Embed Size (px)
Citation preview
Elastic Load BalancingClassic Load Balancers
Elastic Load Balancing: Classic Load BalancersCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Elastic Load Balancing Classic Load Balancers
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.
Elastic Load Balancing Classic Load Balancers
Table of Contents¿Qué es un Classic Load Balancer? ..................................................................................................... 1
Información general sobre Classic Load Balancer ............................................................................ 1Beneficios .................................................................................................................................. 2Cómo empezar .......................................................................................................................... 2Precios ...................................................................................................................................... 2
Tutorial: Creación de un Classic Load Balancer ...................................................................................... 3Antes de empezar ...................................................................................................................... 3Paso 1: Seleccionar un tipo de balanceador de carga ...................................................................... 3Paso 2: Definir el balanceador de carga ........................................................................................ 4Paso 3: Asignar grupos de seguridad al balanceador de carga de una VPC ......................................... 5Paso 4: Configurar las comprobaciones de estado de las instancias EC2 ............................................ 5Paso 5: Registrar instancias EC2 con el balanceador de carga .......................................................... 6Paso 6: Agregar etiquetas al balanceador de carga (opcional) ........................................................... 6Paso 7: Crear y probar el balanceador de carga ............................................................................. 7Paso 8: Eliminar el balanceador de carga (opcional) ........................................................................ 7
Balanceadores de carga expuestos a Internet ......................................................................................... 8Nombres de DNS públicos del balanceador de carga ....................................................................... 8Creación de un balanceador de carga expuesto a Internet ................................................................ 9
Balanceadores de carga internos ........................................................................................................ 10Nombre DNS público del balanceador de carga ............................................................................ 10Crear un balanceador de carga interno ........................................................................................ 11
Requisitos previos ............................................................................................................. 11Crear un balanceador de carga interno a través de la consola ................................................. 11Crear un balanceador de carga interno con AWS CLI ............................................................. 13
Instancias registradas ........................................................................................................................ 15Prácticas recomendadas para las instancias ................................................................................. 15Preparar la VPC y las instancias EC2 .......................................................................................... 15Configurar comprobaciones de estado ......................................................................................... 16
Configuración de la comprobación de estado ........................................................................ 17Actualizar la configuración de la comprobación de estado ....................................................... 18Comprobar el estado de las instancias ................................................................................. 19Solucionar problemas con las comprobaciones de estado ....................................................... 19
Configurar grupos de seguridad .................................................................................................. 19Grupos de seguridad para balanceadores de carga de una VPC .............................................. 20Grupos de seguridad para instancias de una VPC ................................................................. 22ACL de red para balanceadores de carga de una VPC ........................................................... 23Grupos de seguridad para instancias EC2-Classic ................................................................. 24
Agregar o eliminar zonas de disponibilidad ................................................................................... 27Agregar una zona de disponibilidad ..................................................................................... 27Eliminar una zona de disponibilidad ..................................................................................... 28
Agregar o eliminar subredes ....................................................................................................... 29Requisitos ........................................................................................................................ 29Agregar una subred .......................................................................................................... 30Eliminar una subred .......................................................................................................... 30
Realizar o anular el registro de instancias .................................................................................... 31Requisitos previos ............................................................................................................. 32Registrar una instancia ...................................................................................................... 32Anular el registro de una instancia ...................................................................................... 33
Agentes de escucha .......................................................................................................................... 34Protocolos ................................................................................................................................ 34
Protocolo TCP/SSL ........................................................................................................... 35Protocolo HTTP/HTTPS ..................................................................................................... 35
Agentes de escucha HTTPS/SSL ................................................................................................ 35Certificados de servidor SSL .............................................................................................. 35
iii
Elastic Load Balancing Classic Load Balancers
Negociación SSL .............................................................................................................. 36Autenticación del servidor backend ...................................................................................... 36
Configuraciones de agentes de escucha ...................................................................................... 36Encabezados X-Forwarded ......................................................................................................... 38
X-Forwarded-For ............................................................................................................... 38X-Forwarded-Proto ............................................................................................................ 39X-Forwarded-Port .............................................................................................................. 39
Agentes de escucha HTTPS .............................................................................................................. 40Certificados SSL/TLS ................................................................................................................ 40
Crear un certificado SSL/TLS con AWS Certificate Manager .................................................... 41Configuraciones de negociación SSL ........................................................................................... 41
Políticas de seguridad ....................................................................................................... 41Protocolos SSL ................................................................................................................. 42Preferencia del orden del servidor ....................................................................................... 42Cifrados SSL .................................................................................................................... 42Políticas de seguridad SSL predefinidas ............................................................................... 45
Crear un balanceador de carga HTTPS ....................................................................................... 47Requisitos previos ............................................................................................................. 47Crear un balanceador de carga HTTPS/SSL a través de la consola .......................................... 48Crear un balanceador de carga HTTPS/SSL a través de AWS CLI ........................................... 53
Configurar un agente de escucha HTTPS ..................................................................................... 61Requisitos previos ............................................................................................................. 62Agregar un agente de escucha HTTPS a través de la consola ................................................. 62Agregar un agente de escucha HTTPS a través de AWS CLI .................................................. 63
Reemplazar el certificado SSL .................................................................................................... 64Reemplazar el certificado SSL a través de la consola ............................................................. 65Reemplazar el certificado SSL a través de AWS CLI .............................................................. 65
Actualizar la configuración de negociación SSL ............................................................................. 66Actualizar la configuración de negociación SSL a través de la consola ...................................... 67Actualizar la configuración de la negociación SSL a través de AWS CLI .................................... 67
Configuración del balanceador de carga ............................................................................................... 71Configuración del tiempo de inactividad ........................................................................................ 71
Configuración del tiempo de inactividad desde la consola ....................................................... 72Configuración del tiempo de inactividad desde la AWS CLI ..................................................... 72
Configuración del balanceo de carga entre zonas .......................................................................... 72Habilitación del balanceo de carga entre zonas ..................................................................... 73Deshabilitación del balanceo de carga entre zonas ................................................................ 74
Configuración del vaciado de conexiones ..................................................................................... 75Habilitación del vaciado de conexiones ................................................................................ 76Deshabilitación del vaciado de conexiones ........................................................................... 76
Configuración de Proxy Protocol ................................................................................................. 77Encabezado Proxy Protocol ................................................................................................ 77Requisitos previos para habilitar Proxy Protocol ..................................................................... 78Habilitación de Proxy Protocol desde la AWS CLI .................................................................. 78Deshabilitación de Proxy Protocol desde la AWS CLI ............................................................. 80
Configuración de sesiones sticky ................................................................................................. 80Sesiones sticky basadas en duración ................................................................................... 81Sesiones sticky controladas por la aplicación ........................................................................ 83
Etiquetado del balanceador de carga ........................................................................................... 85Restricciones de las etiquetas ............................................................................................ 85Adición de una etiqueta ..................................................................................................... 85Eliminación de una etiqueta ................................................................................................ 86
Configuración del nombre de dominio .......................................................................................... 87Asociación del nombre de dominio personalizado al nombre del balanceador de carga ................. 87Configuración de la recuperación ante errores a nivel de DNS del balanceador de carga .............. 88Desasociación del nombre de dominio personalizado del balanceador de carga .......................... 89
Monitorización del balanceador de carga .............................................................................................. 90
iv
Elastic Load Balancing Classic Load Balancers
Métricas de CloudWatch ............................................................................................................ 90Métricas de Classic Load Balancer ...................................................................................... 91Dimensiones de métricas de Classic Load Balancers ............................................................. 96Estadísticas de las métricas de Classic Load Balancer ........................................................... 96Visualización de las métricas de CloudWatch en el balanceador de carga .................................. 97Creación de alarmas de CloudWatch para el balanceador de carga .......................................... 98
Logs de acceso ........................................................................................................................ 99Archivos log de acceso ...................................................................................................... 99Entradas de los logs de acceso ........................................................................................ 100Procesamiento de logs de acceso ..................................................................................... 103Habilitar logs de acceso ................................................................................................... 104Deshabilitación de los logs de acceso ................................................................................ 108
CloudTrail Logs ....................................................................................................................... 109Habilitación del registro de eventos CloudTrail ..................................................................... 110Información de eventos de Elastic Load Balancing ............................................................... 110
Solución de problemas del balanceador de carga ................................................................................ 112Errores de API ........................................................................................................................ 113
CertificateNotFound: undefined .......................................................................................... 113OutofService: A Transient Error Occurred ........................................................................... 114
Errores de HTTP ..................................................................................................................... 114HTTP 400: BAD_REQUEST ............................................................................................. 114HTTP 405: METHOD_NOT_ALLOWED .............................................................................. 115HTTP 408: Request Timeout ............................................................................................ 115HTTP 502: Bad Gateway ................................................................................................. 115HTTP 503: Service Unavailable ......................................................................................... 115HTTP 504: Gateway Timeout ............................................................................................ 116
Métricas de código de respuesta ............................................................................................... 116HTTPCode_ELB_4XX ...................................................................................................... 116HTTPCode_ELB_5XX ...................................................................................................... 117HTTPCode_Backend_2XX ................................................................................................ 117HTTPCode_Backend_3XX ................................................................................................ 117HTTPCode_Backend_4XX ................................................................................................ 117HTTPCode_Backend_5XX ................................................................................................ 117
Comprobaciones de estado ...................................................................................................... 118Error en la página de destino de la comprobación de estado .................................................. 118Se ha agotado el tiempo de espera de conexión a las instancias ............................................ 119Se produce un error al autenticar la clave pública ................................................................ 119La instancia no recibe tráfico desde el balanceador de carga ................................................. 120Los puertos de la instancia no están abiertos ...................................................................... 120Las instancias de un grupo de Auto Scaling no superan la comprobación de estado de ELB ........ 120
Conectividad de clientes ........................................................................................................... 121Registro de instancias .............................................................................................................. 121
La instancia EC2 tarda demasiado en registrarse ................................................................. 121No se puede registrar una instancia lanzada desde una AMI pagada ....................................... 122
Límites ........................................................................................................................................... 123Historial de revisión ......................................................................................................................... 124
v
Elastic Load Balancing Classic Load BalancersInformación general sobre Classic Load Balancer
¿Qué es un Classic Load Balancer?Elastic Load Balancing admite tres tipos de balanceadores de carga: Balanceador de carga deaplicacioness, Network Load Balancer y Classic Load Balancers. En esta guía se describen los ClassicLoad Balancers. Para obtener más información sobre Balanceador de carga de aplicacioness, consulteGuía del usuario de Balanceador de carga de aplicaciones. Para obtener más información sobre NetworkLoad Balancer, consulte la User Guide for Network Load Balancers (Guía de usuario para Network LoadBalancer).
Información general sobre Classic Load BalancerUn balanceador de carga distribuye el tráfico entrante de aplicaciones entre varias instancias EC2 envarias zonas de disponibilidad. Esto aumenta la tolerancia a errores de las aplicaciones. Elastic LoadBalancing detecta las instancias en mal estado y solamente direcciona el tráfico a las instancias en buenestado.
El balanceador de carga actúa como único punto de contacto para los clientes. Esto aumenta ladisponibilidad de la aplicación. Puede agregar y eliminar instancias del balanceador de carga en función desus necesidades sin interrumpir el flujo general de solicitudes a la aplicación. Elastic Load Balancing escalael balanceador de carga cuando cambia el tráfico dirigido a la aplicación. Elastic Load Balancing puedeescalarse automáticamente para adaptarse a la mayoría de las cargas de trabajo.
Un agente de escucha comprueba las solicitudes de conexión de los clientes mediante el protocolo y elpuerto que haya configurado; a continuación, reenvía las solicitudes a una o más instancias registradas,utilizando el protocolo y el número de puerto que haya configurado. Puede agregar uno o varios agentesde escucha al balanceador de carga.
Puede configurar comprobaciones de estado, que se utilizan para supervisar el estado de las instanciasregistradas para que el balanceador de carga envíe solo solicitudes a las instancias en buen estado.
Para asegurarse de que las instancias registradas puedan controlar la carga de solicitudes en cadazona de disponibilidad, es importante mantener aproximadamente el mismo número de instancias queestán registradas en el balanceador de carga en cada zona de disponibilidad. Por ejemplo, si tiene diezinstancias en la zona de disponibilidad us-west-2a y dos en us-west-2b, las solicitudes se distribuyen demanera uniforme entre ambas zonas de disponibilidad. En consecuencia, las dos instancias de us-west-2bprestan servicio a la misma cantidad de tráfico que las diez instancias de us-west-2a. En lugar de ello,debería tener seis instancias en cada zona de disponibilidad.
De forma predeterminada, el balanceador de carga distribuye equitativamente el tráfico entre las zonasde disponibilidad que se habilitan para el balanceador de carga. Para distribuir el tráfico equitativamente
1
Elastic Load Balancing Classic Load BalancersBeneficios
entre todas las instancias registradas de todas las zonas de disponibilidad habilitadas, habilite el balanceode carga entre zonas en el balanceador de carga. Sin embargo, recomendamos mantener una cantidadaproximadamente equivalente de instancias en cada zona de disponibilidad para mejorar la tolerancia aerrores.
Para obtener más información, consulte How Elastic Load Balancing Works en la Guía del usuario deElastic Load Balancing.
BeneficiosUsar un Classic Load Balancer en lugar de un Balanceador de carga de aplicaciones presenta lossiguientes beneficios:
• Compatibilidad con EC2-Classic• Compatibilidad con los agentes de escucha TCP y SSL• Compatibilidad con las sesiones sticky mediante cookies generadas por la aplicación
Para obtener más información sobre las características admitidas por cada tipo de balanceador de carga,consulte Comparison of Elastic Load Balancing Products.
Cómo empezar• Para obtener información sobre cómo crear una Classic Load Balancer y registrar las instancias EC2,
consulte Tutorial: Creación de un Classic Load Balancer (p. 3).• Para obtener información sobre cómo crear un balanceador de carga HTTPS y registrar instancias EC2
en él, consulte Crear un Classic Load Balancer con un agente de escucha HTTPS (p. 47).• Para obtener información sobre cómo usar las distintas características que Elastic Load Balancing
admite, consulte Configuración del Classic Load Balancer (p. 71).
PreciosCon el balanceador de carga, solo se paga por lo que se usa. Para obtener más información, consulte losPrecios de Elastic Load Balancing.
2
Elastic Load Balancing Classic Load BalancersAntes de empezar
Tutorial: Creación de un Classic LoadBalancer
En este tutorial, encontrará una introducción práctica sobre el uso de Classic Load Balancers a través deConsola de administración de AWS, una interfaz web. Crearemos un balanceador de carga que recibe eltráfico HTTP público y lo envía a las instancias EC2.
Tenga en cuenta que puede crear el balanceador de carga para usarlo con EC2-Classic o con una VPC.Algunas de las tareas descritas en este tutorial se aplican únicamente a los balanceadores de carga deuna VPC.
Tareas• Antes de empezar (p. 3)• Paso 1: Seleccionar un tipo de balanceador de carga (p. 3)• Paso 2: Definir el balanceador de carga (p. 4)• Paso 3: Asignar grupos de seguridad al balanceador de carga de una VPC (p. 5)• Paso 4: Configurar las comprobaciones de estado de las instancias EC2 (p. 5)• Paso 5: Registrar instancias EC2 con el balanceador de carga (p. 6)• Paso 6: Agregar etiquetas al balanceador de carga (opcional) (p. 6)• Paso 7: Crear y probar el balanceador de carga (p. 7)• Paso 8: Eliminar el balanceador de carga (opcional) (p. 7)
Antes de empezar• Realice los pasos que se indican en Preparar la VPC y las instancias EC2 (p. 15).• Lance las instancias EC2 que desee registrar con el balanceador de carga. Asegúrese de que los grupos
de seguridad de estas instancias permitan el acceso HTTP en el puerto 80.• Instale un servidor web, por ejemplo, Apache o Internet Information Services (IIS), en cada instancia,
escriba su nombre de DNS en el campo de direcciones de un navegador web conectado a Internet ycompruebe que el navegador muestra la página predeterminada del servidor.
Paso 1: Seleccionar un tipo de balanceador decarga
Elastic Load Balancing admite tres tipos de balanceadores de carga: Balanceador de carga deaplicacioness, Network Load Balancer y Classic Load Balancer. En este tutorial, va a crear un ClassicLoad Balancer. Si prefiere crear un Balanceador de carga de aplicaciones, consulte Introducción a losBalanceador de carga de aplicacioness en la Guía del usuario de Balanceador de carga de aplicaciones.Para crear un balanceador de carga de red, consulte Getting Started with Network Load Balancers (Iniciode Network Load Balancer) en la User Guide for Network Load Balancers (Guía de usuario para NetworkLoad Balancer).
3
Elastic Load Balancing Classic Load BalancersPaso 2: Definir el balanceador de carga
Para crear un Classic Load Balancer
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En la barra de navegación, elija una región para el balanceador de carga. No olvide seleccionar la
misma región que seleccionó para las instancias EC2.3. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.4. Elija Create Load Balancer.5. Para Classic Load Balancer, elija Create (Crear).
Paso 2: Definir el balanceador de cargaDebe proporcionar una configuración básica para el balanceador de carga como, por ejemplo, un nombre,una red y un agente de escucha.
Un agente de escucha es un proceso que comprueba solicitudes de conexión. El agente de escucha seconfigura con un protocolo y un puerto para las conexiones frontend (entre el cliente y el balanceadorde carga) y otro protocolo y otro puerto para las conexiones backend (entre el balanceador de carga y lainstancia). En este tutorial, vamos a configurar un agente de escucha que acepta solicitudes HTTP en elpuerto 80 y se las envía a las instancias en el puerto 80 a través de HTTP.
Para definir el balanceador de carga y el agente de escucha
1. En Load Balancer name, escriba el nombre del balanceador de carga.
El nombre del Classic Load Balancer debe ser único en el conjunto de Classic Load Balancers de laregión, puede tener un máximo de 32 caracteres, solo puede contener caracteres alfanuméricos yguiones y no puede comenzar ni finalizar por un guion.
2. En Create LB inside, seleccione la misma red que seleccionó para las instancias: EC2-Classic o unaVPC específica.
3. [Default VPC] Si seleccionó una VPC predeterminada y quiere elegir las subredes para el balanceadorde carga, seleccione Enable advanced VPC configuration.
4. Deje la configuración predeterminada del agente de escucha.
5. [EC2-VPC] En Available subnets (Subredes disponibles), seleccione al menos una subred públicadisponible con el icono de adición. La subred se situará bajo Selected subnets. Para mejorar ladisponibilidad del balanceador de carga, seleccione varias subredes públicas.
Note
Si seleccionó EC2-Classic como red o tiene una VPC predeterminada pero no seleccionóEnable advanced VPC configuration (Habilitar configuración de VPC avanzada), no verá lainterfaz de usuario para seleccionar subredes.
Puede agregar, como máximo, una subred por cada zona de disponibilidad. Si selecciona unasegunda subred en una zona de disponibilidad en la que ya existe una subred seleccionada, estasubred sustituirá a la que está seleccionada actualmente en la zona de disponibilidad.
4
Elastic Load Balancing Classic Load BalancersPaso 3: Asignar grupos de seguridadal balanceador de carga de una VPC
6. Elija Next: Assign Security Groups (Siguiente: Asignar grupos de seguridad).
Paso 3: Asignar grupos de seguridad albalanceador de carga de una VPC
Si seleccionó una VPC como red, debe asignar al balanceador de carga un grupo de seguridad quepermita el tráfico entrante en los puertos especificados para el balanceador de carga y las comprobacionesde estado del balanceador de carga.
Note
Si seleccionó EC2-Classic como red, puede continuar en el siguiente paso. De formapredeterminada, Elastic Load Balancing proporciona un grupo de seguridad para losbalanceadores de carga de EC2-Classic.
Para asignar un grupo de seguridad al balanceador de carga
1. En la página Assign Security Groups (Asignar grupos de seguridad), seleccione Create a new securitygroup (Crear un grupo de seguridad nuevo).
2. Escriba un nombre y una descripción para el grupo de seguridad o deje el nombre y la descripciónpredeterminados. Este nuevo grupo de seguridad contiene una regla que permite el tráfico en el puertoque se configuró para usarlo con el balanceador de carga.
3. Elija Next: Configure Security Settings.4. En este tutorial, no se utiliza un agente de escucha seguro. Elija Next: Configure Health Check
(Siguiente: Configurar comprobación de estado) para continuar con el siguiente paso.
