Em primeiro lugar, não se sinta como se você tivesse que percorrer a rota do Amazon Certificate Manager (ACM) / Balanceador de carga. É uma boa solução, mas foi projetada para situações em que você tem alguns servidores atrás de balanceadores de carga, em vez de uma única instância independente.
Outra opção potencialmente mais barata pode ser usar o Cloudfront na frente do seu site, com um certificado ACM, ou usar o Lets Encrypt nas próprias instâncias.
Dito isto, você perguntou sobre LBs, então aqui vamos nós:
Se você é novo em balanceadores de carga na AWS, primeiro deve entender que existem dois tipos: ELB e ALB.
O ELB (Elastic Load Balancer) é o antigo balanceador de carga "estilo clássico", que basicamente retransmite a conexão por meio do balanceador, sem fazer nenhuma lógica sofisticada. Você joga isso na frente de qualquer número de instâncias e passa para um servidor aleatório no pool.
O ALB (Balanceador de Carga de Aplicativo) é um pouco mais complicado, pois eles podem fazer algum roteamento de lógica de aplicativo. Ao usar o ALB, você define os grupos-alvo, bem como as regras de roteamento, o que significa que você pode enviar tráfego para diferentes conjuntos de instâncias, dependendo do caminho de solicitação. O ALB pode ser usado de maneira semelhante ao ELB, e o AWS parece estar forçando seu uso.
Independentemente do tipo de LB que você usa, ainda está colocando um balanceador na frente da instância, o que retransmite o tráfego para as máquinas de origem.
O HTTPS / SSL complica um pouco as coisas ao falar sobre o AWS LB, pois elas são configuradas de maneiras ligeiramente diferentes.
Se você estiver usando o ELB, a guia ouvintes na interface da AWS permite configurar o mapeamento de portas. É aqui que você mapeia "o que as pessoas solicitam" para "de onde vem". Neste caso, você provavelmente iria querer 80 - > 80 e 443 - > 80. Como você quer ouvir tanto http e https, mas só se conectar a http no servidor, pois não tem https. Para uma configuração mais avançada e segura, você pode instalar um certificado auto-assinado no servidor para criptografar a conexão de ponta a ponta e, em seguida, usar 443 - > 443.
SevocêestiverusandooALB,aguialistenersmapearánovamente'oqueaspessoassolicitam'para'deondeelevem',mas,emvezdeapenasmapearasportas,elassãomapeadaspara'TargetGroups'.Namaioriadassituações,oefeitoseráomesmodoELB,vocêestácanalizandoambasasportas80e443paraumúnicogrupo-alvo.
AinterfaceALBbasicamenteextraipartedainterfaceELBparasuaprópriapágina,mastantooELBquantooALBtentamalcançaramesmacoisaaqui,definindoinstâncias/metaseverificaçõesdeintegridade.Amenosquevocêtenhametasválidaseverificaçõesdesaúde,vocêreceberá503erros.
ComoELB,vocêdefinequais'instâncias'serãoexibidas.Aguiadainstânciamostraráo"Status", que é basicamente se o ELB roteará o tráfego para ele ou não. Este deve ser 'InService', em pelo menos uma instância, ou você obtém 503. Se você obtiver qualquer outro status, tente aguardar alguns minutos para que ele se estabilize, se ele não for atualizado para o InService, você tem algo errado com suas instâncias ou você não configurou uma verificação de integridade válida.
ComoALB,osDestinossãodefinidosdamesmamaneira.Aprincipaldiferençaéquevocêdefineaportaquedesejaconectaràssuasinstâncias,alémdasinstânciasàsquaisdesejaseconectar.Amaneiramaiscomumdeconfigurarissoéapontarparaasinstânciasnaporta80,poiséissoqueamaioriadosservidoresdaWebestáexecutando,embora,comonocasoELB,paraaprimorarasegurança,talvezvocêqueirausarHTTPSnasinstânciasusandoautocertificadosassinadosparamantertudocriptografadodepontaaponta.
SemelhanteaoELB,suainformaçãomaisimportanteaquiéostatusdedestino,nestecaso,vocêdesejaver"saudável". Se você não vir isso, aguarde um pouco ou investigue suas verificações de saúde.
Tanto o ALB quanto o ELB dependem de verificações de integridade para saber se devem encaminhar o tráfego para suas instâncias. Isso geralmente é um pouco simples. A maioria das pessoas configurará as verificações de saúde para apontar para uma página bastante simples, algo no seu site ou a raiz do site que é muito rápida de carregar, pois a AWS atingirá várias vezes por minuto. Uma instância só receberá o tráfego encaminhado, se passar nas verificações de integridade. O padrão é acertar a raiz do site. Ajustar essas opções para melhor corresponder ao seu site é importante. Muitas vezes, configuro o threadshold saudável para o mínimo, para que meus servidores atendem ao tráfego o mais rápido possível e reduzem o intervalo de pesquisa a algo mais rápido.