Как вы получаете ELB Amazon с HTTPS/SSL для работы с веб-сокетами?

Question

Это, похоже, не работает прямо сейчас. Я использую Faye с NodeJS за Amazon ELB. Когда я включаю HTTPS, соединения больше не могут быть брокерами. Я нашел здесь вопрос без ответа: https://forums.aws.amazon.com/message.jspa?messageID=283293. Любой, кто может это сделать? Есть ли какая-нибудь работа за пределами моего собственного экземпляра HAProxy?

Answer 1

Я подтверждаю, на основе собственных тестов, что настройка ELB на TCP/SSL, а не о HTTP/HTTPS, делает трюк с WebSockets. Недостатки двух:

1) Как уже указывалось arturnt, вы не можете получить липкость.

2) Вы потеряете возможность получить личность клиентов. Исходный IP-адрес, видимый вашим сервером WebSocket, всегда будет одним из ELB, и, в отличие от конфигурации HTTP/HTTPS, в запросы не будет добавлен заголовок X-Forwarded-For.

ОБНОВЛЕНИЕ июля 2013: Amazon только что была добавлена ​​поддержка Proxy протокола, который решает недостаток номер 2 выше. С прокси-протоколом заголовок, содержащий исходный IP-адрес клиента, добавляется даже тогда, когда ELB работает на уровне TCP, а не HTTP. Полная информация: http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-proxy-protocol.html

UPDATE августа 2016: Amazon только что объявил новый AWS Application Load Balancer, который поддерживает WebSocket на уровне 7 (а также HTTP/2.0 и маршрутизации контента на основе). См. https://aws.amazon.com/it/blogs/aws/new-aws-application-load-balancer/

Answer 2

Это не сработает, прокси-сервер HTTP (S) ELB не понимает запросы на веб-рассылку, по крайней мере, по крайней мере, и я не знаю, когда/если он запланирован.

Я не уверен, что HAProxy совершенно необходим. Должно быть возможно установить терминатор SSL, например. stud/stunnel, в том же экземпляре, что и ваши узловые серверы, и пройти через этот путь. Затем вы можете сохранить ELB, но поместите его в режим TCP.

Очевидно, что на каждом экземпляре есть накладные расходы SSL, но в конечном итоге, вероятно, масштабируется лучше, чем выгрузка SSL на ELB (в частности, на основе комментариев пользователей по эффективности SSL ELB).

Answer 3

После ответа Джеймса я провел немного больше исследований и перешел на маршрут TCP, не уверен, что есть какие-либо недостатки этого, связанные с использованием туннелирования ELB (учитывая, что мне не нужна липкость). Хорошо, что вам не нужно делать stud/stunnel, поскольку ELB предоставляет это для вас. Поэтому окончательная установка УЗО, где NodeJS/Faye слушаем порт 8000:

Secure TCP Forward (443) -> Local (8000) 
TCP Forward 80 -> Local(8000) 

Answer 4

Вы можете использовать Application LB для надежной поддержки websocket.Я просто реализовать эту идею на нашем последний проект после того, как реализованы некоторые трюки на ALB:

1. открытого порт 80 на все связанный SGs
2. сделать NodeJS работает на 80
3. позволяют NodeJS реагирующего HTTP-80 запроса (NodeJS будет обновить запрос HTTP, чтобы WebSocket в бэкэнде)
4. сделать ALB целевой группы проверку HTTP-80 & правильного пути для пинга
5. создать слушатель на ALB: http80->http80, https443->http80
6. CRE поел правила слушателя на ALB: http80->target group, https443->target group
7. Включить HTTP липкость в