Paso 4: Configurar las comprobaciones de estadode las instancias EC2
Elastic Load Balancing comprueba automáticamente el estado de las instancias EC2 registradas en elbalanceador de carga. Si Elastic Load Balancing detecta una instancia en mal estado, deja de enviar tráfico
5
Elastic Load Balancing Classic Load BalancersPaso 5: Registrar instancias EC2
con el balanceador de carga
a dicha instancia y lo redirecciona a las instancias en buen estado. En este paso, se personalizan lascomprobaciones de estado del balanceador de carga.
Para configurar comprobaciones de estado para sus instancias
1. En la página Configure Health Check (Configurar comprobación de estado), deje Ping Protocol(Protocolo de ping) establecido en HTTP y Ping Port (Puerto de ping) establecido en 80.
2. En Ping Path, sustituya el valor predeterminado por una barra diagonal sencilla ("/"). Esto le indicaa Elastic Load Balancing que envíe consultas de comprobación de estado a la página de iniciopredeterminada del servidor web; por ejemplo, index.html.
3. En Advanced Details (Detalles avanzados), deje los valores predeterminados.4. Elija Next: Add EC2 Instances (Siguiente: Agregar instancias EC2).
Paso 5: Registrar instancias EC2 con elbalanceador de carga
El balanceador de carga distribuye el tráfico entre las instancias que están registradas en el mismo.Note
Al registrar una instancia con una interfaz de red elástica" (ENI), el balanceador de cargadirecciona el tráfico a la dirección IP principal de la interfaz principal (eth0) de la instancia.
Para registrar instancias EC2 con el balanceador de carga
1. En la página Add EC2 Instances (Agregar instancias EC2), seleccione las instancias que registrar consu balanceador de carga.
2. Mantenga habilitados el balanceo de carga entre zonas y el vaciado de conexiones.3. Elija Next: Add Tags.
Si lo prefiere, puede registrar las instancias en el balanceador de carga más adelante con las siguientesopciones:
• Seleccione las instancias en ejecución después de crear el balanceador de carga. Para obtener másinformación, consulte Registro de instancias en el balanceador de carga (p. 31).
• Configure Auto Scaling para que registre las instancias automáticamente al lanzarlas. Para obtener másinformación, consulte Set Up a Scaled and Load-Balanced Application en la Guía del usuario de AmazonEC2 Auto Scaling.
Paso 6: Agregar etiquetas al balanceador de carga(opcional)
Puede etiquetar su balanceador de carga o continuar en el paso siguiente. Tenga en cuenta que puedeetiquetar el balanceador de carga más adelante; para obtener más información, consulte Etiquetado delClassic Load Balancer (p. 85).
6
Elastic Load Balancing Classic Load BalancersPaso 7: Crear y probar el balanceador de carga
Para agregar etiquetas al balanceador de carga
1. En la página Add Tags, especifique una clave y un valor para la etiqueta.2. Para agregar otra etiqueta, seleccione Create Tag y especifique una clave y un valor para la etiqueta.3. Una vez que haya terminado la adición de etiquetas, seleccione Review and Create.
Paso 7: Crear y probar el balanceador de cargaAntes de crear el balanceador de carga, revise la configuración que ha seleccionado. Después de crearlo,puede comprobar si el tráfico se envía a las instancias EC2.
Para crear y probar el balanceador de carga
1. En la página Review, elija Create.2. Una vez que se le notifique que el balanceador de carga se ha creado correctamente, elija Close.3. Seleccione el nuevo balanceador de carga.4. En la pestaña Description (Descripción), compruebe la fila Status (Estado). Si se indica que algunas
de las instancias no están operativas, es probable que se deba a que el proceso de registro aún estáen curso. Para obtener más información, consulte Solución de problemas del Classic Load Balancer:registro de instancias (p. 121).
5. Cuando al menos una de las instancias EC2 esté operativa, puede probar el balanceador de carga.Copie la cadena de DNS name (Nombre DNS) (por ejemplo, my-load-balancer-1234567890.us-west-2.elb.amazonaws.com) y péguela en el campo de direcciones de un navegador web conectado aInternet. Si el balanceador de carga está en ejecución, consulte la página predeterminada del servidor.
Paso 8: Eliminar el balanceador de carga (opcional)Tan pronto como un balanceador de carga está disponible, se le facturará por cada hora u hora parcialque se mantenga en ejecución. Cuando ya no necesite un balanceador de carga, puede eliminarlo. Tanpronto como se elimina el balanceador de carga, dejan de acumularse cargos por él. Tenga en cuenta que,cuando se elimina un balanceador de carga, las instancias registradas en él no se ven afectadas.
Para eliminar el balanceador de carga
1. Si tiene un registro CNAME para el dominio que señala al balanceador de carga, apúntelo hacia unanueva ubicación y espere a que surta efecto el cambio de DNS antes de eliminar el balanceador decarga.
2. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.3. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.4. Seleccione el balanceador de carga.5. Elija Actions, Delete.6. Cuando se le indique que confirme, seleccione Yes, Delete.7. (Opcional) Cuando se elimina un balanceador de carga, las instancias EC2 asociadas con él siguen
en ejecución, por lo que se facturará cada hora y fracción de hora de procesamiento. Para obtenerinformación acerca de cómo parar o terminar las instancias, consulte Stop and Start Your Instance oTerminate Your Instance en la Guía del usuario de Amazon EC2 para instancias de Linux.
7
Elastic Load Balancing Classic Load BalancersNombres de DNS públicos del balanceador de carga
Classic Load Balancers expuestos aInternet
Un balanceador de carga expuesto a Internet tiene un nombre de DNS que puede resolversepúblicamente; por consiguiente, puede direccionar las solicitudes de los clientes a través de Internet a lasinstancias EC2 registradas en el balanceador de carga.
Si hay un balanceador de carga en una VPC con ClassicLink habilitado, sus instancias pueden enlazarselas instancias EC2-Classic. Si hay un balanceador de carga en EC2-Classic, sus instancias deben estar enEC2-Classic.
Contenido• Nombres de DNS públicos del balanceador de carga (p. 8)• Creación de un balanceador de carga expuesto a Internet (p. 9)
Nombres de DNS públicos del balanceador decarga
Al crear el balanceador de carga, recibe un nombre de DNS público que los clientes pueden utilizar paraenviar solicitudes. Los servidores DNS resuelven el nombre de DNS del balanceador de carga paraobtener las direcciones IP públicas de los nodos del balanceador de carga. Cada nodo del balanceador decarga está conectado a las instancias backend mediante direcciones IP privadas.
EC2-VPC
Los balanceadores de carga de una VPC solo admiten las direcciones IPv4. La consola muestra unnombre de DNS público con el siguiente formato:
name-1234567890.region.elb.amazonaws.com
EC2-Classic
Los balanceadores de carga de EC2-Classic admiten las direcciones IPv4 e IPv6. La consola muestra lossiguientes nombres de DNS públicos:
8
Elastic Load Balancing Classic Load BalancersCreación de un balanceador de carga expuesto a Internet
name-123456789.region.elb.amazonaws.comipv6.name-123456789.region.elb.amazonaws.com dualstack.name-123456789.region.elb.amazonaws.com
El nombre de DNS público base solo devuelve registros IPv4. El nombre de DNS público con el prefijoipv6 devuelve únicamente registros IPv6. El nombre de DNS público con el prefijo dualstack devuelveregistros IPv4 e IPv6. Recomendamos habilitar la compatibilidad con IPv6 utilizando el nombre de DNS conel prefijo dualstack para asegurarse de que los clientes puedan obtener acceso al balanceador de cargamediante IPv4 o IPv6.
Los clientes pueden conectarse al balanceador de carga en EC2-Classic mediante IPv4 o IPv6. Sinembargo, en la comunicación entre el balanceador de carga y las instancias backend de este último solose utiliza IPv4, independientemente de cómo se comunique el cliente con el balanceador de carga.
Creación de un balanceador de carga expuesto aInternet
Al crear un balanceador de carga en una VPC, puede hacer que sea interno o expuesto a Internet. Unbalanceador de carga expuesto a Internet se crea en una subred pública. Los balanceadores de carga deEC2-Classic siempre están expuestos a Internet.
Al crear el balanceador de carga, es preciso configurar los agentes de escucha y las comprobaciones deestado, así como registrar las instancias backend. Para configurar un agente de escucha, debe especificarun protocolo y un puerto para las conexiones frontend (del cliente al balanceador de carga) y un protocoloy un puerto para las conexiones backend (del balanceador de carga a las instancias backend). Puedeconfigurar varios agentes de escucha para el balanceador de carga.
Para crear un balanceador de carga expuesto a Internet, consulte Tutorial: Creación de un Classic LoadBalancer (p. 3).
Para crear un balanceador de carga con un agente de escucha HTTPS, consulte Crear un Classic LoadBalancer con un agente de escucha HTTPS (p. 47).
9
Elastic Load Balancing Classic Load BalancersNombre DNS público del balanceador de carga
Classic Load Balancers internosCuando crea un balanceador de carga en una VPC, debe decidir si va a ser un balanceador de cargainterno o va a estar orientado a Internet.
Los nodos de un balanceador de carga expuesto a Internet tienen direcciones IP públicas. El nombre deDNS de un balanceador de carga expuesto a Internet se puede resolver públicamente para obtener lasdirecciones IP públicas de los nodos. Por tanto, los balanceadores de carga orientados a Internet puedendireccionar las solicitudes de los clientes a través de Internet. Para obtener más información, consulteClassic Load Balancers expuestos a Internet (p. 8).
Los nodos de un balanceador de carga interno solo tienen direcciones IP privadas. El nombre de DNS deun balanceador de carga interno se puede resolver para obtener las direcciones IP privadas de los nodos.Por lo tanto, los balanceadores de carga internos solo puede direccionar las solicitudes de los clientes quetienen acceso a la VPC para el balanceador de carga.
Si la aplicación tiene varias capas (por ejemplo, servidores web que deben estar conectados a Internety servidores de bases de datos que solo están conectados a los servidores web), puede diseñar unaarquitectura que utilice balanceadores de carga internos y expuestos a Internet. Cree un balanceadorde carga expuesto a Internet y registre los servidores web en él. Cree un balanceador de carga internoy registre los servidores de bases de datos en él. Los servidores web recibirán las solicitudes desde elbalanceador de carga expuesto a Internet y enviarán las solicitudes de los servidores de bases de datosal balanceador de carga interno. Los servidores de bases de datos recibirán las solicitudes desde elbalanceador de carga interno.
Contenido• Nombre DNS público del balanceador de carga (p. 10)• Crear un Classic Load Balancer interno (p. 11)
Nombre DNS público del balanceador de cargaCuando se crea un balanceador de carga interno, recibe un nombre DNS público que tiene el formatosiguiente:
10
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga interno
internal-name-123456789.region.elb.amazonaws.com
Los servidores DNS resuelven el nombre DNS del balanceador de carga en las direcciones IP privadas delos nodos del balanceador de carga interno. Todos los nodos del balanceador de carga están conectados alas direcciones IP privadas de las instancias backend a través de interfaces de red elásticas. Si el balanceode carga está habilitado entre zonas, todos los nodos estarán conectados a cada una de las instanciasbackend, con independencia de la zona de disponibilidad. De lo contrario, cada nodo estará conectadoúnicamente a las instancias que se encuentren en su zona de disponibilidad.
Crear un Classic Load Balancer internoPuede crear un balanceador de carga para distribuir el tráfico a las instancias EC2 desde los clientes quetienen acceso a la VPC del balanceador de carga.
Contenido• Requisitos previos (p. 11)• Crear un balanceador de carga interno a través de la consola (p. 11)• Crear un balanceador de carga interno con AWS CLI (p. 13)
Requisitos previos• Si no ha creado una VPC para el balanceador de carga, debe hacerlo antes de empezar. Para obtener
más información, consulte Preparar la VPC y las instancias EC2 (p. 15).• Lance las instancias EC2 que tenga previsto registrar con su balanceador de carga interno. Asegúrese
de que las lanza en las subredes privadas de la VPC que va a utilizar con el balanceador de carga.
Crear un balanceador de carga interno a través de laconsolaDe forma predeterminada, Elastic Load Balancing crea un balanceador de carga orientado a Internet.Utilice el siguiente procedimiento para crear un balanceador de carga interno y registrar las instancias EC2con el balanceador de carga que acaba de crear.
Para crear un balanceador de carga interno
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Elija Create Load Balancer.4. En Select load balancer type (Seleccionar tipo de balanceador de carga), seleccione Classic Load
Balancer.5. En la página Define Load Balancer (Definir balanceador de carga), haga lo siguiente:
a. En Load Balancer name, escriba el nombre del balanceador de carga.
El nombre del Classic Load Balancer debe ser único en el conjunto de Classic Load Balancersde la región, puede tener un máximo de 32 caracteres, solo puede contener caracteresalfanuméricos y guiones y no puede comenzar ni finalizar por un guion.
b. En Create LB inside, seleccione una VPC para el balanceador de carga.
11
Elastic Load Balancing Classic Load BalancersCrear un balanceador de cargainterno a través de la consola
c. Elija Create an internal load balancer.d. [Default VPC] Si seleccionó una VPC predeterminada y quiere seleccionar las subredes para el
balanceador de carga, elija Enable advanced VPC configuration.e. Deje la configuración predeterminada del agente de escucha.
f. En Available subnets (Subredes disponibles), seleccione al menos una subred disponible con elicono de adición. La subred se situará bajo Selected subnets. Para mejorar la disponibilidad delbalanceador de carga, seleccione varias subredes.
Note
Si seleccionó una VPC predeterminada como red pero no seleccionó Enable advancedVPC configuration (Habilitar configuración de VPC avanzada), no podrá elegir subredes.
Puede asociar como máximo una subred por cada zona de disponibilidad. Si selecciona unasubred en una zona de disponibilidad en la que ya existe una subred asociada, la nueva subredque seleccione elija a la que estaba asociada.
g. Elija Next: Assign Security Groups (Siguiente: Asignar grupos de seguridad).6. En la página Assign Security Groups, elija Create a new security group. Escriba un nombre y una
descripción para el grupo de seguridad o deje el nombre y la descripción predeterminados. Este nuevogrupo de seguridad contiene una regla que permite el tráfico en el puerto que se configuró para usarlocon el balanceador de carga. Si va a utilizar otro puerto para las comprobaciones de estado, debeseleccionar Add Rule (Agregar regla) para agregar una regla que permita también el tráfico entranteen dicho puerto. Elija Next: Configure Security Settings.
7. En la página Configure Security Settings (Configurar opciones de seguridad), elija Next: ConfigureHealth Check (Siguiente: Configurar comprobación de estado) para continuar con el siguiente paso.Si prefiere crear un balanceador de carga HTTPS, consulte Agentes de escucha HTTPS para ClassicLoad Balancer (p. 40).
8. En la página Configure Health Check (Configurar comprobación de estado), configure las opciones decomprobación de estado que requiere la aplicación y, a continuación, elija Next: Add EC2 Instances(Siguiente: Agregar instancias EC2).
9. En la página Add EC2 Instances (Agregar instancias EC2), seleccione las instancias que registrar consu balanceador de carga y, a continuación, elija Next: Add Tags (Siguiente: Agregar etiquetas).
Note
Al registrar una instancia con una interfaz de red elástica" (ENI), el balanceador de cargadirecciona el tráfico a la dirección IP principal de la interfaz principal (eth0) de la instancia.
10. (Opcional) Puede agregar etiquetas al balanceador de carga. Una vez que haya terminado la adiciónde etiquetas, seleccione Review and Create (Revisar y crear).
11. En la página Review, revise la configuración. Si necesita realizar cambios, seleccione el enlacecorrespondiente para modificar la configuración. Cuando haya terminado, seleccione Create (Crearimagen).
12. Una vez que se le notifique que el balanceador de carga se ha creado correctamente, elija Close.13. Seleccione el nuevo balanceador de carga.14. En la pestaña Description (Descripción), tenga en cuenta que DNS name (Nombre DNS) y Scheme
(Esquema) indican que el balanceador de carga es interno.
12
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga interno con AWS CLI
Compruebe la fila Status (Estado). Si se indica que algunas de las instancias no están operativas, esprobable que se deba a que el proceso de registro aún está en curso. Para obtener más información,consulte Solución de problemas del Classic Load Balancer: registro de instancias (p. 121).
Crear un balanceador de carga interno con AWS CLIDe forma predeterminada, Elastic Load Balancing crea un balanceador de carga orientado a Internet.Utilice el siguiente procedimiento para crear un balanceador de carga interno y registrar las instancias EC2con el balanceador de carga que acaba de crear.
Para crear un balanceador de carga interno
1. Utilice el comando create-load-balancer con la opción --scheme establecida en internal, tal ycomo se indica a continuación:
aws elb create-load-balancer --load-balancer-name my-internal-loadbalancer --listeners Protocol=HTTP,LoadBalancerPort=80,InstanceProtocol=HTTP,InstancePort=80 --subnets subnet-4e05f721 --scheme internal --security-groups sg-b9ffedd5
A continuación se muestra un ejemplo de respuesta. Tenga en cuenta que el nombre indica que setrata de un balanceador de carga interno.
{ "DNSName": "internal-my-internal-loadbalancer-786501203.us-west-2.elb.amazonaws.com"}
2. Utilice el siguiente comando register-instances-with-load-balancer para agregar instancias:
aws elb register-instances-with-load-balancer --load-balancer-name my-internal-loadbalancer --instances i-4f8cf126 i-0bb7ca62
A continuación se muestra un ejemplo de respuesta:
{ "Instances": [ { "InstanceId": "i-4f8cf126" }, { "InstanceId": "i-0bb7ca62" } ]}
3. (Opcional) Utilice el siguiente comando describe-load-balancers para comprobar el balanceador decarga interno:
aws elb describe-load-balancers --load-balancer-name my-internal-loadbalancer
La respuesta incluye los campos DNSName y Scheme, que indican que se trata de un balanceador decarga interno.
{ "LoadBalancerDescriptions": [
13
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga interno con AWS CLI
{ ... "DNSName": "internal-my-internal-loadbalancer-1234567890.us-west-2.elb.amazonaws.com", "SecurityGroups": [ "sg-b9ffedd5" ], "Policies": { "LBCookieStickinessPolicies": [], "AppCookieStickinessPolicies": [], "OtherPolicies": [] }, "LoadBalancerName": "my-internal-loadbalancer", "CreatedTime": "2014-05-22T20:32:19.920Z", "AvailabilityZones": [ "us-west-2a" ], "Scheme": "internal", ... } ]}
14
Elastic Load Balancing Classic Load BalancersPrácticas recomendadas para las instancias
Instancias registradas para ClassicLoad Balancer
Una vez que haya creado el Classic Load Balancer, debe registrar las instancias EC2 con el balanceadorde carga. Puede seleccionar las instancias EC2 de una única zona de disponibilidad o de varias zonasde disponibilidad de la misma región que la del balanceador de carga. De forma rutinaria, ElasticLoad Balancing realiza comprobaciones de estado en las instancias EC2 registradas y distribuyeautomáticamente las solicitudes entrantes dirigidas al nombre DNS del balanceador de carga entre lasinstancias EC2 registradas que tienen un estado correcto.
Contenido• Prácticas recomendadas para las instancias (p. 15)• Preparar la VPC y las instancias EC2 (p. 15)• Configurar comprobaciones de estado para Classic Load Balancer (p. 16)• Configurar grupos de seguridad para Classic Load Balancer (p. 19)• Agregar o eliminar zonas de disponibilidad en el balanceador de carga a través de EC2-
Classic (p. 27)• Agregar o eliminar subredes en un Classic Load Balancer de una VPC (p. 29)• Realizar o anular el registro de instancias EC2 en Classic Load Balancer (p. 31)
Prácticas recomendadas para las instancias• Instale un servidor web, como Apache o Internet Information Services (IIS), en todas las instancias que
tenga previsto registrar con su balanceador de carga.• En el caso de los agentes de escucha HTTP y HTTPS, le recomendamos que habilite la opción
keep-alive en las instancias EC2, lo que permite al balanceador de carga reutilizar conexiones conlas instancias entre varias solicitudes de cliente. Esto reduce la carga del servidor web y mejora elrendimiento del balanceador de carga. El tiempo de espera de keep-alive debe ser de 60 segundoscomo mínimo para garantizar que el balanceador de carga es el encargado de cerrar la conexión con lainstancia.
