AWS（Amazon）のALB（Application Load Balancer）を設定していますがうまくいきません。
根本的なところが間違っているかもしれませんのでお伺いさせてください。
httpではアクセスできていますが、httpsでアクセスできません。
TargetGroupはInstanceのWebサーバ1台を指定し、Portは80を設定しています。

【質問内容】

(1)Application Load Balancerはレイヤ２動作で正しいでしょうか？
⇒ユーザからのHTTPSパケットの宛先IPアドレスはInstanceのWebサーバIPアドレスになっていて、レイヤ2で通過時にLoadBalanceしてくれると思っています。
WebサーバのアドレスとしてLoadbalancerのIPアドレスを設定するわけではないと思っています。IPアドレスを設定してませんし。。。

(2)Application Load BalancerはHTTPSを終端していると思っています。
（リスナーにはHTTPとHTTPSを設定し、HTTPSにはACMで作成したSSL証明書を設定しています。）
HTTPSはLoadBalancer（ALB）まででターゲットのInstanceのWebサーバにはHTTPで送信していますでしょうか？
InstanceのサーバはHTTPのみサポートすればHTTPSもサポートできるのは誤っていますでしょうか？
InstanceのWebサーバはSSL証明書を必要としないと思っています。

AWSでALBを追加してInstanceのWebサーバにHTTPSを使えるようにしたいのですが、やり方が良くわからず困っています。

よろしくお願いします。

行動規範の内容に同意します

回答3件

解決済みのようですが、誤っているので正しておきます。

Elastic Load Balancing（以下ELB）について

元々ELBは1つだけでした。
2016年の9月末にコンテナベースアプリケーションのサポートやURLベースのルーティングに特化した
Application Load Balancing（以下ALB）が新設されました。

基本的にはアーキテクチャは元々1つですからALBもELBも変わりはありません。
EC2インスタンスをアタッチ/デタッチして、インスタンスに通信させるか否かを設定します。
＃LANケーブルの結線と抜線と同じ動作となります。

ELB、ALBのしくみ

ELBは、OSI参照モデルで言うところのレイヤー4（トランスポート層）およびレイヤー7（アプリケーション層）で動作します。
ALBは、レイヤー7でのみ動作します。

ELB、ALBは、IPアドレスを複数持っておりランダムで変更されます。
よって、DNS側で指定するときは、AレコードのエイリアスかCNAMEとして設定することになります。

ELB,ALBの機能

ELB、ALBは、外部ないし内部通信を受け、設定したインスタンスに通信を渡します。

ポートフォワーディング機能を持っていますので、
例えば443ポートで来た通信を8080に変更してEC2インスタンスに渡すことができます。

証明書の認証及び検証機能も設定することができます。
ELBないしALBで、いちいちEC2インスタンスに渡すことなくSSLの証明書検証ができるようになっています。

また、内部ロードバランサーとして利用することも可能で、ロードバランサー作成時にスキーマを
外部向けなのか内部向けなのか選択することができます。
＃ただし、一度作成してしまうと変更できませんので、作り直したいときは削除して作り直します。

内部向けに作ったロードバランシングに対して、ネームをつけたい場合は、
外部ネームサーバは使うことができないため、EC2インスタンスにDNSを立てるかRoute53で設定するしかありません。

外部向けに作ったロードバランシングに対して、ネームをつけたい場合は、
外部DNSを使う、EC2インスタンスにDNSを立てる、Route53で設定するの選択ができます。

Route53は、非常に安価にもかかわらず、事前にAWSネットワークと主要拠点を結んで認識するようになっていますので、
普段は1日や2日かかるIPアドレスと名前の紐付けが、数分で伝播させることができます。

以上、ELBの概略ですが、回答となったのではないでしょうか。

投稿2017/04/17 06:29

lazhuward

総合スコア1294

yamayamak

2017/04/17 07:54

レイヤ３はIPアドレスが必要か？（レイヤ３以上で処理）という意味でしたので理解通りです。 WAFはもっと簡単に導入できるべきだと思いますが、ALBを必ず導入しないといけない仕様なのでDNSも含めて移行しないといけなく非常に大変という印象です。2016年12月にALBでも導入できるようになったので、少し導入の壁が低くなったので、今後、さらに導入しやすくなるよう期待しています。

lazhuward

2017/04/17 08:33

そうでしたか。それは失礼しました。大型のアップデートは、6月と11月にあわせてアップデートされますのでそれに期待ですかね。

yamayamak

2017/04/17 12:06

ご指摘の通り、正確にはレイヤ動作というよりはIPアドレス終端をしていると記載すべきでしたので、ご指摘の通りです。レイヤ２動作でIPアドレスを終端せずにレイヤ４、７を解析し動作するSWもあるので、確認したかったというのが趣旨でしたが、こちらの記述ミスで誤解を招きました。コメントありがとうございました。今回は無事に移行できました。

行動規範の内容に同意します

自己解決

解決しました。
ALBはレイヤ３動作でした。IPアドレスが自動で割り振られ設定することはできません。
ALBにはホスト名が自動で割り振られます（my-loadbalancer-1234567890.us-west-2.elb.amazonaws.com など）ので、一般的なドメイン（example.jpなど）のようなものをDNSで結びつける必要があります。
そのため、DNS関連設定のドメイン（example.jpなど）管理をAmazonのRoute53で行う必要があります。
A,MX,NS,TXTレコードなどのDNS管理はムームードメインで実施していましたが、全てRoute53に移行しました。
結論的に解決方法は
・ALBはレイヤ３動作（example.jpなどの宛先IPアドレスはALBに設定する必要あり）
・ALBのホスト名と一般ドメイン（example.jpなど）の結びつきをAmazonDNSサービス（Route53）で行う
ということでした。

投稿2017/04/16 23:16

yamayamak

総合スコア131

yamayamak

2017/04/18 23:15

自己補足です。この質問で定義しているレイヤ２動作、レイヤ３動作というのは、パケットフォワーディング（ネットワークルーティング）の仕方を質問しています。・レイヤ２動作：スイッチングHUBなど・レイヤ３動作：ルーターなどレイヤ２動作はMACアドレスを見て装置内をルーティング（MACアドレステーブルにより送信ポートを決定）します。レイヤ３動作はIPアドレスを見て装置内をルーティング（IPアドレステーブルにより送信ポートを決定し自分と次のルータにパケットのMACアドレスを変更）することを言っています。このどちらのルーティングをALBは実施しているのかを質問していました。結果的にはIPアドレスを保持しレイヤ３でルーティングしていました。

行動規範の内容に同意します

AWSのことは詳しくないですがHTTPSはデフォルトではポート番号443だと思いますが。

投稿2017/04/16 14:46

HogeAnimalLover

総合スコア4853

yamayamak

2017/04/16 23:10

ありがとうございます。ALBのLoadBalancerのリスナーは443・80の両方を空けていますので大丈夫です。そこでHTTPSは終端されWebサーバ側は全てHTTPで大丈夫のようです。もちろん、両方をHTTPSの443で受け付けても良いですが、基本的に無駄なのでそのようなことはしないようです。（ALBからWebサーバまではプライベートなAmazonのネットワークのため）

行動規範の内容に同意します

あなたの回答