbeanstalk-nginx-docker-proxy.conf":
    mode: "00644"
    owner: root
    group: root
    content: |
      map $http_upgrade $connection_upgrade {
        default        "upgrade";
        ""            "";
      }

      server {
        listen 80;

        gzip on;
        gzip_comp_level 4;
        gzip_types text/html text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

        access_log    /var/log/nginx/access.log;

        location / {
          proxy_pass            http://docker;
          proxy_http_version    1.1;

          proxy_set_header      Connection      $connection_upgrade;
          proxy_set_header      Upgrade         $http_upgrade;
          proxy_set_header      Host            $Host;
          proxy_set_header      X-Real-IP       $remote_addr;
          proxy_set_header      X-Forwarded-For $proxy_add_x_forwarded_for;
        }

        if ($http_x_forwarded_proto = 'http') {
          return 301 https://$Host$request_uri;
        }
      }
10
F.X.

Elastic Beanstalkは、単一のDockerコンテナーからの複数のポートをサポートしていないため、提案されているように、プロキシレベルでこれを処理する必要があります。ただし、ロードバランサーでSSL接続を終了できるため、EC2インスタンスは証明書について知る必要はありません。

あなたの.ebextensionsディレクトリ、2つのサーバー構成を含むnginxプロキシの構成を作成します。プロキシするものhttp://docker(デフォルト設定、ポート80)、およびhttpsにリダイレクトするもの(ポート8080を選択)。

.ebextensions/01-nginx-proxy.config

files:
  "/etc/nginx/sites-available/000-default.conf":
    mode: "000644"
    owner: root
    group: root
    content: |
      map $http_upgrade $connection_upgrade {
          default        "upgrade";
          ""            "";
      }

      server {
          listen 80;

          gzip on;
          gzip_comp_level 4;
          gzip_types text/html text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

          access_log    /var/log/nginx/access.log;

          location / {
              proxy_pass            http://docker;
              proxy_http_version    1.1;

              proxy_set_header    Connection            $connection_upgrade;
              proxy_set_header    Upgrade                $http_upgrade;
              proxy_set_header    Host                $Host;
              proxy_set_header    X-Real-IP            $remote_addr;
              proxy_set_header    X-Forwarded-For        $proxy_add_x_forwarded_for;
          }
      }

      server {
          listen 8080;

          location / {
              return 301 https://$Host$request_uri;
          }
      }

commands:
   00_enable_site:
    command: 'rm -f /etc/nginx/sites-enabled/* && ln -s /etc/nginx/sites-available/000-default.conf /etc/nginx/sites-enabled/000-default.conf'

EBロードバランサーとセキュリティグループの2番目の構成を作成し、次のように設定します。

  • EC2インスタンス
    • ロードバランサーからのポート80/8080のトラフィックを許可する
    • どこからでもポート22のトラフィックを許可(sshアクセスの場合、オプション)
  • ロードバランサー
    • ポート443 HTTPSをポート80 HTTPに転送する
    • ポート80 HTTPをポート8080 HTTPに転送する

.ebextensions/02-load-balancer.config

"Resources" : {
  "AWSEBSecurityGroup": {
    "Type" : "AWS::EC2::SecurityGroup",
    "Properties" : {
      "GroupDescription" : "Instance security group (22/80/8080 in)",
      "SecurityGroupIngress" : [ {
          "IpProtocol" : "tcp",
          "FromPort" : "80",
          "ToPort" : "80",
          "SourceSecurityGroupId" : { "Ref" : "AWSEBLoadBalancerSecurityGroup" }
        }, {
          "IpProtocol" : "tcp",
          "FromPort" : "8080",
          "ToPort" : "8080",
          "SourceSecurityGroupId" : { "Ref" : "AWSEBLoadBalancerSecurityGroup" }
        }, {
          "IpProtocol" : "tcp",
          "FromPort" : "22",
          "ToPort" : "22",
          "CidrIp" : "0.0.0.0/0"
        } ]
    }
  },
  "AWSEBLoadBalancerSecurityGroup": {
    "Type" : "AWS::EC2::SecurityGroup",
    "Properties" : {
      "GroupDescription" : "Load balancer security group (80/443 in, 80/8080 out)",
      "VpcId" : "<vpc_id>",
      "SecurityGroupIngress" : [ {
          "IpProtocol" : "tcp",
          "FromPort" : "80",
          "ToPort" : "80",
          "CidrIp" : "0.0.0.0/0"
        }, {
          "IpProtocol" : "tcp",
          "FromPort" : "443",
          "ToPort" : "443",
          "CidrIp" : "0.0.0.0/0"
        } ],
      "SecurityGroupEgress": [ {
          "IpProtocol" : "tcp",
          "FromPort" : "80",
          "ToPort" : "80",
          "CidrIp" : "0.0.0.0/0"
        }, {
          "IpProtocol" : "tcp",
          "FromPort" : "8080",
          "ToPort" : "8080",
          "CidrIp" : "0.0.0.0/0"
        } ]
    }
  },
  "AWSEBLoadBalancer" : {
    "Type" : "AWS::ElasticLoadBalancing::LoadBalancer",
    "Properties" : {
      "Listeners" : [ {
          "LoadBalancerPort" : "80",
          "InstancePort" : "8080",
          "Protocol" : "HTTP"
        }, {
          "LoadBalancerPort" : "443",
          "InstancePort" : "80",
          "Protocol" : "HTTPS",
          "SSLCertificateId" : "arn:aws:iam::<certificate_id>:<certificate_path>"
        } ]
    }
  }
}

(注:SSLCertificateIdおよびVpcIdを実際の値に置き換えることを忘れないでください)。

ロードバランサー(HTTP)のポート80上のトラフィックは、HTTPSにリダイレクトされるEC2インスタンスのポート8080にヒットします。ロードバランサー(HTTPS)のポート443のトラフィックは、最終的にはdockerプロキシであるEC2インスタンスのポート80によって処理されます。

3
Michael de Hoog

IamはTerraformを使用してElasticBeanstalkでHTTPからHTTPSへのリダイレクトを有効にし、

追加のリスナールールを追加しました

data "aws_alb_listener" "http" { //Get ARN of Listener on Port-80
  load_balancer_arn = aws_elastic_beanstalk_environment.myapp.load_balancers[0]
  port              = 80
}


resource "aws_alb_listener_rule" "redirect_http_to_https" {
  listener_arn = data.aws_alb_listener.http.arn
  action {
    type = "redirect"
    redirect {
      port        = "443"
      protocol    = "HTTPS"
      status_code = "HTTP_301"
    }
  }
  condition {
    Host_header {
      values = ["*.*"]
    }
  }
}
0
Denis Astahov