• Elastic Load Balancing admite la detección de la unidad de transmisión máxima (MTU) de la ruta. Paragarantizar que la detección de MTU de la ruta puede funcionar correctamente, debe asegurarse de queel grupo de seguridad de la instancia permite los mensajes necesarios de fragmentación ICMP (tipo 3,4). Para obtener más información, consulte Path MTU Discovery en la Guía del usuario de Amazon EC2para instancias de Linux.
Preparar la VPC y las instancias EC2Es recomendable que lance las instancias y cree el balanceador de carga en una nube virtual privada(VPC). Si tiene una nueva cuenta de AWS o planea utilizar una región que no ha usado previamente,puede utilizar una VPC predeterminada, si tiene una, o crear su propia VPC.
Balanceadores de carga de una VPC
Amazon Virtual Private Cloud (Amazon VPC) le permite definir un entorno de redes virtuales en unasección privada y aislada de la nube de AWS. Dentro de esta nube virtual privada (VPC), puede lanzar
15
Elastic Load Balancing Classic Load BalancersConfigurar comprobaciones de estado
recursos de AWS, como balanceadores de carga e instancias EC2. Para obtener más información,consulte la Guía del usuario de Amazon VPC.
Subredes del balanceador de carga
Para garantizar que el balanceador de carga puede adaptarse correctamente, asegúrese de que cadasubred del balanceador de carga tiene un bloque de CIDR con al menos una máscara de bits con elnúmero /27 (por ejemplo, 10.0.0.0/27) y al menos ocho direcciones IP libres. El balanceador de cargautiliza estas direcciones IP para establecer conexiones con las instancias.
Cree una subred en cada zona de disponibilidad en la que desee lanzar instancias. En función de laaplicación, puede lanzar las instancias en subredes públicas, subredes privadas o en una combinaciónde subredes públicas y privadas. Una subred pública tiene una ruta hacia un puerto de enlace a Internet.Tenga en cuenta que, de forma preestablecida, las VPC predeterminadas tienen una subred pública encada zona de disponibilidad.
Cuando crea un balanceador de carga, debe agregarle una o varias subredes públicas. Si las instancias seencuentran en subredes privadas, cree subredes públicas en las mismas zonas de disponibilidad que lassubredes que contienen las instancias y agregue estas subredes públicas al balanceador de carga.
Security Groups
Debe asegurarse de que el balanceador de carga pueda comunicarse con las instancias en el puerto delagente de escucha y en el puerto de comprobación de estado. Para obtener más información, consulteGrupos de seguridad para balanceadores de carga de una VPC (p. 20). El grupo de seguridad delas instancias debe permitir el tráfico en ambas direcciones y en ambos puertos de cada subred delbalanceador de carga. Para obtener más información, consulte Grupos de seguridad para instancias deuna VPC (p. 22).
ACL de red
Las ACL de red de la VPC deben permitir el tráfico en ambas direcciones, así como en el puerto del agentede escucha y en el puerto de comprobación de estado. Para obtener más información, consulte ACL de redpara balanceadores de carga de una VPC (p. 23).
ClassicLink
Con ClassicLink, las instancias EC2-Classic pueden comunicarse con las instancias de VPC utilizandodirecciones IP privadas, siempre que los grupos de seguridad de la VPC lo permitan. Si tiene previstoregistrar las instancias EC2-Classic con el balanceador de carga, debe habilitar ClassicLink en la VPC y,a continuación, crear el balanceador de carga en la VPC habilitada para ClassicLink. Para obtener másinformación, consulte ClassicLink Basics y Working with ClassicLink en la Guía del usuario de AmazonEC2 para instancias de Linux.
Configurar comprobaciones de estado para ClassicLoad Balancer
Para detectar la disponibilidad de las instancias EC2, los balanceadores de carga, de forma periódica,envían pings, intentan establecer conexión o envían solicitudes. Estas pruebas se denominancomprobaciones de estado. El estado de las instancias que tienen un estado correcto cuando se realizanestas comprobaciones es InService. El estado de las instancias que tiene un estado que no escorrecto cuando se realizan estas comprobaciones es OutOfService. El balanceador de carga realizacomprobaciones de estado en todas las instancias registradas, tanto en las que tienen un estado correctocomo en las que no.
El balanceador de carga direcciona las solicitudes únicamente a las instancias que se encuentran en buenestado. Cuando el balanceador de carga determina que una instancia tiene un estado que no es correcto,
16
Elastic Load Balancing Classic Load BalancersConfiguración de la comprobación de estado
deja de direccionar solicitudes a esa instancia. El balanceador de carga reanuda el direccionamiento de lassolicitudes a esa instancia cuando esta vuelve a tener un estado correcto.
El balanceador de carga comprueba el estado de las instancias registradas utilizando la configuraciónpredeterminada de comprobación de estado que proporciona Elastic Load Balancing u otra configuraciónque se establezca.
Si ha asociado el grupo de Auto Scaling con Classic Load Balancer, puede utilizar la comprobación deestado del balanceador de carga para determinar el estado de las instancias del grupo de Auto Scaling. Deforma predeterminada, un grupo de Auto Scaling determina periódicamente el estado de cada instancia.Para obtener más información, consulte Add an Elastic Load Balancing Health Check to Your Auto ScalingGroup en la Guía del usuario de Amazon EC2 Auto Scaling.
Contenido• Configuración de la comprobación de estado (p. 17)• Actualizar la configuración de la comprobación de estado (p. 18)• Comprobar el estado de las instancias (p. 19)• Solucionar problemas con las comprobaciones de estado (p. 19)
Configuración de la comprobación de estadoLas configuraciones de estado contienen la información que un balanceador de carga utiliza paradeterminar el estado de las instancias registradas. En la siguiente tabla se describen los campos deconfiguración de comprobación de estado.
Campo Descripción
Ping Protocol Protocolo que se utiliza para conectarse a la instancia.
Los valores aceptados son: TCP, HTTP, HTTPS y SSL
Valor predeterminado de la consola: HTTP
Valor predeterminado de CLI/API: TCP
Ping Port Puerto que se utiliza para conectarse a la instancia; porejemplo, un par protocol:port. Si el balanceador de cargano puede conectarse a la instancia en el puerto especificadodurante el período de espera de respuesta establecido, seconsidera que la instancia tiene un estado incorrecto.
Protocolos de ping: TCP, HTTP, HTTPS y SSL
Rango de puertos de ping: 1 - 65535
Valor predeterminado de la consola: HTTP:80
Valor predeterminado de CLI/API: TCP:80
Ping Path Destino de la solicitud HTTP o HTTPS.
Se envía una solicitud HTTP o HTTPS GET a la instancia delpuerto de ping y la ruta de ping. Si el balanceador de cargarecibe una respuesta distinta a "200 OK" durante el períodode espera de respuesta, se considera que la instancia notiene un estado correcto. Si la respuesta incluye un cuerpo,
17
Elastic Load Balancing Classic Load BalancersActualizar la configuración de la comprobación de estado
Campo Descripciónla aplicación debe establecer el encabezado Content-Lengthen un valor igual o mayor que cero o configurar Transfer-Encoding con un valor establecido en "chunked".
Valor predeterminado: /index.html
Response Timeout Período de tiempo, en segundos, durante el que se va aesperar una respuesta de la comprobación de estado.
Valores válidos: 2 - 60
Predeterminado: 5
HealthCheck Interval Período de tiempo, en segundos, que transcurre entre lascomprobaciones de estado de una instancia individual.
Valores válidos: 5 - 300
Predeterminado: 30
Unhealthy Threshold Número de comprobaciones de estado consecutivas conerrores que deben producirse antes de declarar que unainstancia EC2 tiene un estado incorrecto.
Valores válidos: 2 - 10
Predeterminado: 2
Healthy Threshold Número de comprobaciones de estado consecutivascorrectas que deben producirse antes de declarar que unainstancia EC2 tiene un estado correcto.
Valores válidos: 2 - 10
Predeterminado: 10
El balanceador de carga envía una solicitud a cada instancia registrada en el puerto de ping y la ruta deping cada Interval segundos. Se considera que una instancia se encuentra en buen estado si devuelveel código de respuesta 200 dentro del intervalo de comprobación de estado. Si las comprobacionesde estado superan el umbral de número de respuestas consecutivas con errores, el balanceador decarga pone la instancia fuera de servicio. Cuando las comprobaciones de estado superan el umbral derespuestas correctas consecutivas, el balanceador de carga vuelve a poner la instancia en servicio.
Actualizar la configuración de la comprobación deestadoPuede actualizar la configuración de la comprobación de estado de su balanceador de carga en cualquiermomento.
Para actualizar la configuración de la comprobación de estado de su balanceador de carga através de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.
18
Elastic Load Balancing Classic Load BalancersComprobar el estado de las instancias
4. En la pestaña Health check (Comprobación de estado), elija Edit Health Check (Editar comprobaciónde estado).
5. En la página Configure Health Check (Configurar comprobación de estado), actualice la configuraciónsegún sea necesario.
6. Seleccione Save.
Para actualizar la configuración de la comprobación de estado de su balanceador de carga a través deAWS CLI
Utilice el siguiente comando configure-health-check:
aws elb configure-health-check --load-balancer-name my-load-balancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3
Comprobar el estado de las instanciasPuede comprobar el estado de las instancias registradas.
Para comprobar el estado de las instancias a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Description (Descripción), Status (Estado) indica cuántas instancias están operativas.5. En la pestaña Instances (Instancias), la columna Status (Estado) indica el estado de cada instancia.
Para comprobar el estado de las instancias a través de AWS CLI
Utilice el siguiente comando describe-instance-health:
aws elb describe-instance-health --load-balancer-name my-load-balancer
Solucionar problemas con las comprobaciones deestadoLas instancias registradas pueden generar errores en la comprobación de estado del balanceador de cargapor diferentes motivos. Las razones más comunes por la que las comprobaciones de estado experimentanerrores se deben al cierre de las conexiones de las instancias EC2 con el balanceador de carga o a que seagota el tiempo de respuesta de las instancias EC2. Si desea obtener más información sobre las causasposibles y los pasos que puede seguir para resolver los errores de comprobación de estado, consulteSolución de problemas del Classic Load Balancer: comprobaciones de estado (p. 118).
Configurar grupos de seguridad para Classic LoadBalancer
Un grupo de seguridad funciona como un firewall y controla el tráfico permitido de entrada y salida de unao varias instancias. Cuando lanza una instancia EC2, puede asociarle uno o varios grupos de seguridad.En cada grupo de seguridad, puede agregar una o varias reglas que permitan el tráfico. Puede modificar
19
Elastic Load Balancing Classic Load BalancersGrupos de seguridad para
balanceadores de carga de una VPC
las reglas de un grupo de seguridad en cualquier momento; las nuevas reglas se aplican automáticamentea todas las instancias asociadas con el grupo de seguridad. Para obtener más información, consulteAmazon EC2 Security Groups en la Guía del usuario de Amazon EC2 para instancias de Linux.
No existe una diferencia significativa entre el modo en que los balanceadores de tipo Classic LoadBalancer admiten los grupos de seguridad en EC2-Classic y en una VPC. En EC2-Classic, Elastic LoadBalancing dispone de un grupo de seguridad que se puede utilizar para garantizar que las instanciassolamente reciben tráfico del balanceador de carga. Este grupo de seguridad de origen no se puedemodificar. En una VPC, debe proporcionar el grupo de seguridad del balanceador de carga, lo que lepermite elegir los puertos y protocolos que se van a admitir. Por ejemplo, puede abrir conexiones delProtocolo de mensajes de control de Internet (ICMP) para que el balanceador de carga responda a lassolicitudes de ping (sin embargo, las solicitudes de ping no se reenvían a ninguna instancia).
Tanto en EC2-Classic como en una VPC, debe asegurarse de que los grupos de seguridad de lasinstancias permiten al balanceador de carga comunicarse con las instancias tanto en el puerto de escuchacomo en el puerto de comprobación de estado En una VPC, los grupos de seguridad y las listas de controlde acceso (ACL) de red deben permitir el tráfico en estos puertos en las dos direcciones.
Contenido• Grupos de seguridad para balanceadores de carga de una VPC (p. 20)• Grupos de seguridad para instancias de una VPC (p. 22)• ACL de red para balanceadores de carga de una VPC (p. 23)• Grupos de seguridad para instancias EC2-Classic (p. 24)
Grupos de seguridad para balanceadores de carga deuna VPCSi utiliza Consola de administración de AWS para crear un balanceador de carga en una VPC, puedeutilizar un grupo de seguridad existente en la VPC o crear otro nuevo. Si elige un grupo de seguridadexistente, el tráfico debe estar permitido en las dos direcciones en el puerto de escucha y el puerto decomprobación de estado del balanceador de carga. Si decide crear un grupo de seguridad, la consolaagregará automáticamente reglas que permitan todo el tráfico en estos puertos.
[VPC no predeterminada] Si utiliza AWS CLI o una API para crear un balanceador de carga en una VPCno predeterminada pero no quiere especificar un grupo de seguridad, el balanceador de carga se asociaráautomáticamente con el grupo de seguridad predeterminado de la VPC.
[VPC predeterminada] Si utiliza AWS CLI o una API para crear un balanceador de carga en la VPCpredeterminada, no podrá elegir un grupo de seguridad existente para el balanceador de carga. En sulugar, Elastic Load Balancing proporcionará un grupo de seguridad con reglas que permitirán todo eltráfico en los puertos especificados del balanceador de carga. Elastic Load Balancing únicamente crea ungrupo de seguridad de este tipo en cada cuenta de AWS, cuyo nombre tendrá el formato default_elb_id(por ejemplo, default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE). Los balanceadores decarga que cree posteriormente en la VPC predeterminada también usarán este grupo de seguridad. Noolvide revisar las reglas del grupo de seguridad para asegurarse de que permiten el tráfico en el puertode escucha y el puerto de comprobación de estado del nuevo balanceador de carga. Cuando elimine elbalanceador de carga, el grupo de seguridad no se eliminará automáticamente.
Si agrega un agente de escucha a un balanceador de carga existente, deberá revisar los grupos deseguridad para asegurarse de que el tráfico está permitido en el puerto del nuevo agente de escucha enlas dos direcciones.
Contenido• Reglas recomendadas para los grupos de seguridad del balanceador de carga (p. 21)• Administrar grupos de seguridad a través de la consola (p. 22)
20
Elastic Load Balancing Classic Load BalancersGrupos de seguridad para
balanceadores de carga de una VPC
• Administrar grupos de seguridad a través de AWS CLI (p. 22)
Reglas recomendadas para los grupos de seguridad delbalanceador de cargaLos grupos de seguridad de los balanceadores de carga deben permitir que estos se comuniquen con lasinstancias. Las reglas recomendadas dependen del tipo de balanceador de carga (expuesto a Internet ointerno).
Balanceador de carga orientado a Internet: reglas recomendadas
Entrada
Fuente Protocol Port Range Comentario
0.0.0.0/0 TCP agente deescucha
Permite todo el tráfico entrante enel puerto del agente de escucha delbalanceador de carga
Salida
Destino Protocol Port Range Comentario
grupo deseguridad deinstancia
TCP agente deescucha deinstancia
Permite el tráfico saliente a lasinstancias en el puerto del agente deescucha de la instancia
grupo deseguridad deinstancia
TCP comprobaciónde estado
Permite el tráfico saliente a lasinstancias en el puerto de comprobaciónde estado
Balanceador de carga interno: reglas recomendadas
Entrada
Fuente Protocol Port Range Comentario
CIDR de VPC TCP agente deescucha
Permitir el tráfico entrante del CIDR deVPC en el puerto del agente de escuchadel balanceador de carga
Salida
Destino Protocol Port Range Comentario
grupo deseguridad deinstancia
TCP agente deescucha deinstancia
Permite el tráfico saliente a lasinstancias en el puerto del agente deescucha de la instancia
grupo deseguridad deinstancia
TCP comprobaciónde estado
Permite el tráfico saliente a lasinstancias en el puerto de comprobaciónde estado
También recomendamos permitir el tráfico ICMP entrante para admitir la detección de MTU de ruta. Paraobtener más información, consulte Path MTU Discovery en la Guía del usuario de Amazon EC2 parainstancias de Linux.
21
Elastic Load Balancing Classic Load BalancersGrupos de seguridad para instancias de una VPC
Administrar grupos de seguridad a través de la consolaUtilice el siguiente procedimiento para cambiar los grupos de seguridad asociados al balanceador de cargade una VPC.
Para actualizar un grupo de seguridad asignado al balanceador de carga
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Description (Descripción), elija Edit security groups (Editar grupos de seguridad).5. En la página Edit security groups (Editar grupos de seguridad), active o desactive los grupos de
seguridad según corresponda.6. Cuando termine de actualizar las etiquetas, elija Save.
Administrar grupos de seguridad a través de AWS CLIUtilice el siguiente comando apply-security-groups-to-load-balancer para asociar un nuevo grupo deseguridad con un balanceador de carga de una VPC. Los grupos de seguridad especificados sobrescribelos grupos de seguridad asociados anteriormente.
aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f
A continuación se muestra un ejemplo de respuesta:
{ "SecurityGroups": [ "sg-53fae93f" ]}
Grupos de seguridad para instancias de una VPCLos grupos de seguridad de las instancias deben permitir que estas se comuniquen con el balanceador decarga.
Instancias: reglas recomendadas
Entrada
Fuente Protocol Port Range Comentario
grupo de seguridad debalanceador de carga
TCP agente deescucha deinstancia
Permite el tráfico del balanceadorde carga en el puerto del agente deescucha de la instancia
grupo de seguridad debalanceador de carga
TCP comprobaciónde estado
Permite el tráfico procedente delbalanceador de carga en el puerto decomprobación de estado
También recomendamos permitir el tráfico ICMP entrante para admitir la detección de MTU de ruta. Paraobtener más información, consulte Path MTU Discovery en la Guía del usuario de Amazon EC2 parainstancias de Linux.
22
Elastic Load Balancing Classic Load BalancersACL de red para balanceadores de carga de una VPC
ACL de red para balanceadores de carga de una VPCLa lista de control de acceso (ACL) de red predeterminada de la VPC permite todo el tráfico de entrada ysalida. Si crea ACL de red personalizadas, debe agregar reglas que permitan que el balanceador de cargay las instancias se comuniquen.
Las reglas recomendadas para la subred del balanceador de carga dependerán del tipo de balanceador decarga (orientado a Internet o interno).
Balanceador de carga orientado a Internet: reglas recomendadas
Entrada
Fuente Protocolo Puerto Comentario
0.0.0.0/0 TCP agente deescucha
Permite todo el tráfico entrante enel puerto del agente de escucha delbalanceador de carga
CIDR de VPC TCP 1024 - 65535 Permite el tráfico entrante en el CIDR dela VPC a través de los puertos efímeros
Salida
Destino Protocolo Puerto Comentario
CIDR de VPC TCP agente deescucha deinstancia
Permite todo el tráfico de salida en elpuerto de escucha de la instancia
CIDR de VPC TCP comprobaciónde estado
Permite todo el tráfico de salida en elpuerto de comprobación de estado
0.0.0.0/0 TCP 1024 - 65535 Permite todo el tráfico de salida en lospuertos efímeros
Balanceador de carga interno: reglas recomendadas
Entrada
Fuente Protocolo Puerto Comentario
CIDR de VPC TCP agente deescucha
Permitir el tráfico entrante del CIDR deVPC en el puerto del agente de escuchadel balanceador de carga
CIDR de VPC TCP 1024 - 65535 Permite el tráfico entrante en el CIDR dela VPC a través de los puertos efímeros
Salida
Destino Protocolo Puerto Comentario
CIDR de VPC TCP agente deescucha deinstancia
Permite el tráfico de salida dirigidoal CIDR de la VPC en el puerto deescucha de la instancia
23
Elastic Load Balancing Classic Load BalancersGrupos de seguridad para instancias EC2-Classic
CIDR de VPC TCP comprobaciónde estado
Permite el tráfico de salida en el CIDRde la VPC del puerto de comprobaciónde estado
CIDR de VPC TCP 1024 - 65535 Permite el tráfico de salida en el CIDRde la VPC a través de los puertosefímeros
Las reglas recomendadas para la subred de las instancias dependen de si la subred es pública o privada.Las siguientes reglas se han elaborado para subredes privadas. Si las instancias se encuentran en unasubred pública, cambie el origen y el destino del CIDR de la VPC a 0.0.0.0/0.
