Dimensionamento de vários domínios SSL em várias instâncias do EC2 no AWS ELB

Você está no caminho certo.

Os ELBs podem ser proxies de terminação SSL. Nesse cenário, você configura o HTTPS uma vez no ELB e instala o certificado lá e não nas instâncias.

Tradicionalmente, para SSL, você precisava do nome do servidor da Web para corresponder ao CN no certificado. Este não tem sido o caso por um tempo agora. Veja link Então, não, em nenhum caso você precisa, incluindo SSL terminado por ELB, endereços IP separados para cada site.

Você pode configurar o ELB para encerrar o SSL e falar HTTP para as instâncias.

É uma strong recomendação da Amazon que o CNAMEs do seu site para o nome da instância do ELB (ou nomes, ELBs de vários AZ retornem 1 nome por AZ). Os endereços IP podem mudar, especialmente se o seu ELB for muito E devido a picos de tráfego.

Eu também procuraria em "DNS Failover para Elastic Load Balancing" se os ELBs forem multi-AZ.

É altamente recomendável que você leia a documentação da Amazon sobre o link do ELB. Todas estas perguntas são respondidas - e mais! - são respondidas lá e existem melhores práticas. Isso será melhor do que obter uma compreensão fragmentada por meio de perguntas de falha do Server. (Certamente, se você quiser esclarecimentos sobre os documentos, SF pode ser um bom lugar para fazer uma pergunta.)

Parece que os ELBs só podem lidar com um único certificado.

Se você estiver usando um certificado curinga e todos os domínios estiverem cobertos pelo caractere curinga ou se você estiver usando um certificado de vários domínios (também chamado de certificado UCC), isso também poderá ser usado.

Caso contrário, se você tiver vários certificados para vários domínios, suas opções são:

Certificados em ELBs, um ELB por certificado

Nesse cenário, cada certificado recebe seu próprio ELB. Os ELBs ainda apontam para os mesmos casos. Você instala o certificado no ELB e lida com a terminação SSL.

Prós : muito mais fácil quando os certificados são revogados / substituídos / atualizados. Também libera instâncias do gerenciamento de conexões SSL. Teoricamente, também é mais seguro, pois provavelmente os ELBs estarão menos abertos a possíveis vulnerabilidades.

Contras : mais caras (um ELB por certificado, em vez de apenas um ELB). O escalonamento automático pode ser imprevisível, com um grupo de autoescala associado a um ELB tomando decisões diferentes do que um grupo de autoescala associado a outro ELB.

Certificados em instâncias

Faça com que o ELB passe pela solicitação SSL em vez de terminá-la. Você instala todos os certificados necessários em cada instância e os configura para ouvir a porta 443 e manipular conexões seguras.

Prós: provavelmente ligeiramente mais baratos, mesmo com o aumento da carga do processamento de SSL. Mais controle sobre o que está acontecendo com suas instâncias.

Contras: Realmente consome tempo para atualizar certificados quando eles são revogados / atualizados / criados. Você precisa adicionar a implantação de certificado ao seu processo de implantação. Se suas instâncias forem ativadas de AMIs e os certificados estiverem armazenados na AMI, você deverá gerar uma nova AMI com esses certificados e encerrar as instâncias com certificados inválidos. Se você tiver apenas algumas instâncias, substituir os certificados manualmente em cada instância usando rsync ou scp é uma opção, mas muito desagradável.