このトピックでは、Application Load Balancer (ALB) のエンドツーエンドHTTPS暗号化を設定する方法について説明します。
シナリオ
データセキュリティは、ワークロードの大部分をクラウドでホストする企業、特に公共サービス部門や金融業界の企業にとって重要です。 高いセキュリティを確保するために、企業は一方の端から他方の端へのデータ転送を暗号化する必要があります。 負荷分散サービスを使用する場合、フロントエンド接続 (クライアントと負荷分散サービス間の接続) とバックエンド接続 (負荷分散サービスとバックエンドサーバー間の接続) の両方を暗号化する必要があります。
ALBは、データ転送用にエンドツーエンドのHTTPS暗号化をサポートしています。 HTTPSは、クライアントとALB間、およびALBとバックエンドサーバー間のデータ転送を暗号化して、機密データのセキュリティを向上させることができます。
エンドツーエンドHTTPS暗号化の設定
ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。
左側のナビゲーションウィンドウで、を選択します。
[サーバーグループ] ページで、[サーバーグループの作成] をクリックします。 次の表に、いくつかのパラメーターを示します。 他のパラメータはデフォルト値を使用する。 パラメーターを設定したら、[作成] をクリックします。
パラメーター
説明
サーバーグループタイプ
作成するサーバーグループのタイプを選択します。 この例では、[サーバー] が選択されています。
サーバーグループ名
サーバーグループの名前を入力します。
VPCリソースグループ
仮想プライベートクラウド (VPC) のリソースグループを選択します。
[VPC]
ドロップダウンリストからVPCを選択します。 この例では、ALBインスタンスがデプロイされているVPCが選択されています。
バックエンドサーバープロトコル
バックエンドプロトコルを選択します。 この例では、HTTPSが選択されています。
スケジューリングアルゴリズム
スケジューリングアルゴリズムを選択します。 この例では、デフォルト値の [加重ラウンドロビン] が使用されます。
リソースグループ
サーバーグループのリソースグループを選択します。
IPv6サポート
VPCのIPv6を有効にするかどうかを選択します。 IPv6はデフォルトで無効になっています。 IPv6を無効にすると、IPv4バックエンドサーバーのみをサーバーグループに追加できます。 IPv6を有効にすると、IPv6バックエンドサーバーとIPv4バックエンドサーバーの両方をサーバーグループに追加できます。
セッション永続性
デフォルトで無効になっているセッション維持を有効にするかどうかを選択します。 セッション維持を無効にすると、ALBはリクエストを異なるバックエンドサーバーに配信します。 セッション維持を有効にすると、ALBは同じクライアントからのリクエストを同じバックエンドサーバーに分散します。 この例では、デフォルト設定であるセッション持続性が無効になっています。
永続的な接続
デフォルトで有効になっている永続接続を有効にするかどうかを選択します。 永続接続が有効になっている場合、ALBはバックエンドサーバーへの接続を一定数維持します。 要求は、TCPハンドシェイクの数を減らすために、アイドルTCP永続接続に優先的に分配される。 これにより、バックエンドサーバーの負荷が軽減されます。
ヘルスチェック
ヘルスチェックを有効にするかどうかを指定します。 この例では、ヘルスチェックが有効になっています。これはデフォルト設定です。
ヘルスチェックの設定
この例では、デフォルトの詳細設定が使用されます。 詳細については、「サーバーグループの作成と管理」をご参照ください。
[サーバーグループ] ページで、管理するサーバーグループを見つけ、[操作] 列の [バックエンドサーバーの変更] をクリックします。
[バックエンドサーバー] タブで、[バックエンドサーバーの追加] をクリックします。
[バックエンドサーバーの追加] パネルで、バックエンドサーバーの種類を指定し、追加するバックエンドサーバーを選択して、[次へ] をクリックします。
ポートを443に設定し、デフォルトの重みを使用して、[OK] をクリックします。
HTTPSリスナーの作成方法の詳細については、「HTTPSリスナーの追加」をご参照ください。
説明[サーバーグループの選択] ウィザードページで、作成したサーバーグループを選択します。