Instancias: reglas recomendadas
Entrada
Fuente Protocolo Puerto Comentario
CIDR de VPC TCP agente deescucha deinstancia
Permite el tráfico de entrada procedentedel CIDR de la VPC en el puerto deescucha de la instancia
CIDR de VPC TCP comprobaciónde estado
Permite el tráfico de entrada procedentedel CIDR de la VPC en el puerto decomprobación de estado
Salida
Destino Protocolo Puerto Comentario
CIDR de VPC TCP 1024 - 65535 Permite el tráfico de salida en el CIDRde la VPC a través de los puertosefímeros
Grupos de seguridad para instancias EC2-ClassicPara permitir la comunicación entre el balanceador de carga y las instancias lanzadas en EC2-Classic,cree una regla de entrada para el grupo de seguridad de las instancias que permita el tráfico de entradaprocedente de todas las direcciones IP (mediante el bloque de CIDR 0.0.0.0/0) o solo del tráficoprocedente del balanceador de carga (mediante el grupo de seguridad de origen proporcionado por ElasticLoad Balancing).
Utilice el procedimiento siguiente para bloquear el tráfico entre el balanceador de carga y las instanciasEC2-Classic.
Para bloquear el tráfico entre el balanceador de carga y las instancias a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Description (Descripción), copie el nombre del grupo de seguridad de origen.
24
Elastic Load Balancing Classic Load BalancersGrupos de seguridad para instancias EC2-Classic
5. En la pestaña Instances (Instancias), seleccione el ID de una de las instancias registradas con elbalanceador de carga.
6. En la pestaña Description (Descripción), para Security groups (Grupos de seguridad), seleccione elnombre del grupo de seguridad.
7. En la pestaña Inbound (Entrada), elija Edit (Editar), Add Rule (Agregar regla).8. En la columna Type (Tipo), seleccione el tipo de protocolo. Se completarán las columnas Protocol
(Protocolo) y Port Range (Rango de puerto). En la columna Source (Origen), seleccione Custom IPy, a continuación, pegue el nombre del grupo de seguridad de origen que copió anteriormente (porejemplo, amazon-elb/amazon-elb-sg).
9. (Opcional) Si el grupo de seguridad tiene reglas menos restrictivas que la regla que acaba de agregar,elimine la regla que sea menos restrictiva a través del icono de eliminar.
Para bloquear el tráfico entre el balanceador de carga y las instancias a través de AWS CLI
1. Utilice el siguiente comando describe-load-balancers para mostrar el nombre y el propietario del grupode seguridad de origen del balanceador de carga:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
La respuesta incluye el nombre y el propietario del campo SourceSecurityGroup. Por ejemplo:
{ "LoadBalancerDescriptions": [ { ... "SourceSecurityGroup": { "OwnerAlias": "amazon-elb", "GroupName": "amazon-elb-sg" } } ]}
2. Para agregar una regla al grupo de seguridad de las instancias, siga estos pasos:
a. Si no conoce el nombre del grupo de seguridad de las instancias, utilice el siguiente comandodescribe-instances para obtener el nombre y el ID del grupo de seguridad de la instanciaespecificada:
aws ec2 describe-instances --instance-ids i-315b7e51
La respuesta contiene el nombre y el ID del grupo de seguridad en el campo SecurityGroups.Anote el nombre del grupo de seguridad; lo utilizará en el siguiente paso.
b. Utilice el siguiente comando authorize-security-group-ingress para agregar una regla al grupo deseguridad de la instancia que permita el tráfico procedente del balanceador de carga:
aws ec2 authorize-security-group-ingress --group-name my-security-group --source-security-group-name amazon-elb-sg --source-security-group-owner-id amazon-elb
25
Elastic Load Balancing Classic Load BalancersGrupos de seguridad para instancias EC2-Classic
3. (Opcional) Utilice el siguiente comando describe-security-groups para asegurarse de que el grupo deseguridad tiene la nueva regla:
aws ec2 describe-security-groups --group-names my-security-group
La respuesta incluye una estructura de datos UserIdGroupPairs en la que se muestran los gruposde seguridad que tienen permiso para obtener acceso a la instancia.
{ "SecurityGroups": [ { ... "IpPermissions": [ { "IpRanges": [], "FromPort": -1, "IpProtocol": "icmp", "ToPort": -1, "UserIdGroupPairs": [ { "GroupName": "amazon-elb-sg", "GroupId": "sg-5a9c116a", "UserId": "amazon-elb" } ] }, { "IpRanges": [], "FromPort": 1, "IpProtocol": "tcp", "ToPort": 65535, "UserIdGroupPairs": [ { "GroupName": "amazon-elb-sg", "GroupId": "sg-5a9c116a", "UserId": "amazon-elb" } ] }, { "IpRanges": [], "FromPort": 1, "IpProtocol": "udp", "ToPort": 65535, "UserIdGroupPairs": [ { "GroupName": "amazon-elb-sg", "GroupId": "sg-5a9c116a", "UserId": "amazon-elb" } ] }, . . . }
4. (Opcional) Si el grupo de seguridad tiene reglas menos restrictivas que la regla que acaba de agregar,utilice el comando revoke-security-group-ingress para quitar las reglas menos restrictivas. Por ejemplo,el comando siguiente elimina una regla que permite el tráfico TCP procedente de cualquier remitente(rango de CIDR 0.0.0.0/0):
26
Elastic Load Balancing Classic Load BalancersAgregar o eliminar zonas de disponibilidad
aws ec2 revoke-security-group-ingress --group-name my-security-group --protocol tcp --port 80 --cidr 0.0.0.0/0
Agregar o eliminar zonas de disponibilidad en elbalanceador de carga a través de EC2-Classic
Cuando se agrega una zona de disponibilidad al balanceador de carga, Elastic Load Balancing crea en ellaun nodo de balanceador de carga. Los nodos de balanceador de carga aceptan el tráfico procedente de losclientes y reenvían solicitudes a las instancias que tienen un estado correcto y están registradas en una ovarias zonas de disponibilidad.
Puede configurar el balanceador de carga en EC2-Classic para que las solicitudes de entrada sedistribuyan entre las instancias EC2 de una única zona de disponibilidad o de varias. Para ello, enprimer lugar, lance las instancias EC2 de todas las zonas de disponibilidad que tenga previsto utilizar.A continuación, registre estas instancias con el balanceador de carga. Por último, agregue las zonas dedisponibilidad al balanceador de carga. Después de agregar una zona de disponibilidad, el balanceadorde carga comienza a direccionar solicitudes a las instancias registradas en dicha zona de disponibilidad.Tenga en cuenta que puede modificar las zonas de disponibilidad del balanceador de carga en cualquiermomento.
De forma predeterminada, el balanceador de carga direcciona las solicitudes de forma uniformeentre sus zonas de disponibilidad. Para direccionar las solicitudes de forma uniforme entre todas lasinstancias registradas en las zonas de disponibilidad, habilite el balanceo de carga entre zonas. Paraobtener más información, consulte Configuración del balanceo de carga entre zonas en el Classic LoadBalancer (p. 72).
Es posible que quiera eliminar temporalmente una zona de disponibilidad del balanceador de carga porqueninguna de sus instancias tenga un estado correcto, porque tenga que solucionar problemas con lasinstancias registradas o porque necesite actualizarlas. Después de eliminar una zona de disponibilidad,el balanceador de carga deja de direccionar las solicitudes a las instancias registradas en dicha zona dedisponibilidad, pero sigue direccionándolas a las instancias registradas de las zonas de disponibilidadrestantes.
Si el balanceador de carga se encuentra en una VPC, consulte Agregar o eliminar subredes en un ClassicLoad Balancer de una VPC (p. 29).
Contenido• Agregar una zona de disponibilidad (p. 27)• Eliminar una zona de disponibilidad (p. 28)
Agregar una zona de disponibilidadPuede ampliar la disponibilidad de la aplicación utilizando una zona de disponibilidad adicional. Registrelas instancias de esa zona de disponibilidad con el balanceador de carga y, a continuación, agregue lazona de disponibilidad. Para obtener más información, consulte Realizar o anular el registro de instanciasEC2 en Classic Load Balancer (p. 31).
Para agregar una zona de disponibilidad a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.
27
Elastic Load Balancing Classic Load BalancersEliminar una zona de disponibilidad
3. Seleccione el balanceador de carga.4. En la pestaña Instances (Instancias), elija Edit Availability Zones (Editar zonas de disponibilidad).5. En la página Add and Remove Availability Zones (Agregar y quitar zonas de disponibilidad), seleccione
la zona de disponibilidad.6. Seleccione Save.
Para agregar una zona de disponibilidad a través de AWS CLI
Utilice el siguiente comando enable-availability-zones-for-load-balancer para agregar una zona dedisponibilidad:
aws elb enable-availability-zones-for-load-balancer --load-balancer-name my-loadbalancer --availability-zones us-west-2b
En la respuesta, aparecerán todas las zonas de disponibilidad del balanceador de carga. Por ejemplo:
{ "AvailabilityZones": [ "us-west-2a", "us-west-2b" ]}
Eliminar una zona de disponibilidadPuede eliminar una zona de disponibilidad del balanceador de carga. Tenga en cuenta que, aunque seelimine una zona de disponibilidad, las instancias de esa zona de disponibilidad siguen registradas con elbalanceador de carga. Para obtener más información, consulte Realizar o anular el registro de instanciasEC2 en Classic Load Balancer (p. 31).
Para eliminar una zona de disponibilidad a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Instances (Instancias), elija Edit Availability Zones (Editar zonas de disponibilidad).5. En la página Add and Remove Availability Zones (Agregar y quitar zonas de disponibilidad), borre la
zona de disponibilidad.6. Seleccione Save.
Para eliminar una zona de disponibilidad a través de AWS CLI
Utilice el siguiente comando disable-availability-zones-for-load-balancer:
aws elb disable-availability-zones-for-load-balancer --load-balancer-name my-loadbalancer --availability-zones us-west-2a
En la respuesta, aparecerán las zonas de disponibilidad restantes del balanceador de carga. Por ejemplo:
{ "AvailabilityZones": [ "us-west-2b" ]
28
Elastic Load Balancing Classic Load BalancersAgregar o eliminar subredes
}
Agregar o eliminar subredes en un Classic LoadBalancer de una VPC
Cuando agrega una subred al balanceador de carga, Elastic Load Balancing crea un nodo de balanceadorde carga en la zona de disponibilidad. Los nodos de balanceador de carga aceptan el tráfico procedente delos clientes y reenvían solicitudes a las instancias que tienen un estado correcto y están registradas en unao varias zonas de disponibilidad. En el caso de los balanceadores de carga de una VPC, le recomendamosque agregue una subred por cada zona de disponibilidad en al menos dos zonas de disponibilidad. Deeste modo, mejora la disponibilidad del balanceador de carga. Tenga en cuenta que las subredes delbalanceador de carga pueden modificarse en cualquier momento.
Seleccione subredes de las mismas zonas de disponibilidad como instancias. Si el balanceador de cargaestá orientado a Internet, debe seleccionar subredes públicas para que sus instancias backend puedanrecibir el tráfico procedente del balanceador de carga (incluso si las instancias backend se encuentran ensubredes privadas). Si el balanceador de carga es interno, le recomendamos que seleccione subredesprivadas. Para obtener más información sobre las subredes del balanceador de carga, consulte Preparar laVPC y las instancias EC2 (p. 15).
Después de agregar una subred, el balanceador de carga comienza a direccionar solicitudes a lasinstancias registradas en la zona de disponibilidad correspondiente. De forma predeterminada, elbalanceador de carga direcciona las solicitudes de forma uniforme a través de las zonas de disponibilidadde sus subredes. Para direccionar las solicitudes de forma uniforme entre todas las instancias registradasen las zonas de disponibilidad de sus subredes, habilite el balanceo de carga entre zonas. Paraobtener más información, consulte Configuración del balanceo de carga entre zonas en el Classic LoadBalancer (p. 72).
Es posible que quiera eliminar temporalmente una subred del balanceador de carga porque ninguna delas instancias registradas en la zona de disponibilidad tenga un estado correcto, porque deba solucionarproblemas con las instancias registradas o porque necesite actualizarlas. Después de eliminar una subred,el balanceador de carga deja de direccionar las solicitudes a las instancias registradas en su zona dedisponibilidad, aunque sigue direccionándolas a las instancias registradas de las zonas de disponibilidadde las subredes restantes.
Si el balanceador de carga se encuentra en EC2-Classic, consulte Agregar o eliminar zonas dedisponibilidad en el balanceador de carga a través de EC2-Classic (p. 27).
Contenido• Requisitos (p. 29)• Agregar una subred (p. 30)• Eliminar una subred (p. 30)
RequisitosCuando actualice las subredes del balanceador de carga, debe ajustarse a los siguientes requisitos:
• El balanceador de carga debe tener al menos una subred en todo momento.• Puede agregar, como máximo, una subred por cada zona de disponibilidad.
Como existen API diferentes para agregar y eliminar subredes en un balanceador de carga, debe prestarmucha atención al orden de las operaciones cuando cambie las redes actuales por otras nuevas para que
29
Elastic Load Balancing Classic Load BalancersAgregar una subred
se cumplan estos requisitos. Además, si quiere cambiar todas las subredes del balanceador de carga,deberá agregar temporalmente una subred de otra zona de disponibilidad. Por ejemplo, si el balanceadorde carga solamente tiene una única zona de disponibilidad y necesita cambiar la subred por otra, deberáagregar primero una subred de otra zona de disponibilidad. A continuación, podrá eliminar la subredde la zona de disponibilidad original (sin que quede menos de una subred), agregar una nueva subredde la zona de disponibilidad original (sin que haya más de una subred por zona de disponibilidad) y, acontinuación, eliminar la subred de la segunda zona de disponibilidad (solo si es necesario para realizar elcambio).
Agregar una subredPuede ampliar la disponibilidad del balanceador de carga utilizando una subred adicional. Registre lasinstancias de esta subred con el balanceador de carga y, a continuación, asocie una subred al balanceadorde carga que esté en la misma zona de disponibilidad que las instancias. Para obtener más información,consulte Realizar o anular el registro de instancias EC2 en Classic Load Balancer (p. 31).
Para agregar una subred al balanceador de carga a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En el panel inferior, seleccione la pestaña Instances (Instancias).5. Elija Edit Availability Zones (Editar zonas de disponibilidad).6. En Available Subnets (Subredes disponibles), seleccione la subred utilizando el icono de agregar (+).
La subred se situará bajo Selected subnets.
Tenga en cuenta que, como máximo, puede seleccionar una subred por cada zona de disponibilidad.Si selecciona una segunda subred en una zona de disponibilidad en la que ya existe una subredseleccionada, esta subred sustituirá a la que está seleccionada actualmente en la zona dedisponibilidad.
7. Seleccione Save.
Para agregar una subred al balanceador de carga a través de CLI
Utilice el siguiente comando attach-load-balancer-to-subnets para agregar dos subredes al balanceador decarga:
aws elb attach-load-balancer-to-subnets --load-balancer-name my-load-balancer --subnets subnet-dea770a9 subnet-fb14f6a2
En la respuesta, aparecerán todas las subredes del balanceador de carga. Por ejemplo:
{ "Subnets": [ "subnet-5c11033e", "subnet-dea770a9", "subnet-fb14f6a2" ]}
Eliminar una subredPuede eliminar una subred del balanceador de carga. Tenga en cuenta que, después de eliminar unasubred, las instancias de esa subred siguen registradas con el balanceador de carga. Para obtener másinformación, consulte Realizar o anular el registro de instancias EC2 en Classic Load Balancer (p. 31).
30
Elastic Load Balancing Classic Load BalancersRealizar o anular el registro de instancias
Para eliminar una subred a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En el panel inferior, seleccione la pestaña Instances (Instancias).5. Elija Edit Availability Zones (Editar zonas de disponibilidad).6. En Selected subnets (Subredes seleccionadas), quite la subred utilizando el icono de eliminación (-).
La subred se situará bajo Available Subnets (Subredes disponibles).7. Seleccione Save.
Para eliminar una subred a través de AWS CLI
Utilice el siguiente comando detach-load-balancer-from-subnets para eliminar las subredes especificadasdel balanceador de carga proporcionado:
aws elb detach-load-balancer-from-subnets --load-balancer-name my-loadbalancer --subnets subnet-450f5127
En la respuesta, se muestran las subredes restantes del balanceador de carga. Por ejemplo:
{ "Subnets": [ "subnet-15aaab61" ]}
Realizar o anular el registro de instancias EC2 enClassic Load Balancer
Al registrar una instancia EC2, esta se agrega al balanceador de carga. El balanceador de carga supervisade forma continuada el estado de las instancias registradas en las zonas de disponibilidad habilitadas ydirecciona las solicitudes a las instancias que tienen un estado correcto. Si la demanda de las instanciasaumenta, puede registrar más instancias con el balanceador de carga para hacerle frente.
Si anula el registro de una instancia EC2, esta se elimina del balanceador de carga. El balanceador decarga deja de direccionar solicitudes a una instancia tan pronto como se anula su registro. Si disminuyela demanda o necesita realizar tareas de mantenimiento en las instancias, puede anular su registro enel balanceador de carga. Cuando se anula el registro de una instancia, dicha instancia permanece enejecución, aunque deja de recibir tráfico del balanceador de carga. Si lo desea, puede volver a registrar lainstancia con el balanceador de carga cuando le venga bien.
Cuando se anula el registro de una instancia, si el vaciado de conexiones está habilitado, Elastic LoadBalancing espera hasta que se completan las solicitudes en curso. Para obtener más información, consulteConfiguración del vaciado de conexiones del Classic Load Balancer (p. 75).
Si el balanceador de carga está asociado a un grupo de Auto Scaling, las instancias del grupo se registranautomáticamente con el balanceador de carga. Si el balanceador de carga no se puede desasociar de sugrupo de Auto Scaling, se anula el registro de las instancias del grupo.
Elastic Load Balancing registra la instancia EC2 con el balanceador de carga utilizando su dirección IP.
31
Elastic Load Balancing Classic Load BalancersRequisitos previos
[EC2-VPC] Cuando se registra una instancia con una interfaz de red elástica (ENI) asociada, elbalanceador de carga direcciona las solicitudes a la dirección IP principal de la interfaz principal (eth0) dela instancia.
Contenido• Requisitos previos (p. 32)• Registrar una instancia (p. 32)• Anular el registro de una instancia (p. 33)
Requisitos previosLa instancia debe ser una instancia en ejecución y estar en la misma red que el balanceador de carga(EC2-Classic o la misma VPC). Si tiene instancias EC2-Classic y un balanceador de carga en una VPCcon ClassicLink habilitado, puede enlazar las instancias EC2-Classic con esa VPC y registrarlas con unbalanceador de carga de dicha VPC.
Registrar una instanciaCuando esté preparado, registre la instancia con el balanceador de carga. Si la instancia está en una zonade disponibilidad que está habilitada para el balanceador de carga, la instancia estará lista para recibirtráfico del balanceador de carga tan pronto como pase el número requerido de comprobaciones de estado.
Para registrar las instancias a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En el panel inferior, seleccione la pestaña Instances (Instancias).5. Elija Edit Instances (Editar instancias).6. Seleccione la instancia que quiere registrar con el balanceador de carga.7. Seleccione Save.
Para registrar las instancias a través de AWS CLI
Utilice el siguiente comando register-instances-with-load-balancer:
aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4e05f721
A continuación, se incluye un ejemplo de respuesta donde se muestran las instancias registradas con elbalanceador de carga:
{ "Instances": [ { "InstanceId": "i-315b7e51" }, { "InstanceId": "i-4e05f721" } ]}
32
Elastic Load Balancing Classic Load BalancersAnular el registro de una instancia
Anular el registro de una instanciaPuede anular el registro de una instancia del balanceador de carga si ya no necesita su capacidad o sidebe realizar tareas de mantenimiento.
Si el balanceador de carga está asociado a un grupo de Auto Scaling, al desasociar la instancia del grupotambién se anula su registro en el balanceador de carga. Para obtener más información, consulte DetachEC2 Instances From Your Auto Scaling Group en la Guía del usuario de Amazon EC2 Auto Scaling.
Para anular el registro de las instancias a través de la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En el panel inferior, seleccione la pestaña Instances (Instancias).5. En la columna Actions (Acciones) de la instancia, elija Remove from Load Balancer (Quitar del
balanceador de carga).6. Cuando se le indique que confirme, elija Yes, Remove (Sí, quitar).
Para anular el registro de las instancias a través de AWS CLI
Utilice el siguiente comando deregister-instances-from-load-balancer:
aws elb deregister-instances-from-load-balancer --load-balancer-name my-loadbalancer --instances i-4e05f721
A continuación, se incluye un ejemplo de respuesta donde se muestran las instancias que siguenregistradas con el balanceador de carga:
{ "Instances": [ { "InstanceId": "i-315b7e51" } ]}
33
Elastic Load Balancing Classic Load BalancersProtocolos
Agentes de escucha para el ClassicLoad Balancer
Antes de comenzar a utilizar Elastic Load Balancing, debe configurar uno o varios agentes de escuchapara el Classic Load Balancer. Un agente de escucha es un proceso que comprueba solicitudesde conexión. Se configura con un protocolo y un puerto para las conexiones frontend (del cliente albalanceador de carga) y un protocolo y un puerto para las conexiones backend (del balanceador de cargaa la instancia de backend).
Elastic Load Balancing admite los siguientes protocolos:
• HTTP• HTTPS (HTTP seguro)• TCP• SSL (TCP seguro)
El protocolo HTTPS utiliza el protocolo SSL para establecer conexiones seguras a través de la capa HTTP.También puede utilizar el protocolo SSL para establecer conexiones seguras a través de la capa TCP.
Si la conexión frontend utiliza TCP o SSL, las conexiones backend pueden utilizar TCP o SSL. Si laconexión frontend utiliza HTTP o HTTPS, las conexiones backend pueden utilizar HTTP o HTTPS.
Las instancias backend pueden escuchar los puertos 1-65535.
Los balanceadores de carga pueden escuchar los siguientes puertos:
• [EC2-VPC] 1-65535• [EC2-Classic] 25, 80, 443, 465, 587, 1024-65535
Contenido• Protocolos (p. 34)• Agentes de escucha HTTPS/SSL (p. 35)• Configuraciones de agentes de escucha para Classic Load Balancers (p. 36)• Encabezados HTTP y Classic Load Balancers (p. 38)
ProtocolosLa comunicación para una aplicación web típica atraviesa capas de hardware y software. Cada capaofrece una función de comunicación específica. El control de la función de comunicación se transfierede una capa a la siguiente, de forma secuencial. El modelo de interconexión de sistemas abiertos (OSI)define un marco para implementar un formato de comunicación estándar en estas capas, que se denominaprotocolo. Para obtener más información, consulte OSI model en Wikipedia.
Cuando se utiliza Elastic Load Balancing, se requieren conocimientos básicos de las capas 4 y 7. La capa4 es la capa de transporte que describe la conexión del protocolo de control de transmisión (TCP) entreel cliente y la instancia backend a través del balanceador de carga. La capa 4 es el nivel más bajo que elbalanceador de carga puede configurar. La capa 7 es la capa de aplicaciones que describe el uso de lasconexiones del protocolo de transferencia de hipertexto (HTTP) y HTTP seguro (HTTPS) desde los clientesal balanceador de carga y desde este hasta la instancia backend.
34
Elastic Load Balancing Classic Load BalancersProtocolo TCP/SSL
El protocolo de capa de conexión segura (SSL) se utiliza principalmente para cifrar datos confidencialesque se transmiten a través de redes que no son seguras, como Internet. El protocolo SSL establece unaconexión segura entre un cliente y el servidor backend. Además, se asegura de que todos los datostransferidos entre el cliente y el servidor sean privados e íntegros.
Protocolo TCP/SSLCuando se utiliza TCP (capa 4) para las conexiones frontend y backend, el balanceador de carga reenvíalas solicitudes a las instancias backend sin modificar los encabezados. Una vez que el balanceador decarga recibe la solicitud, intenta abrir una conexión TCP con la instancia backend en el puerto especificadoen la configuración del agente de escucha.
Dado que los balanceadores de carga interceptan el tráfico entre los clientes y las instancias backend,los logs de acceso desde la instancia backend contienen la dirección IP del balanceador de carga, y no ladel cliente de origen. Puede habilitar Proxy Protocol, lo que agrega un encabezado con la información deconexión del cliente, como la dirección IP de origen, la dirección IP de destino y los números de puerto.El encabezado se enviará a la instancia backend como parte de la solicitud. Puede analizar la primeralínea de la solicitud para recuperar la información de conexión. Para obtener más información, consulteConfiguración de la compatibilidad con Proxy Protocol del Classic Load Balancer (p. 77).
Cuando se utiliza esta configuración, no se reciben cookies de sesiones sticky ni encabezados X-Forwarded.
Protocolo HTTP/HTTPSCuando se utiliza HTTP (capa 7) para las conexiones frontend y backend, el balanceador de carga analizalos encabezados de la solicitud y termina la conexión antes de enviar la solicitud a las instancias backend.
Por cada instancia registrada y en buen estado que hay tras un balanceador de carga HTTP/HTTPS,Elastic Load Balancing abre y mantiene una o más conexiones TCP. Estas conexiones garantizan quesiempre haya una conexión establecida y preparada para recibir solicitudes HTTP/HTTPS.
Las solicitudes y respuestas HTTP utilizan campos de encabezado para enviar información sobre losmensajes HTTP. Elastic Load Balancing admite los encabezados X-Forwarded-For. Dado que losbalanceadores de carga interceptan el tráfico entre los clientes y servidores, los logs de acceso al servidorcontienen únicamente la dirección IP del balanceador de carga. Para ver la dirección IP del cliente, utiliceel encabezado de solicitud X-Forwarded-For. Para obtener más información, consulte X-Forwarded-For (p. 38).
Cuando se utiliza HTTP/HTTPS, se pueden habilitar las sesiones sticky en el balanceador de carga. Unasesión sticky vincula una sesión del usuario a una instancia backend concreta. Con ello se garantizaque todas las solicitudes procedentes de ese usuario durante la sesión se envíen a la misma instanciabackend. Para obtener más información, consulte Configuración de sesiones sticky para Classic LoadBalancer (p. 80).
El balanceador de carga no admite todas las extensiones HTTP. Puede ser necesario utilizar un agente deescucha TCP si el balanceador de carga no consigue terminar la solicitud a causa de métodos, códigos derespuesta u otras implementaciones de HTTP 1.0/1.1 no estándar inesperados.
Agentes de escucha HTTPS/SSLPuede crear un balanceador de carga con las siguientes características de seguridad.
Certificados de servidor SSLSi utiliza HTTPS o SSL para las conexiones frontend, debe implementar un certificado X.509 (certificadode servidor SSL) en el balanceador de carga. El balanceador de carga descifra las solicitudes de los
35
Elastic Load Balancing Classic Load BalancersNegociación SSL
clientes antes de enviarlas a las instancias backend (esto se denomina terminación SSL). Para obtenermás información, consulte Certificados SSL/TLS para Classic Load Balancer (p. 40).
Si no desea que el balanceador de carga controle la terminación SSL (lo que se denomina descargade SSL), puede utilizar TCP para las conexiones frontend y backend e implementar certificados en lasinstancias registradas que controlan solicitudes.
Negociación SSLElastic Load Balancing proporciona configuraciones predefinidas de negociación SSL que se utilizan parala negociación SSL cuando se establece una conexión entre un cliente y el balanceador de carga. Lasconfiguraciones de la negociación SSL proporcionan compatibilidad con una amplia variedad de clientesy utilizan algoritmos criptográficos de alta seguridad denominados cifrados. Sin embargo, algunos casosde uso podrían requerir que se cifren todos los datos de la red y admitir solo algunos cifrados. Algunosestándares de conformidad y seguridad (como PCI, SOX, etc.) podrían requerir un conjunto específico deprotocolos y cifrados de los clientes para garantizar que se cumplan los estándares de seguridad. En estoscasos, puede crear una configuración de negociación SSL personalizada que se ajuste a sus requisitosespecíficos. Los cifrados y protocolos deben surtir efecto en un plazo de 30 segundos. Para obtener másinformación, consulte Configuraciones de negociación SSL para Classic Load Balancer (p. 41).
Autenticación del servidor backendSi utiliza HTTPS o SSL para las conexiones backend, puede habilitar la autenticación de las instanciasregistradas. A continuación, puede utilizar el proceso de autenticación para asegurarse de que lasinstancias acepten únicamente la comunicación cifrada y de que cada instancia registrada tenga la clavepública correcta.
Para obtener más información, consulte Configure Back-end Server Authentication (p. 58).
Configuraciones de agentes de escucha paraClassic Load Balancers
En las tablas siguientes se resumen los ajustes del agente de escucha que puede utilizar para configurarlos Classic Load Balancers.
Balanceador de carga HTTP/HTTPS
Caso de uso Protocolofrontend
Opcionesfrontend
Protocolobackend
Opcionesbackend
Notas
Balanceadorde carga HTTPbásico
HTTP N/D HTTP N/D • Admite elencabezadoX-Forwarded-For (p. 38).
Aplicacióno sitio webseguro queutiliza ElasticLoad Balancingpara descargarel cifrado SSL
HTTPS NegociaciónSSL (p. 41)
HTTP N/D • Admite elencabezadoX-Forwarded-For (p. 38).
• Requiereimplementar
36
Elastic Load Balancing Classic Load BalancersConfiguraciones de agentes de escucha
Caso de uso Protocolofrontend
Opcionesfrontend
Protocolobackend
Opcionesbackend
Notas
un certificadoSSL (p. 40)en elbalanceadorde carga.
Aplicacióno sitio webseguro queusa el cifradointegral
HTTPS NegociaciónSSL (p. 41)
HTTPS Autenticaciónbackend
• Admite elencabezadoX-Forwarded-For (p. 38).
• RequiereimplementaruncertificadosSSL (p. 40)en elbalanceadorde cargay en lasinstanciasregistradas.
Balanceador de carga TCP/SSL
Caso de uso Protocolofrontend
Opcionesfrontend
Protocolobackend
Opcionesbackend
Notas
Balanceadorde carga TCPbásico
TCP N/D TCP N/D • Admite elencabezadoProxyProtocol (p. 77).
Aplicacióno sitio webseguro queutiliza ElasticLoad Balancingpara descargarel cifrado SSL
SSL NegociaciónSSL (p. 41)
TCP N/D • Requiereimplementarun certificadoSSL (p. 40)en elbalanceadorde carga.
• Admite elencabezadoProxyProtocol (p. 77).
Aplicacióno sitio webseguro queusa el cifradointegral conElastic LoadBalancing
SSL NegociaciónSSL (p. 41)
SSL Autenticaciónbackend
• RequiereimplementaruncertificadosSSL (p. 40)en elbalanceadorde cargay en las
37
Elastic Load Balancing Classic Load BalancersEncabezados X-Forwarded
Caso de uso Protocolofrontend
Opcionesfrontend
Protocolobackend
Opcionesbackend
Notas
instanciasregistradas.
• No inserteencabezadosSNI en lasconexionesSSLbackend.
• No admite elencabezadoProxyProtocol.
Encabezados HTTP y Classic Load BalancersLas solicitudes y respuestas HTTP utilizan campos de encabezado para enviar información sobrelos mensajes HTTP. Los campos de encabezado son pares nombre-valor separados por signos dedos puntos, separados a su vez por un retorno de carro (CR) y un salto de línea (LF). Un conjuntoestándar de campos de encabezado HTTP se define en RFC 2616, Message Headers. También hayencabezados HTTP no estándar disponibles que se utilizan habitualmente en las aplicaciones. Algunos delos encabezados HTTP no estándar tienen el prefijo X-Forwarded. Los Classic Load Balancers admitenlos siguientes encabezados X-Forwarded.
Para obtener más información sobre las conexiones HTTP, consulte Request Routing en la Guía delusuario de Elastic Load Balancing.
Requisitos previos
• Confirme que la configuración del agente de escucha admite los encabezados X-Forwarded. Paraobtener más información, consulte Configuraciones de agentes de escucha para Classic LoadBalancers (p. 36).
• Configure el servidor web de forma que registre las direcciones IP del cliente.
Encabezados X-Forwarded• X-Forwarded-For (p. 38)• X-Forwarded-Proto (p. 39)• X-Forwarded-Port (p. 39)
X-Forwarded-ForEl encabezado de solicitud X-Forwarded-For ayuda a identificar la dirección IP de un cliente cuandose utiliza un balanceador de carga HTTP o HTTPS. Dado que los balanceadores de carga interceptan eltráfico entre los clientes y servidores, los logs de acceso al servidor contienen únicamente la direcciónIP del balanceador de carga. Para ver la dirección IP del cliente, utilice el encabezado de solicitud X-Forwarded-For. Elastic Load Balancing almacena la dirección IP del cliente en el encabezado desolicitud X-Forwarded-For y se lo pasa al servidor.
El encabezado de solicitud X-Forwarded-For tiene el siguiente formato:
38
Elastic Load Balancing Classic Load BalancersX-Forwarded-Proto
X-Forwarded-For: client-ip-address
A continuación se muestra un ejemplo de un encabezado de solicitud X-Forwarded-For cuya direcciónIP de cliente es 203.0.113.7.
X-Forwarded-For: 203.0.113.7
A continuación se muestra un ejemplo de un encabezado de solicitud X-Forwarded-For cuya direcciónIPv6 de cliente es 2001:DB8::21f:5bff:febf:ce22:8a2e.
X-Forwarded-For: 2001:DB8::21f:5bff:febf:ce22:8a2e
Si una solicitud de un cliente ya contiene un encabezado X-Forwarded-For, Elastic Load Balancingadjunta la dirección IP del cliente al final del valor del encabezado. En este caso, la última dirección IPde la lista es la dirección IP del cliente. Por ejemplo, el siguiente encabezado contiene dos direcciones IPagregadas por el cliente, que podrían no ser de confianza, además de la dirección IP del cliente agregadapor Elastic Load Balancing:
X-Forwarded-For: ip-address-1, ip-address-2, client-ip-address
X-Forwarded-ProtoEl encabezado de solicitud X-Forwarded-Proto ayuda a identificar el protocolo (HTTP o HTTPS) queun cliente utiliza para conectarse al balanceador de carga. Los logs de acceso al servidor contienenúnicamente el protocolo que se utiliza entre el servidor y el balanceador de carga; sin embargo, nocontienen información sobre el protocolo utilizado entre el cliente y el balanceador de carga. Paradeterminar el protocolo utilizado entre el cliente y el balanceador de carga, utilice el encabezado desolicitud X-Forwarded-Proto. Elastic Load Balancing almacena el protocolo utilizado entre el cliente y elbalanceador de carga en el encabezado de solicitud X-Forwarded-Proto y se lo pasa al servidor.
La aplicación o el sitio web pueden utilizar el protocolo almacenado en el encabezado de solicitud X-Forwarded-Proto para generar una respuesta que redirija a la URL correspondiente.
El encabezado de solicitud X-Forwarded-Proto tiene el siguiente formato:
X-Forwarded-Proto: originatingProtocol
El siguiente ejemplo contiene un encabezado de solicitud X-Forwarded-Proto correspondiente a unasolicitud originada en el cliente como solicitud HTTPS:
X-Forwarded-Proto: https
X-Forwarded-PortEl encabezado de solicitud X-Forwarded-Port ayuda a identificar el puerto que el cliente utiliza paraconectarse al balanceador de carga.
39
Elastic Load Balancing Classic Load BalancersCertificados SSL/TLS
Agentes de escucha HTTPS paraClassic Load Balancer
Puede crear un balanceador de carga que utilice el protocolo SSL/TLS con conexiones cifradas (loque también se conoce como descarga de SSL). Esta característica permite cifrar el tráfico entre elbalanceador de carga y los clientes que inician sesiones HTTPS, así como en las conexiones que seestablecen entre el balanceador de carga y las instancias EC2.
Elastic Load Balancing utiliza configuraciones de negociación de Capa de conexión segura (SSL), lo quese conoce como políticas de seguridad, para negociar las conexiones entre los clientes y el balanceadorde carga. Si utiliza HTTPS/SSL para sus conexiones frontend, puede aplicar una política de seguridadpredefinida o una política de seguridad personalizada. Para ello, debe implementar un certificado SSL en elbalanceador de carga. El balanceador de carga usará este certificado para terminar la conexión y descifrarlas solicitudes de los clientes antes de enviárselas a las instancias. Con las conexiones backend, siemprese utiliza la política de seguridad predeterminada. Si lo desea, también puede habilitar la autenticación delas instancias.
Elastic Load Balancing no admite la Indicación de nombre de servidor (SNI) en el balanceador de carga.En su lugar, puede utilizar una de las siguientes alternativas:
• Implemente un certificado en el balanceador de carga y agregue un nombre alternativo del firmante(SAN) para cada sitio web adicional. Los SAN le permiten proteger varios nombres de host con un únicocertificado. Póngase en contacto con su proveedor de certificados para obtener más información sobre elnúmero de SAN admitidos por cada certificado y sobre cómo agregarlo o eliminarlos.
• Utilice agentes de escucha TCP en el puerto 443 de las conexiones frontend y backend. El balanceadorde carga transfiere la solicitud sin modificar el certificado de SNI. Puede administrar la terminaciónHTTPS desde la instancia EC2.
Contenido• Certificados SSL/TLS para Classic Load Balancer (p. 40)• Configuraciones de negociación SSL para Classic Load Balancer (p. 41)• Crear un Classic Load Balancer con un agente de escucha HTTPS (p. 47)• Configurar un agente de escucha HTTPS para Classic Load Balancer (p. 61)• Reemplazar el certificado SSL de Classic Load Balancer (p. 64)• Actualizar la configuración de la negociación SSL de Classic Load Balancer (p. 66)
Certificados SSL/TLS para Classic Load BalancerSi utiliza HTTPS (SSL o TLS) con el agente de escucha frontend, debe implementar un certificado SSL/TLS en el balanceador de carga. El balanceador de carga usará el certificado para terminar la conexión ydescifrar las solicitudes de los clientes antes de enviarlas a las instancias.
Los protocolos TLS y SSL utilizan un certificado X.509 (certificado de servidor SSL/TLS) para autenticarla aplicación cliente y la aplicación backend. Un certificado X.509 es un formulario de identificación digitalemitido por una entidad de certificación (CA) y contiene información de identificación, un periodo devalidez, una clave pública, un número de serie y la firma digital del emisor.
40
Elastic Load Balancing Classic Load BalancersCrear un certificado SSL/TLS con AWS Certificate Manager
Puede crear un certificado utilizando AWS Certificate Manager o una herramienta que admita losprotocolos SSL y TLS, como OpenSSL. Podrá especificar este certificado cuando cree o actualice unagente de escucha HTTPS para el balanceador de carga. Al crear un certificado para utilizarlo con elbalanceador de carga, debe especificar un nombre de dominio.
Crear un certificado SSL/TLS con AWS CertificateManagerLe recomendamos que utilice AWS Certificate Manager (ACM) para crear o importar certificados enel balanceador de carga. ACM se integra con Elastic Load Balancing lo que le permite implementar elcertificado en el balanceador de carga. Para poder implementar un certificado en el balanceador de carga,el certificado debe estar en la misma región que el balanceador de carga. Para obtener más información,consulte Request a Certificate o Importing Certificates en la Guía del usuario de AWS Certificate Manager.
Para permitir que un usuario de IAM pueda implementar el certificado en el balanceador de carga a travésde Consola de administración de AWS, debe permitir el acceso a la acción de API ListCertificatesde ACM. Para obtener más información, consulte Listing Certificates en la Guía del usuario de AWSCertificate Manager.
Configuraciones de negociación SSL para ClassicLoad Balancer
Elastic Load Balancing utiliza una configuración de negociación de Capa de conexión segura (SSL), lo quese conoce como política de seguridad, para negociar las conexiones SSL entre un cliente y el balanceadorde carga. Una política de seguridad es una combinación de protocolos SSL, cifrados SSL y la opción depreferencia del orden del servidor. Para obtener más información acerca de cómo configurar una conexiónSSL para el balanceador de carga, consulte Agentes de escucha para el Classic Load Balancer (p. 34).
Contenido• Políticas de seguridad (p. 41)• Protocolos SSL (p. 42)• Preferencia del orden del servidor (p. 42)• Cifrados SSL (p. 42)• Políticas de seguridad SSL predefinidas para Classic Load Balancer (p. 45)
Políticas de seguridadUna política de seguridad determina qué cifrados y protocolos se admiten durante las negociacionesSSL entre un cliente y un balanceador de carga. Puede configurar Classic Load Balancer para que utilicepolíticas de seguridad predefinidas o personalizadas.
Tenga en cuenta que un certificado proporcionado por AWS Certificate Manager (ACM) contiene unaclave pública RSA. Por tanto, si utiliza un certificado proporcionado por ACM, debe incluir en la política deseguridad un cifrado que utilice RSA; de lo contrario, la conexión TLS fallará.
Políticas de seguridad predefinidas
Los nombres de la versión más reciente de las políticas de seguridad predefinidas contienen informaciónsobre el año y el mes de lanzamiento. Por ejemplo, la política de seguridad predefinida que se utiliza deforma predeterminada es ELBSecurityPolicy-2016-08. Siempre que se publica una nueva política deseguridad predefinida, se puede actualizar la configuración para utilizarla.
41
Elastic Load Balancing Classic Load BalancersProtocolos SSL
Para obtener información sobre los protocolos y cifrados habilitados para las políticas de seguridadpredefinidas, consulte Políticas de seguridad SSL predefinidas (p. 45).
Políticas de seguridad personalizadas
Puede crear una configuración de negociación personalizada con los cifrados y protocolos que necesite.Por ejemplo, es posible que algunos estándares de conformidad y seguridad (como PCI y SOC) necesitenun conjunto específico de protocolos y cifrados que garanticen que se cumplen los estándares deseguridad. En estos casos, puede crear una política de seguridad personalizada que se ajuste a estosestándares.
Para obtener información sobre la creación de una política de seguridad personalizada, consulte Actualizarla configuración de la negociación SSL de Classic Load Balancer (p. 66).
Protocolos SSLEl protocolo SSL establece una conexión segura entre un cliente y un servidor, y garantiza que todos losdatos transferidos entre el cliente y el balanceador de carga son privados.
Capa de conexión segura (SSL) y Transport Layer Security (TLS) son protocolos criptográficos que seusan para cifrar los datos confidenciales a través de redes que no son seguras, como Internet. El protocoloTLS es una versión más reciente del protocolo SSL. En la documentación de Elastic Load Balancing,cuando hablamos de "protocolo SSL", nos referimos tanto a SSL como TLS.
Protocolos SSL
Las versiones del protocolo SSL admitidas son:
• TLS 1.2• TLS 1.1• TLS 1.0• SSL 3.0
Protocolo SSL en desuso
Si anteriormente habilitó el protocolo SSL 2.0 en una política personalizada, le recomendamosque actualice la política de seguridad a la política de seguridad predefinida que se usa de formapredeterminada.
Preferencia del orden del servidorElastic Load Balancing admite la opción de preferencia del orden del servidor para negociar conexionesentre un cliente y un balanceador de carga. Durante el proceso de negociación de conexiones SSL, elcliente y el balanceador de carga presentan una lista con los cifrados y protocolos que admite cada uno pororden de preferencia. De forma predeterminada, el cifrado que se va a seleccionar para la conexión SSLserá el primero de la lista del cliente que coincida con uno de los cifrados del balanceador de carga. Si elbalanceador de carga está configurado para admitir la preferencia del orden del servidor, seleccionará elprimer cifrado de su lista que se encuentre también en la lista del cliente. De este modo, el balanceadorde carga determina el cifrado que se utiliza con la conexión SSL. Si no se admite la preferencia del ordendel servidor, el orden de cifrados presentado por el cliente se utiliza para negociar las conexiones entre elcliente y el balanceador de carga.
Cifrados SSLUn cifrado SSL es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Losprotocolos SSL usan diversos cifrados SSL para cifrar los datos a través de Internet.
42
Elastic Load Balancing Classic Load BalancersCifrados SSL
Tenga en cuenta que un certificado proporcionado por AWS Certificate Manager (ACM) contiene unaclave pública RSA. Por tanto, si utiliza un certificado proporcionado por ACM, debe incluir en la política deseguridad un cifrado que utilice RSA; de lo contrario, la conexión TLS fallará.
Elastic Load Balancing admite los siguientes cifrados para usarlos con Classic Load Balancer. Las políticasSSL predefinidas utilizan un subconjunto de estos cifrados. Todos estos cifrados están disponibles parautilizarse en las políticas personalizadas. Le recomendamos que utilice solo los cifrados incluidos en lapolítica de seguridad predeterminada (están marcados con un asterisco). Muchos de los demás cifrados noson seguros y, si los utiliza, deberá hacerlo bajo su propia responsabilidad.
Cifrados
• ECDHE-ECDSA-AES128-GCM-SHA256 *• ECDHE-RSA-AES128-GCM-SHA256 *• ECDHE-ECDSA-AES128-SHA256 *• ECDHE-RSA-AES128-SHA256 *• ECDHE-ECDSA-AES128-SHA *• ECDHE-RSA-AES128-SHA *• DHE-RSA-AES128-SHA• ECDHE-ECDSA-AES256-GCM-SHA384 *• ECDHE-RSA-AES256-GCM-SHA384 *• ECDHE-ECDSA-AES256-SHA384 *• ECDHE-RSA-AES256-SHA384 *• ECDHE-RSA-AES256-SHA *• ECDHE-ECDSA-AES256-SHA *• AES128-GCM-SHA256 *• AES128-SHA256 *• AES128-SHA *• AES256-GCM-SHA384 *• AES256-SHA256 *• AES256-SHA *• DHE-DSS-AES128-SHA• CAMELLIA128-SHA• EDH-RSA-DES-CBC3-SHA• DES-CBC3-SHA• ECDHE-RSA-RC4-SHA• RC4-SHA• ECDHE-ECDSA-RC4-SHA• DHE-DSS-AES256-GCM-SHA384• DHE-RSA-AES256-GCM-SHA384• DHE-RSA-AES256-SHA256• DHE-DSS-AES256-SHA256• DHE-RSA-AES256-SHA• DHE-DSS-AES256-SHA• DHE-RSA-CAMELLIA256-SHA• DHE-DSS-CAMELLIA256-SHA• CAMELLIA256-SHA• EDH-DSS-DES-CBC3-SHA
43
Elastic Load Balancing Classic Load BalancersCifrados SSL
• DHE-DSS-AES128-GCM-SHA256• DHE-RSA-AES128-GCM-SHA256• DHE-RSA-AES128-SHA256• DHE-DSS-AES128-SHA256• DHE-RSA-CAMELLIA128-SHA• DHE-DSS-CAMELLIA128-SHA• ADH-AES128-GCM-SHA256• ADH-AES128-SHA• ADH-AES128-SHA256• ADH-AES256-GCM-SHA384• ADH-AES256-SHA• ADH-AES256-SHA256• ADH-CAMELLIA128-SHA• ADH-CAMELLIA256-SHA• ADH-DES-CBC3-SHA• ADH-DES-CBC-SHA• ADH-RC4-MD5• ADH-SEED-SHA• DES-CBC-SHA• DHE-DSS-SEED-SHA• DHE-RSA-SEED-SHA• EDH-DSS-DES-CBC-SHA• EDH-RSA-DES-CBC-SHA• IDEA-CBC-SHA• RC4-MD5• SEED-SHA• DES-CBC3-MD5• DES-CBC-MD5• RC2-CBC-MD5• PSK-AES256-CBC-SHA• PSK-3DES-EDE-CBC-SHA• KRB5-DES-CBC3-SHA• KRB5-DES-CBC3-MD5• PSK-AES128-CBC-SHA• PSK-RC4-SHA• KRB5-RC4-SHA• KRB5-RC4-MD5• KRB5-DES-CBC-SHA• KRB5-DES-CBC-MD5• EXP-EDH-RSA-DES-CBC-SHA• EXP-EDH-DSS-DES-CBC-SHA• EXP-ADH-DES-CBC-SHA• EXP-DES-CBC-SHA• EXP-RC2-CBC-MD5• EXP-KRB5-RC2-CBC-SHA• EXP-KRB5-DES-CBC-SHA
44
Elastic Load Balancing Classic Load BalancersPolíticas de seguridad SSL predefinidas
• EXP-KRB5-RC2-CBC-MD5• EXP-KRB5-DES-CBC-MD5• EXP-ADH-RC4-MD5• EXP-RC4-MD5• EXP-KRB5-RC4-SHA• EXP-KRB5-RC4-MD5
* Estos son lo cifrados recomendados incluidos en la política de seguridad predeterminada.
Políticas de seguridad SSL predefinidas para ClassicLoad BalancerLe recomendamos que utilice siempre la política de seguridad predefinida:ELBSecurityPolicy-2016-08. Para obtener más información sobre la actualización de la configuraciónde la negociación SSL del agente de escucha HTTPS/SSL, consulte Actualizar la configuración de lanegociación SSL de Classic Load Balancer (p. 66).
Los cifrados basados en RSA y DSA son específicos del algoritmo de firma que se utiliza para crear uncertificado SSL. Asegúrese de crear un certificado SSL utilizando un algoritmo de firma basado en loscifrados que estén habilitados para su política de seguridad.
En la siguiente tabla se describen las políticas de seguridad predefinidas más recientes, junto con losprotocolos y cifrados SSL habilitados. Si selecciona una política que tenga habilitada la preferencia delorden del servidor, el balanceador de carga utilizará los cifrados en el orden en el que se especifiquenen esta tabla para negociar las conexiones entre el cliente y el balanceador de carga. De lo contrario, elbalanceador de carga utilizará los cifrados en el orden en el que los presenta el cliente.
Política de seguridad 2016-08 TLS-1-1-2017-01 TLS-1-2-2017-01 2015-05 2015-03 2015-02
Protocolos SSL
Protocolo-TLSv1 ♦ ♦ ♦ ♦
Protocolo-TLSv1.1 ♦ ♦ ♦ ♦ ♦
Protocolo-TLSv1.2 ♦ ♦ ♦ ♦ ♦ ♦
Opciones de SSL
Preferencia del orden delservidor
♦ ♦ ♦ ♦ ♦ ♦
Cifrados SSL
ECDHE-ECDSA-AES128-GCM-SHA256
♦ ♦ ♦ ♦ ♦ ♦
ECDHE-RSA-AES128-GCM-SHA256
♦ ♦ ♦ ♦ ♦ ♦
ECDHE-ECDSA-AES128-SHA256
♦ ♦ ♦ ♦ ♦ ♦
ECDHE-RSA-AES128-SHA256
♦ ♦ ♦ ♦ ♦ ♦
45
Elastic Load Balancing Classic Load BalancersPolíticas de seguridad SSL predefinidas
Política de seguridad 2016-08 TLS-1-1-2017-01 TLS-1-2-2017-01 2015-05 2015-03 2015-02
ECDHE-ECDSA-AES128-SHA
♦ ♦ ♦ ♦ ♦
ECDHE-RSA-AES128-SHA
♦ ♦ ♦ ♦ ♦
DHE-RSA-AES128-SHA ♦ ♦
ECDHE-ECDSA-AES256-GCM-SHA384
♦ ♦ ♦ ♦ ♦ ♦
ECDHE-RSA-AES256-GCM-SHA384
♦ ♦ ♦ ♦ ♦ ♦
ECDHE-ECDSA-AES256-SHA384
♦ ♦ ♦ ♦ ♦ ♦
ECDHE-RSA-AES256-SHA384
♦ ♦ ♦ ♦ ♦ ♦
ECDHE-RSA-AES256-SHA
♦ ♦ ♦ ♦ ♦
ECDHE-ECDSA-AES256-SHA
♦ ♦ ♦ ♦ ♦
AES128-GCM-SHA256 ♦ ♦ ♦ ♦ ♦ ♦
AES128-SHA256 ♦ ♦ ♦ ♦ ♦ ♦
AES128-SHA ♦ ♦ ♦ ♦ ♦
AES256-GCM-SHA384 ♦ ♦ ♦ ♦ ♦ ♦
AES256-SHA256 ♦ ♦ ♦ ♦ ♦ ♦
AES256-SHA ♦ ♦ ♦ ♦ ♦
DHE-DSS-AES128-SHA ♦ ♦
DES-CBC3-SHA ♦ ♦
Políticas de seguridad predefinidas
A continuación, se incluyen las políticas de seguridad predefinidas para Classic Load Balancer. Paradescribir una política predefinida, utilice el comando describe-load-balancer-policies.
• ELBSecurityPolicy-2016-08• ELBSecurityPolicy-TLS-1-2-2017-01• ELBSecurityPolicy-TLS-1-1-2017-01• ELBSecurityPolicy-2015-05• ELBSecurityPolicy-2015-03• ELBSecurityPolicy-2015-02• ELBSecurityPolicy-2014-10• ELBSecurityPolicy-2014-01• ELBSecurityPolicy-2011-08
46
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga HTTPS
• ELBSample-ELBDefaultNegotiationPolicy o ELBSample-ELBDefaultCipherPolicy• ELBSample-OpenSSLDefaultNegotiationPolicy o ELBSample-OpenSSLDefaultCipherPolicy
Crear un Classic Load Balancer con un agente deescucha HTTPS
Un balanceador de carga toma las solicitudes de los clientes y las distribuye a través de las instancias EC2que están registradas con el balanceador de carga.
Puede crear un balanceador de carga capaz de detectar solicitudes en los puertos HTTP (80) y HTTPS(443). Si especifica que el agente de escucha HTTPS debe enviar las solicitudes a las instancias através del puerto 80, el balanceador de carga terminará las solicitudes y la comunicación que tengancomo destino instancias que no estén cifradas. Si el agente de escucha HTTPS envía las solicitudes alas instancias a través del puerto 443, se cifrará la comunicación entre el balanceador de carga y lasinstancias.
Si el balanceador de carga utiliza una conexión cifrada para comunicarse con las instancias, es posiblehabilitar la autenticación de las instancias. De este modo, se asegura de que el balanceador de cargasolamente se comunica con una instancia si su clave pública coincide con la clave especificada en elbalanceador de carga para este fin.
Si desea obtener más información acerca de cómo incorporar un agente de escucha HTTPS a unbalanceador de carga existente, consulte Configurar un agente de escucha HTTPS para Classic LoadBalancer (p. 61).
Contenido• Requisitos previos (p. 47)• Crear un balanceador de carga HTTPS/SSL a través de la consola (p. 48)• Crear un balanceador de carga HTTPS/SSL a través de AWS CLI (p. 53)
Requisitos previosAntes de empezar, asegúrese de que cumple los siguientes requisitos:
• Realice los pasos que se indican en Preparar la VPC y las instancias EC2 (p. 15).• Lance las instancias EC2 que desee registrar con el balanceador de carga. Los grupos de seguridad de
estas instancias deben permitir el tráfico procedente del balanceador de carga.• Las instancias EC2 deben responder al destino de la comprobación de estado con el código de estado
HTTP 200. Para obtener más información, consulte Configurar comprobaciones de estado para ClassicLoad Balancer (p. 16).
• Si tiene previsto habilitar la opción keep-alive en las instancias EC2, le recomendamos que establezcael valor de keep-alive al menos en el valor del período de inactividad del balanceador de carga. Sidesea asegurarse de que el balanceador de carga es el que se encarga de cerrar las conexionescon la instancia, asegúrese de que el valor definido en la instancia para el tiempo de keep-alive esmayor que el período de inactividad del balanceador de carga. Para obtener más información, consulteConfiguración del tiempo de inactividad de conexión del Classic Load Balancer (p. 71).
• Si crea un agente de escucha seguro, debe implementar un certificado de servidor SSL en elbalanceador de carga. El balanceador de carga utiliza el certificado para terminar y descifrar lassolicitudes antes de enviarlas a las instancias. Si no dispone de un certificado SSL, puede crear uno.Para obtener más información, consulte Certificados SSL/TLS para Classic Load Balancer (p. 40).
47
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de la consola
Crear un balanceador de carga HTTPS/SSL a travésde la consolaPara crear un balanceador de carga HTTPS/SSL, complete las siguientes tareas.
Tareas• Paso 1: Definir el balanceador de carga (p. 48)• Paso 2: Asignar grupos de seguridad al balanceador de carga de una VPC (p. 49)• Paso 3: Configurar ajustes de seguridad (p. 50)• Paso 4: Configurar las comprobaciones de estado (p. 51)• Paso 5: Registrar instancias EC2 con el balanceador de carga (p. 52)• Paso 6: Agregar etiquetas al balanceador de carga (opcional) (p. 52)• Paso 7: Crear y probar el balanceador de carga (p. 52)• Paso 8: Eliminar el balanceador de carga (opcional) (p. 53)
Paso 1: Definir el balanceador de cargaEn primer lugar, proporcione algunos datos básicos sobre la configuración del balanceador de carga, comoun nombre, una red y uno o varios agentes de escucha.
Un agente de escucha es un proceso que comprueba solicitudes de conexión. El agente de escucha seconfigura con un protocolo y un puerto para las conexiones frontend (entre el cliente y el balanceadorde carga) y otro protocolo y otro puerto para las conexiones backend (entre el balanceador de carga yla instancia). Para obtener más información sobre la configuración de los puertos, los protocolos y losagentes de escucha admitidos en Elastic Load Balancing, consulte Agentes de escucha para el ClassicLoad Balancer (p. 34).
En este ejemplo, va a configurar dos agentes de escucha para el balanceador de carga. El primer agentede escucha acepta solicitudes HTTP en el puerto 80 y las envía a las instancias a través del puerto 80mediante HTTP. El segundo agente de escucha acepta solicitudes HTTPS en el puerto 443 y las envía alas instancias mediante HTTP a través del puerto 80 (o mediante HTTPS a través del puerto 443 si deseaconfigurar la autenticación de instancias backend).
Para definir el balanceador de carga
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Elija Create Load Balancer.4. En Select load balancer type (Seleccionar tipo de balanceador de carga), seleccione Classic Load
Balancer.5. En Load Balancer name, escriba el nombre del balanceador de carga.
El nombre del Classic Load Balancer debe ser único en el conjunto de Classic Load Balancers de laregión, puede tener un máximo de 32 caracteres, solo puede contener caracteres alfanuméricos yguiones y no puede comenzar ni finalizar por un guion.
6. En Create LB inside, seleccione la misma red que seleccionó para las instancias: EC2-Classic o unaVPC específica.
7. [Default VPC] Si seleccionó una VPC predeterminada y quiere elegir las subredes para el balanceadorde carga, seleccione Enable advanced VPC configuration.
8. En Listener Configuration (Configuración del agente de escucha), deje el agente de escuchapredeterminado y elija Add (Agregar) para añadir otro agente de escucha. En Load Balancer Protocol
48
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de la consola
(Protocolo de balanceador de carga) para el nuevo agente de escucha, seleccione HTTPS (SecureHTTP) (HTTPS (HTTP seguro)). Esto actualiza Load Balancer Port (Puerto de balanceador de carga),Instance Protocol (Protocolo de instancia) y Instance Port (Puerto de instancia).
De forma predeterminada, Instance Protocol (Protocolo de instancia) es HTTP e Instance Port(Protocolo de instancia) es 80.
Si desea configurar la autenticación de instancias back-end (posteriormente, en Paso 3: Configurarajustes de seguridad (p. 50)), cambie el protocolo de instancia a HTTPS (Secure HTTP) (HTTPS(HTTP seguro)). Esto también actualizará Instance Port (Puerto de instancia).
9. [EC2-VPC] En Available subnets (Subredes disponibles), seleccione al menos una subred disponiblecon el icono de adición. Las subredes se situarán bajo Selected subnets (Subredes seleccionadas).Para mejorar la disponibilidad de su balanceador de carga, seleccione subredes de varias zonas dedisponibilidad.
Note
Si seleccionó EC2-Classic como red o tiene una VPC predeterminada pero no seleccionóEnable advanced VPC configuration (Habilitar configuración de VPC avanzada), no verá lainterfaz de usuario para seleccionar subredes.
Puede agregar, como máximo, una subred por cada zona de disponibilidad. Si selecciona unasegunda subred en una zona de disponibilidad en la que ya hay seleccionada una subred, la nuevasubred que elija sustituirá a la que está seleccionada actualmente en esa zona de disponibilidad.
10. Elija Next: Assign Security Groups (Siguiente: Asignar grupos de seguridad).
Paso 2: Asignar grupos de seguridad al balanceador de carga deuna VPCSi seleccionó una VPC como red, debe asignar al balanceador de carga un grupo de seguridad quepermita el tráfico entrante en los puertos especificados para el balanceador de carga y las comprobacionesde estado del balanceador de carga.
49
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de la consola
Note
Si seleccionó EC2-Classic como red, puede continuar en el siguiente paso. De formapredeterminada, Elastic Load Balancing proporciona un grupo de seguridad para losbalanceadores de carga de EC2-Classic.
Para asignar un grupo de seguridad al balanceador de carga
1. En la página Assign Security Groups (Asignar grupos de seguridad), seleccione Create a new securitygroup (Crear un grupo de seguridad nuevo).
2. Escriba un nombre y una descripción para el grupo de seguridad o deje el nombre y la descripciónpredeterminados. Este nuevo grupo de seguridad contiene una regla que permite el tráfico a través delos puertos que se han configurado para usarlos con el balanceador de carga.
3. Elija Next: Configure Security Settings.
Paso 3: Configurar ajustes de seguridadSi utiliza HTTPS o SSL con el agente de escucha frontend, debe implementar un certificado SSL en elbalanceador de carga. El balanceador de carga usará el certificado para terminar la conexión y descifrarlas solicitudes de los clientes antes de enviarlas a las instancias.
Asimismo, debe especificar una política de seguridad. Elastic Load Balancing proporciona políticas deseguridad que tienen configuraciones de negociación SSL predefinidas, pero también puede crear unapolítica de seguridad personalizada.
Si configuró HTTPS/SSL en la conexión backend, puede habilitar la autenticación de las instancias.
Para establecer la configuración de seguridad
1. En , Select Certificate y luego realice una de las operaciones siguientes:
• Si creó o importó el certificado a través de AWS Certificate Manager, seleccione Choose an existingcertificate from AWS Certificate Manager (ACM) y, a continuación, seleccione el certificado deCertificate.
• Si importó un certificado a través de IAM, seleccione Choose an existing certificate from AWSIdentity and Access Management (IAM) (Elegir un certificado existente de AWS Identity and AccessManagement (IAM)) y, a continuación, seleccione su certificado en Certificate name (Nombre decertificado).
• Si tiene un certificado que importar, pero ACM no está disponible en su región, seleccione Uploada new SSL Certificate to AWS Identity and Access Management (IAM) (Cargar un nuevo certificadoSSL en AWS Identity and Access Management (IAM)). Escriba el nombre del certificado. En PrivateKey (Clave privada), copie y pegue el contenido del archivo de clave privada (con codificaciónPEM). En Public Key Certificate, copie y pegue el contenido del archivo de certificado de clavepública (con codificación PEM). En Certificate Chain, copie y pegue el contenido del archivo de
50
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de la consola
cadena del certificado (con codificación PEM), a no ser que utilice un certificado autofirmado y nosea importante que los navegadores acepten implícitamente dicho certificado.
2. En Select a Cipher (Seleccionar un cifrado), verifique que la opción Predefined Security Policy(Política de seguridad predefinida) esté seleccionada y establecida en ELBSecurityPolicy-2016-08.Le recomendamos que utilice siempre la política de seguridad predefinida más reciente. Si necesitautilizar otra política de seguridad predefinida o crear una política personalizada, consulte Actualizar laconfiguración de negociación SSL (p. 67).
3. (Opcional) Si ha configurado el agente de escucha HTTPS para que se comunique con las instanciasa través de una conexión cifrada, tiene la opción de configurar la autenticación de las instancias.
a. En Backend Certificate (Certificado back-end), seleccione Enable backend authentication(Habilitar autenticación back-end).
Note
Si no ve la sección Backend Certificate (Certificado back-end), vuelva a ListenerConfiguration (Configuración del agente de escucha) y seleccione HTTPS (SecureHTTP) (HTTPS (HTTP seguro)) para Instance Protocol (Protocolo de instancia).
b. En Certificate name (Nombre de certificado), escriba el nombre del certificado de clave pública.c. En Certificate Body (pem encoded), (Cuerpo del certificado (certificado en Pem)), copie y pegue el
contenido del certificado. El balanceador de carga solamente se comunica con una instancia si suclave pública coincide con esta clave.
d. Para agregar otro certificado, elija Add another backend certificate (Agregar otro certificado back-end).
4. Elija Next: Configure Health Check (Siguiente: Configurar comprobación de estado).
Paso 4: Configurar las comprobaciones de estadoElastic Load Balancing comprueba automáticamente el estado de las instancias EC2 registradas en elbalanceador de carga. Si Elastic Load Balancing encuentra una instancia con un estado incorrecto, dejade enviar tráfico a dicha instancia y lo redirecciona a las instancias que tienen un estado correcto. Paraobtener más información sobre la configuración de las comprobaciones de estado, consulte Configurarcomprobaciones de estado para Classic Load Balancer (p. 16).
Para configurar comprobaciones de estado para sus instancias
1. En la página Configure Health Check (Configurar comprobación de estado), seleccione un protocolode ping y un puerto de ping. Las instancias EC2 deben aceptar el tráfico especificado en el puerto deping indicado.
2. En Ping Path, sustituya el valor predeterminado por una barra diagonal sencilla ("/"). Esto le indicaa Elastic Load Balancing que envíe solicitudes de comprobación de estado a la página de iniciopredeterminada del servidor web; por ejemplo, index.html.
51
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de la consola
3. No cambie ningún otro valor predeterminado.4. Elija Next: Add EC2 Instances (Siguiente: Agregar instancias EC2).
Paso 5: Registrar instancias EC2 con el balanceador de cargaEl balanceador de carga distribuye el tráfico entre las instancias que están registradas en el mismo. Puedeseleccionar las instancias EC2 de una única zona de disponibilidad o de varias zonas de disponibilidadde la misma región que la del balanceador de carga. Para obtener más información, consulte Instanciasregistradas para Classic Load Balancer (p. 15).
Note
Al registrar una instancia con una interfaz de red elástica" (ENI), el balanceador de cargadirecciona el tráfico a la dirección IP principal de la interfaz principal (eth0) de la instancia.
Para registrar instancias EC2 con el balanceador de carga
1. En la página Add EC2 Instances (Agregar instancias EC2), seleccione las instancias que registrar consu balanceador de carga.
2. Mantenga habilitados el balanceo de carga entre zonas y el vaciado de conexiones.3. Elija Next: Add Tags.
Paso 6: Agregar etiquetas al balanceador de carga (opcional)Puede etiquetar su balanceador de carga o continuar en el paso siguiente.
Para agregar etiquetas al balanceador de carga
1. En la página Add Tags, especifique una clave y un valor para la etiqueta.2. Para agregar otra etiqueta, seleccione Create Tag y especifique una clave y un valor para la etiqueta.3. Una vez que haya terminado la adición de etiquetas, seleccione Review and Create.
Paso 7: Crear y probar el balanceador de cargaAntes de crear el balanceador de carga, revise la configuración que ha seleccionado. Después de crearlo,puede comprobar si el tráfico se envía a las instancias EC2.
Para crear y probar el balanceador de carga
1. En la página Review, revise la configuración. Si necesita realizar cambios, elija el enlacecorrespondiente para modificar la configuración.
2. Seleccione Create.3. Una vez que se le notifique que el balanceador de carga se ha creado correctamente, elija Close.4. Seleccione el nuevo balanceador de carga.5. En la pestaña Description (Descripción), compruebe la fila Status (Estado). Si se indica que algunas
de las instancias no están operativas, es probable que se deba a que el proceso de registro aún está
52
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de AWS CLI
en curso. Para obtener más información, consulte Solución de problemas del Classic Load Balancer:registro de instancias (p. 121).
6. (Opcional) Cuando al menos una de las instancias EC2 esté operativa, puede probar elbalanceador de carga. Copie la cadena de DNS name (Nombre DNS) (por ejemplo, my-load-balancer-1234567890.us-west-2.elb.amazonaws.com) y péguela en el campo de direccionesde un navegador web conectado a Internet. Si el balanceador de carga está en ejecución, consulte lapágina predeterminada del servidor.
Paso 8: Eliminar el balanceador de carga (opcional)Tan pronto como un balanceador de carga está disponible, se le facturará por cada hora u hora parcial quese mantenga en ejecución. Cuando ya no necesite un balanceador de carga, puede eliminarlo. Tan prontocomo se elimina el balanceador de carga, dejan de acumularse cargos por él.
Para eliminar el balanceador de carga
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. Elija Actions, Delete.5. Cuando se le indique que confirme, seleccione Yes, Delete.6. (Opcional) Cuando se elimina un balanceador de carga, las instancias EC2 asociadas con él siguen
en ejecución, por lo que se facturará cada hora y fracción de hora de procesamiento. Para obtenerinformación acerca de cómo parar o terminar las instancias, consulte Stop and Start Your Instance oTerminate Your Instance en la Guía del usuario de Amazon EC2 para instancias de Linux.
Crear un balanceador de carga HTTPS/SSL a travésde AWS CLISiga estas instrucciones para crear un balanceador de carga HTTPS/SSL con AWS CLI.
Tareas• Paso 1: Configurar los agentes de escucha (p. 53)• Paso 2: Configurar la política de seguridad SSL (p. 54)• Paso 3: Configurar la autenticación de instancias backend (opcional) (p. 58)• Paso 4: Configurar comprobaciones de estado (opcional) (p. 59)• Paso 5: Registrar instancias EC2 (p. 60)• Paso 6: Comprobar las instancias (p. 60)• Paso 7: Eliminar el balanceador de carga (opcional) (p. 61)
Paso 1: Configurar los agentes de escuchaUn agente de escucha es un proceso que comprueba solicitudes de conexión. El agente de escucha seconfigura con un protocolo y un puerto para las conexiones frontend (entre el cliente y el balanceadorde carga) y otro protocolo y otro puerto para las conexiones backend (entre el balanceador de carga yla instancia). Para obtener más información sobre la configuración de los puertos, los protocolos y losagentes de escucha admitidos en Elastic Load Balancing, consulte Agentes de escucha para el ClassicLoad Balancer (p. 34).
53
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de AWS CLI
En este ejemplo, va a configurar dos agentes de escucha del balanceador de carga especificando lospuertos y los protocolos que se van a usar para las conexiones frontend y backend. El primer agente deescucha acepta solicitudes HTTP en el puerto 80 y envía solicitudes a las instancias a través del puerto80 mediante HTTP. El segundo agente de escucha acepta solicitudes HTTPS en el puerto 443 y envíasolicitudes de las instancias mediante HTTP a través del puerto 80.
Como el segundo agente de escucha utiliza HTTPS para la conexión frontend, debe implementar uncertificado de servidor SSL en el balanceador de carga. El balanceador de carga utiliza el certificado paraterminar y descifrar las solicitudes antes de enviarlas a las instancias.
Si desea configurar agentes de escucha para su balanceador de carga
1. Obtenga el nombre de recurso de Amazon (ARN) del certificado SSL. Por ejemplo:
ACM
arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
IAM
arn:aws:iam::123456789012:server-certificate/my-server-certificate
2. Utilice el siguiente comando create-load-balancer para configurar el balanceador de carga con dosagentes de escucha:
aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=http,LoadBalancerPort=80,InstanceProtocol=http,InstancePort=80" "Protocol=https,LoadBalancerPort=443,InstanceProtocol=http,InstancePort=80,SSLCertificateId="ARN" --availability-zones us-west-2a
A continuación se muestra un ejemplo de respuesta:
{ "DNSName": "my-loadbalancer-012345678.us-west-2.elb.amazonaws.com"}
3. (Optional) Utilice el siguiente comando describe-load-balancers para ver los detalles del balanceadorde carga:
aws elb describe-load-balancers --load-balancer-name my-load-balancer
Paso 2: Configurar la política de seguridad SSLPuede seleccionar una de las políticas de seguridad predefinidas o crear su propia política de seguridadpersonalizada. De lo contrario, Elastic Load Balancing configurará el balanceador de carga con la políticade seguridad predefinida ELBSecurityPolicy-2016-08, que es la predeterminada. Le recomendamosque utilice la política de seguridad predeterminada. Para obtener más información sobre las políticas deseguridad, consulte Configuraciones de negociación SSL para Classic Load Balancer (p. 41).
Para comprobar si el balanceador de carga está asociado a la política de seguridad predeterminada
Utilice el siguiente comando describe-load-balancers:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
54
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de AWS CLI
A continuación se muestra un ejemplo de respuesta. Observe que ELBSecurityPolicy-2016-08 estáasociada con el balanceador de carga en el puerto 443.
{ "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ]}
Si lo prefiere, puede configurar la política de seguridad SSL del balanceador de carga en lugar de utilizar lapredeterminada.
(Opcional) Para utilizar una política de seguridad SSL predefinida
1. Utilice el siguiente comando describe-load-balancer-policies para mostrar los nombres de las políticasde seguridad predefinidas:
aws elb describe-load-balancer-policies
Para obtener información sobre la configuración de las políticas de seguridad predefinidas, consultePolíticas de seguridad SSL predefinidas (p. 45).
2. Utilice el siguiente comando create-load-balancer-policy para crear una política de negociación SSLmediante una de las políticas de seguridad predefinidas que se describieron en el paso anterior:
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=predefined-policy
3. (Opcional) Utilice el siguiente comando describe-load-balancer-policies para comprobar que se hacreado la política:
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
55
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de AWS CLI
La respuesta incluye la descripción de la política.4. Utilice el siguiente comando set-load-balancer-policies-of-listener para habilitar la política en el puerto
443 del balanceador de carga:
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
Note
El comando set-load-balancer-policies-of-listener reemplaza el conjunto depolíticas que se aplican actualmente en el puerto del balanceador de carga especificado porel conjunto de políticas proporcionado. La lista --policy-names debería incluir todas laspolíticas que se van a habilitar. Si se omite una política que actualmente está habilitada, sedeshabilitará.
5. (Opcional) Utilice el siguiente comando describe-load-balancers para comprobar que la política estáhabilitada:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
En el siguiente ejemplo, se muestra que la política está habilitada en el puerto 443.
{ "LoadBalancerDescriptions": [ { .... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ]}
Cuando cree una política de seguridad personalizada, debe habilitar al menos un protocolo y un cifrado.Los cifrados DSA y RSA son específicos del algoritmo de firma y se utilizan para crear el certificado SSL.Si ya tiene un certificado SSL, asegúrese de habilitar el cifrado que se usó para crearlo. El nombre de
56
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de AWS CLI
la política personalizada no debe comenzar por ELBSecurityPolicy- ni ELBSample-, ya que estosprefijos están reservados para los nombres de las políticas de seguridad predefinidas.
(Opcional) Para utilizar una política de seguridad SSL personalizada
1. Utilice el comando create-load-balancer-policy para crear una política de negociación SSL medianteuna política de seguridad personalizada. Por ejemplo:
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=true
2. (Opcional) Utilice el siguiente comando describe-load-balancer-policies para comprobar que se hacreado la política:
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
La respuesta incluye la descripción de la política.3. Utilice el siguiente comando set-load-balancer-policies-of-listener para habilitar la política en el puerto
443 del balanceador de carga:
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
Note
El comando set-load-balancer-policies-of-listener reemplaza el conjunto depolíticas que se aplican actualmente en el puerto del balanceador de carga especificado porel conjunto de políticas proporcionado. La lista --policy-names debería incluir todas laspolíticas que se van a habilitar. Si se omite una política que actualmente está habilitada, sedeshabilitará.
4. (Opcional) Utilice el siguiente comando describe-load-balancers para comprobar que la política estáhabilitada:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
En el siguiente ejemplo, se muestra que la política está habilitada en el puerto 443.
{ "LoadBalancerDescriptions": [ { .... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "my-SSLNegotiation-policy" ]
57
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de AWS CLI
}, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ]}
Paso 3: Configurar la autenticación de instancias backend(opcional)Si configura HTTPS/SSL en la conexión backend, tiene la opción de configurar la autenticación de lasinstancias.
Cuando configure la autenticación de instancias backend, debe crear una política de clave pública.A continuación, utilizará esta política de clave pública para crear una política de autenticación de lasinstancias backend. Por último, configurará esta política de autenticación con el puerto de la instanciaestablecido para el protocolo HTTPS.
El balanceador de carga solamente se comunica con una instancia si la clave pública que la instanciapresenta al balanceador de carga coincide con una clave pública de la política de autenticación delbalanceador de carga.
Para configurar la autenticación de instancias backend
1. Utilice el siguiente comando para recuperar la clave pública:
openssl x509 -in your X509 certificate PublicKey -pubkey -noout
2. Utilice el siguiente comando create-load-balancer-policy para crear una política de clave pública:
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-PublicKey-policy \--policy-type-name PublicKeyPolicyType --policy-attributes AttributeName=PublicKey,AttributeValue=MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w 0BAQUFADCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZ WF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIw EAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5 jb20wHhcNMTEwNDI1MjA0NTIxWhcNMTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBh MCVVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBb WF6b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMx HzAdBgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wgZ8wDQYJKoZIhvcNAQE BBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ21uUSfwfEvySWtC2XADZ4nB+BLYgVI k60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9TrDHudUZg3qX4waLG5M43q7Wgc/MbQ ITxOUSQv7c7ugFFDzQGBzZswY6786m86gpEIbb3OhjZnzcvQAaRHhdlQWIMm2nr AgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4nUhVVxYUntneD9+h8Mg9q6q+auN KyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0FkbFFBjvSfpJIlJ00zbhNYS5f6Guo EDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTbNYiytVbZPQUQ5Yaxu2jXnimvw 3rrszlaEXAMPLE=
58
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de AWS CLI
Note
Para especificar un valor de clave pública para --policy-attributes, elimine la primera yúltima línea de la clave pública (las líneas que contienen "-----BEGIN PUBLIC KEY-----"y "-----END PUBLIC KEY-----"). AWS CLI no acepta caracteres de espacios vacíos en--policy-attributes.
3. Utilice el siguiente comando create-load-balancer-policy para crear una política de autenticación deinstancias backend con my-PublicKey-policy.
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-authentication-policy --policy-type-name BackendServerAuthenticationPolicyType --policy-attributes AttributeName=PublicKeyPolicyName,AttributeValue=my-PublicKey-policy
Si lo desea, también puede utilizar varias políticas de clave pública. El balanceador de carga pruebatodas las claves de una en una. Si la clave pública que presenta una instancia coincide con una deestas claves públicas, la instancia queda autenticada.
4. Utilice el siguiente comando set-load-balancer-policies-for-backend-server para establecer my-authentication-policy en el puerto de la instancia destinado a HTTPS. En este ejemplo, estepuerto es el 443.
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 443 --policy-names my-authentication-policy
5. (Opcional) Utilice el siguiente comando describe-load-balancer-policies para mostrar todas las políticasdel balanceador de carga:
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer
6. (Opcional) Utilice el siguiente comando describe-load-balancer-policies para ver los detalles de lapolítica:
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-names my-authentication-policy
Paso 4: Configurar comprobaciones de estado (opcional)Elastic Load Balancing comprueba periódicamente el estado de cada instancia EC2 registrada utilizandolas comprobaciones de estado configuradas. Si Elastic Load Balancing encuentra una instancia con unestado incorrecto, deja de enviar tráfico a dicha instancia y lo direcciona a las instancias que tienen unestado correcto. Para obtener más información, consulte Configurar comprobaciones de estado paraClassic Load Balancer (p. 16).
Cuando crea el balanceador de carga, Elastic Load Balancing utiliza la configuración predeterminadapara las comprobaciones de estado. No obstante, si lo prefiere, puede modificar la configuración de lascomprobaciones de estado del balanceador de carga en lugar de utilizar la configuración predeterminada.
Para configurar las comprobaciones de estado de las instancias
Utilice el siguiente comando configure-health-check:
aws elb configure-health-check --load-balancer-name my-loadbalancer --health-check Target=HTTP:80/ping,Interval=30,UnhealthyThreshold=2,HealthyThreshold=2,Timeout=3
A continuación se muestra un ejemplo de respuesta:
59
Elastic Load Balancing Classic Load BalancersCrear un balanceador de carga
HTTPS/SSL a través de AWS CLI
{ "HealthCheck": { "HealthyThreshold": 2, "Interval": 30, "Target": "HTTP:80/ping", "Timeout": 3, "UnhealthyThreshold": 2 }}
Paso 5: Registrar instancias EC2Una vez que ha creado el balanceador de carga, debe registrar las instancias EC2 con él. Puedeseleccionar las instancias EC2 de una única zona de disponibilidad o de varias zonas de disponibilidadde la misma región que la del balanceador de carga. Para obtener más información, consulte Instanciasregistradas para Classic Load Balancer (p. 15).
Utilice el comando register-instances-with-load-balancer tal y como se indica a continuación:
aws elb register-instances-with-load-balancer --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62
A continuación se muestra un ejemplo de respuesta:
{ "Instances": [ { "InstanceId": "i-4f8cf126" }, { "InstanceId": "i-0bb7ca62" } ]}
Paso 6: Comprobar las instanciasEl balanceador de carga podrá usarse en cuanto una de las instancias registradas tenga el estadoInService.
Para comprobar el estado de las instancias EC2 que acaba de registrar, utilice el siguiente comandodescribe-instance-health:
aws elb describe-instance-health --load-balancer-name my-loadbalancer --instances i-4f8cf126 i-0bb7ca62
A continuación se muestra un ejemplo de respuesta:
{ "InstanceStates": [ { "InstanceId": "i-4f8cf126", "ReasonCode": "N/A", "State": "InService", "Description": "N/A" }, { "InstanceId": "i-0bb7ca62", "ReasonCode": "Instance",
60
Elastic Load Balancing Classic Load BalancersConfigurar un agente de escucha HTTPS
"State": "OutOfService", "Description": "Instance registration is still in progress" } ]}
Si el campo State de una instancia tiene el valor OutOfService, lo más probable es que las instanciasestén aún en proceso de registro. Para obtener más información, consulte Solución de problemas delClassic Load Balancer: registro de instancias (p. 121).
Cuando al menos una de las instancias pasa al estado InService, se puede probar el balanceador decarga. Para probar el balanceador de carga, copie su nombre DNS y péguelo en el campo de direccionesde un navegador web que esté conectado a Internet. Si el balanceador de carga está en ejecución,consulte la página predeterminada del servidor HTTP.
Paso 7: Eliminar el balanceador de carga (opcional)Si elimina un balanceador de carga, automáticamente se anulará el registro de las instancias EC2asociadas. Tan pronto como se elimina el balanceador de carga, dejan de aplicarse cargos por él. Sinembargo, las instancias EC2 continúan en ejecución y, por tanto, siguen aplicándose cargos por ellas.
Para eliminar el balanceador de carga, utilice el siguiente comando delete-load-balancer:
aws elb delete-load-balancer --load-balancer-name my-loadbalancer
Para detener las instancias EC2, utilice el comando stop-instances. Para terminar las instancias EC2,utilice el comando terminate-instances.
Configurar un agente de escucha HTTPS paraClassic Load Balancer
Un agente de escucha es un proceso que comprueba solicitudes de conexión. El agente de escucha seconfigura con un protocolo y un puerto para las conexiones frontend (entre el cliente y el balanceadorde carga) y otro protocolo y otro puerto para las conexiones backend (entre el balanceador de carga yla instancia). Para obtener más información sobre la configuración de los puertos, los protocolos y losagentes de escucha admitidos en Elastic Load Balancing, consulte Agentes de escucha para el ClassicLoad Balancer (p. 34).
Si tiene un balanceador de carga con un agente de escucha que acepta solicitudes HTTP en el puerto80, puede agregar otro agente de escucha que acepte solicitudes HTTPS en el puerto 443. Si especificaque el agente de escucha HTTPS debe enviar las solicitudes a las instancias a través del puerto 80, elbalanceador de carga terminará las solicitudes SSL y la comunicación entre el balanceador de carga y lasinstancias que no estén cifradas. Si el agente de escucha HTTPS envía las solicitudes a las instancias através del puerto 443, se cifrará la comunicación entre el balanceador de carga y las instancias.
Si el balanceador de carga utiliza una conexión cifrada para comunicarse con las instancias, tiene la opciónde habilitar la autenticación de las instancias. De este modo, se asegura de que el balanceador de cargasolamente se comunica con una instancia si su clave pública coincide con la clave especificada en elbalanceador de carga para este fin.
Para obtener información sobre la creación de un nuevo agente de escucha HTTPS, consulte Crear unClassic Load Balancer con un agente de escucha HTTPS (p. 47).
Contenido• Requisitos previos (p. 62)• Agregar un agente de escucha HTTPS a través de la consola (p. 62)
61
Elastic Load Balancing Classic Load BalancersRequisitos previos
• Agregar un agente de escucha HTTPS a través de AWS CLI (p. 63)
Requisitos previosPara habilitar la compatibilidad con HTTPS en un agente de escucha HTTPS, debe implementar uncertificado de servidor SSL en el balanceador de carga. El balanceador de carga utiliza el certificado paraterminar y descifrar las solicitudes antes de enviarlas a las instancias. Si no dispone de un certificadoSSL, puede crear uno. Para obtener más información, consulte Certificados SSL/TLS para Classic LoadBalancer (p. 40).
Agregar un agente de escucha HTTPS a través de laconsolaPuede agregar un agente de escucha HTTPS a un balanceador de carga existente.
Para agregar un agente de escucha HTTPS a un balanceador de carga
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Listeners (Agentes de escucha), seleccione Edit (Editar).5. En la página Edit listeners (Editar agentes de escucha), elija Add (Agregar).6. En Load Balancer Protocol (Protocolo de balanceador de carga), seleccione HTTPS (Secure HTTP)
(HTTPS (HTTP seguro)). Esto actualiza Load Balancer Port (Puerto de balanceador de carga),Instance Protocol (Protocolo de instancia) y Instance Port (Puerto de instancia).
Important
De forma predeterminada, el protocolo de la instancia es HTTP. Si desea configurar laautenticación de instancias backend, cambie el protocolo de la instancia a HTTPS (HTTPseguro). Esto cambiará también el puerto de la instancia.
7. En Cipher (Cifrado), elija Change (Cambiar). Verifique que Predefined Security Policy (Políticade seguridad predefinida) esté seleccionada y establecida en ELBSecurityPolicy-2016-08. Lerecomendamos que utilice siempre la política de seguridad predefinida más reciente. Si necesitautilizar otra política de seguridad predefinida o crear una política personalizada, consulte Actualizar laconfiguración de negociación SSL (p. 67).
8. Si ya tiene un certificado implementado en el balanceador de carga y desea seguir usándolo, puedeomitir este paso.
En SSL Certificate (Certificado SSL), elija Change (Cambiar) y, a continuación, realice uno de lossiguientes procedimientos:
• Si creó o importó un certificado a través de AWS Certificate Manager, seleccione Choose an existingcertificate from AWS Certificate Manager (ACM) (Elegir un certificado existente de AWS CertificateManager (ACM)), seleccione el certificado de Certificate (Certificado) y, a continuación, elija Save(Guardar).
Note
Esta opción solo está disponible en las regiones que admiten AWS Certificate Manager.• Si importó un certificado a través de IAM, seleccione Choose an existing certificate from AWS
Identity and Access Management (IAM) (Elegir un certificado existente de AWS Identity and AccessManagement (IAM)), seleccione el certificado en Certificate (Certificado) y, a continuación, elija Save(Guardar).
62
Elastic Load Balancing Classic Load BalancersAgregar un agente de escucha HTTPS a través de AWS CLI
• Si tiene un certificado SSL que importar, pero ACM no está disponible en esta región, seleccioneUpload a new SSL Certificate to AWS Identity and Access Management (IAM) (Cargar un nuevocertificado SSL en AWS Identity and Access Management (IAM)). Escriba el nombre del certificado.En Private Key (Clave privada), copie y pegue el contenido del archivo de clave privada (concodificación PEM). En Public Key Certificate, copie y pegue el contenido del archivo de certificadode clave pública (con codificación PEM). En Certificate Chain, copie y pegue el contenido delarchivo de cadena del certificado (con codificación PEM), a no ser que utilice un certificadoautofirmado y no sea importante que los navegadores acepten implícitamente dicho certificado.
9. (Opcional) Elija Add (Agregar) para añadir otros agentes de escucha.10. Elija Save (Guardar) para agregar los agentes de escucha que acaba de configurar.11. (Opcional) Para configurar la autenticación de instancias backend en un balanceador de carga
existente, debe utilizar AWS CLI o una API, ya que esta tarea no puede hacerse a través dela consola. Para obtener más información, consulte Configurar la autenticación de instanciasbackend (p. 58).
Agregar un agente de escucha HTTPS a través deAWS CLIPuede agregar un agente de escucha HTTPS a un balanceador de carga existente.
Para agregar un agente de escucha HTTPS al balanceador de carga a través de AWS CLI
1. Obtenga el nombre de recurso de Amazon (ARN) del certificado SSL. Por ejemplo:
ACM
arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
IAM
arn:aws:iam::123456789012:server-certificate/my-server-certificate
2. Utilice el siguiente comando create-load-balancer-listeners para agregar un agente de escucha albalanceador de carga que acepte solicitudes HTTPS en el puerto 443 y envíe las solicitudes a lasinstancias a través del puerto 80 mediante HTTP:
aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=ARN
Si desea configurar la autenticación de instancias backend, utilice el siguiente comando para agregarun agente de escucha que acepte las solicitudes HTTPS en el puerto 443 y envíe las solicitudes a lasinstancias en el puerto 443 a través de HTTPS:
aws elb create-load-balancer-listeners --load-balancer-name my-load-balancer --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTPS,InstancePort=443,SSLCertificateId=ARN
3. (Opcional) Puede utilizar el siguiente comando describe-load-balancers para ver los detallesactualizados del balanceador de carga:
aws elb describe-load-balancers --load-balancer-name my-load-balancer
63
Elastic Load Balancing Classic Load BalancersReemplazar el certificado SSL
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 80, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTP" }, "PolicyNames": [ "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "HTTP", "InstanceProtocol": "HTTP" }, "PolicyNames": [] } ], ... } ]}
4. (Opcional) El agente de escucha HTTPS se creó utilizando la política de seguridad predeterminada.Si desea especificar una política de seguridad predefinida diferente o una política de seguridadpersonalizada, utilice los comandos create-load-balancer-policy y set-load-balancer-policies-of-listener.Para obtener más información, consulte Actualizar la configuración de la negociación SSL a través deAWS CLI (p. 67).
5. (Opcional) Para configurar la autenticación de instancias backend, utilice el comando set-load-balancer-policies-for-backend-server. Para obtener más información, consulte Configurar laautenticación de instancias backend (p. 58).
Reemplazar el certificado SSL de Classic LoadBalancer
Si tiene un agente de escucha HTTPS, cuando creó este agente de escucha, implementó un certificadode servidor SSL en el balanceador de carga. Cada certificado viene con un periodo de validez. No olviderenovar o sustituir el certificado antes de que finalice el periodo de validez.
Los certificados proporcionados por AWS Certificate Manager e implementados en el balanceador decarga se pueden renovar automáticamente. ACM intenta renovar los certificados antes de que expiren.Para obtener más información, consulte Managed Renewal en la Guía del usuario de AWS CertificateManager. Si el certificado se importó en ACM, deberá supervisar la fecha de vencimiento del certificado yrenovarlo antes de que venza. Para obtener más información, consulte Importing Certificates en la Guía delusuario de AWS Certificate Manager. Cuando un certificado que está implementado en un balanceador decarga se renueva, las nuevas solicitudes utilizan el certificado renovado.
64
Elastic Load Balancing Classic Load BalancersReemplazar el certificado SSL a través de la consola
Para sustituir un certificado, primero debe crear otro nuevo siguiendo los mismos pasos que utilizópara crear el certificado actual. A continuación, puede sustituir el certificado. Cuando un certificado queestá implementado en un balanceador de carga se reemplaza, las nuevas solicitudes utilizan el nuevocertificado.
Tenga en cuenta que la renovación o sustitución de un certificado no afecta a las solicitudes que ya se hanrecibido en un nodo del balanceador de carga y que están pendiente de ser direccionadas a un destino conun estado correcto.
Contenido• Reemplazar el certificado SSL a través de la consola (p. 65)• Reemplazar el certificado SSL a través de AWS CLI (p. 65)
Reemplazar el certificado SSL a través de la consolaPuede reemplazar el certificado implementado en el balanceador de carga por un certificadoproporcionado por ACM o un certificado cargado en IAM.
Para reemplazar el certificado SSL de un balanceador de carga HTTPS
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Listeners (Agentes de escucha), para SSL Certificate (Certificado SSL), elija Change
(Cambiar).5. En la página Select Certificate (Seleccionar certificado), realice uno de los siguientes procedimientos:
• Si creó o importó un certificado a través de AWS Certificate Manager, seleccione Choose an existingcertificate from AWS Certificate Manager (ACM) (Elegir un certificado existente de AWS CertificateManager (ACM)), seleccione el certificado de Certificate (Certificado) y, a continuación, elija Save(Guardar).
• Si importó un certificado a través de IAM, seleccione Choose an existing certificate from AWSIdentity and Access Management (IAM) (Elegir un certificado existente de AWS Identity and AccessManagement (IAM)), seleccione el certificado en Certificate (Certificado) y, a continuación, elija Save(Guardar).
• Si tiene un certificado que importar, pero ACM no es compatible en su región, seleccione Upload anew SSL Certificate to AWS Identity and Access Management (IAM) (Cargar un nuevo certificadoSSL en AWS Identity and Access Management (IAM)). Escriba el nombre del certificado, copie lainformación necesaria en el formulario y elija Save (Guardar). Tenga en cuenta que la cadena decertificados no es necesaria si se trata de un certificado autofirmado.
Reemplazar el certificado SSL a través de AWS CLIPuede reemplazar el certificado implementado en el balanceador de carga por un certificadoproporcionado por ACM o un certificado cargado en IAM.
Para reemplazar un certificado SSL por un certificado proporcionado por ACM
1. Utilice el siguiente comando request-certificate para solicitar un nuevo certificado:
aws acm request-certificate --domain-name www.example.com
65
Elastic Load Balancing Classic Load BalancersActualizar la configuración de negociación SSL
2. Utilice el siguiente comando set-load-balancer-listener-ssl-certificate para establecer el certificado:
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012
Para reemplazar un certificado SSL por un certificado cargado en IAM
1. Si tiene un certificado SSL pero no lo ha cargado, consulte Uploading a Server Certificate en la Guíadel usuario de IAM.
2. Utilice el siguiente comando get-server-certificate para obtener el ARN del certificado:
aws iam get-server-certificate --server-certificate-name my-new-certificate
3. Utilice el siguiente comando set-load-balancer-listener-ssl-certificate para establecer el certificado:
aws elb set-load-balancer-listener-ssl-certificate --load-balancer-name my-load-balancer --load-balancer-port 443 --ssl-certificate-id arn:aws:iam::123456789012:server-certificate/my-new-certificate
Actualizar la configuración de la negociación SSLde Classic Load Balancer
Elastic Load Balancing proporciona políticas de seguridad que tienen configuraciones de negociaciónSSL predefinidas y que se usan para negociar las conexiones SSL entre los clientes y el balanceador decarga. Si utiliza el protocolo HTTPS/SSL con el agente de escucha, puede aplicar una de las políticas deseguridad predefinidas o su propia política de seguridad personalizada.
Para obtener más información sobre las políticas de seguridad, consulte Configuraciones de negociaciónSSL para Classic Load Balancer (p. 41). Para obtener más información sobre la configuración de laspolíticas de seguridad proporcionadas por Elastic Load Balancing, consulte Políticas de seguridad SSLpredefinidas (p. 45).
Si crea un agente de escucha HTTPS/SSL sin asociar una política de seguridad, Elastic Load Balancingasocia la política de seguridad predefinida ELBSecurityPolicy-2016-08, que es la predeterminada,con el balanceador de carga.
Si ya tiene un balanceador de carga con una configuración de negociación SSL que no usa losprotocolos y cifrados más recientes, le recomendamos que actualice el balanceador de carga paraque utilice ELBSecurityPolicy-2016-08. Si lo prefiere, puede crear una configuración personalizada. Lerecomendamos encarecidamente que pruebe las nuevas políticas de seguridad antes de actualizar laconfiguración del balanceador de carga.
En los siguientes ejemplos, se muestra cómo se actualiza la configuración de la negociación SSL en unagente de escucha HTTPS/SSL. Tenga en cuenta que este cambio no afecta a las solicitudes recibidas porlos nodos de balanceador de carga y que están pendientes de ser direccionadas a una instancia correcta.La configuración actualizada comenzará a utilizarse con las nuevas solicitudes que se reciban.
Contenido• Actualizar la configuración de negociación SSL a través de la consola (p. 67)• Actualizar la configuración de la negociación SSL a través de AWS CLI (p. 67)
66
Elastic Load Balancing Classic Load BalancersActualizar la configuración de
negociación SSL a través de la consola
Actualizar la configuración de negociación SSL através de la consolaDe forma predeterminada, Elastic Load Balancing asocia la política predefinida más reciente con elbalanceador de carga. Cuando agregue una nueva política predefinida, le recomendamos que actualice elbalanceador de carga para que la utilice. También tiene la opción de seleccionar otra política de seguridadpredefinida o crear una personalizada.
Para actualizar la configuración de la negociación SSL en un balanceador de carga HTTPS/SSL
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Listeners (Agentes de escucha), para Cipher (Cifrado), elija Change (Cambiar).5. En la página Select a Cipher (Seleccionar un cifrado), seleccione una política de seguridad a través de
una de las opciones siguientes:• (Recomendado) Seleccione Predefined Security Policy (Política de seguridad predefinida),
conserve la política predeterminada, ELBSecurityPolicy-2016-08, y, a continuación, elija Save(Guardar).
• Seleccione Predefined Security Policy (Política de seguridad predefinida), seleccione una políticapredefinida que no sea la predeterminada y, a continuación, elija Save (Guardar).
• Seleccione Custom Security Policy (Política de seguridad personalizada) y habilite al menos unprotocolo y un cifrado, tal y como se indica a continuación:
a. En SSL Protocols (Protocolos SSL), seleccione uno o varios protocolos para habilitarlos.b. Para SSL Options (Opciones SSL), seleccione Server Order Preference (Preferencia
del orden del servidor) para usar el orden que aparece en Políticas de seguridad SSLpredefinidas (p. 45) para la negociación SSL.
c. En SSL Ciphers (Cifrados SSL), seleccione uno o varios cifrados para habilitarlos. Si ya tieneun certificado SSL, debe habilitar el cifrado que se usó para crearlo, ya que los cifrados DSAy RSA son específicos del algoritmo de firma.
d. Seleccione Save.
Actualizar la configuración de la negociación SSL através de AWS CLIPuede utilizar la política de seguridad predefinida ELBSecurityPolicy-2016-08, que es lapredeterminada; una política de seguridad predefinida diferente, o una política de seguridad personalizada.
Para utilizar una política de seguridad SSL predefinida
1. Utilice el siguiente comando describe-load-balancer-policies para mostrar la lista de las políticas deseguridad predefinidas proporcionadas por Elastic Load Balancing:
aws elb describe-load-balancer-policies --query "PolicyDescriptions[?PolicyTypeName==`SSLNegotiationPolicyType`].{PolicyName:PolicyName}" --output table
A continuación, se muestra un ejemplo del resultado:
------------------------------------------
67
Elastic Load Balancing Classic Load BalancersActualizar la configuración de la
negociación SSL a través de AWS CLI
| DescribeLoadBalancerPolicies |+----------------------------------------+| PolicyName |+----------------------------------------+| ELBSecurityPolicy-2016-08 || ELBSecurityPolicy-TLS-1-2-2017-01 || ELBSecurityPolicy-TLS-1-1-2017-01 || ELBSecurityPolicy-2015-05 || ELBSecurityPolicy-2015-03 || ELBSecurityPolicy-2015-02 || ELBSecurityPolicy-2014-10 || ELBSecurityPolicy-2014-01 || ELBSecurityPolicy-2011-08 || ELBSample-ELBDefaultCipherPolicy || ELBSample-OpenSSLDefaultCipherPolicy |+----------------------------------------+
Para determinar qué cifrados están habilitadas en una política, utilice el siguiente comando:
aws elb describe-load-balancer-policies --policy-names ELBSecurityPolicy-2016-08 --output table
Para obtener información sobre la configuración de las políticas de seguridad predefinidas, consultePolíticas de seguridad SSL predefinidas (p. 45).
2. Utilice el comando create-load-balancer-policy para crear una política de negociación SSL conuna de las políticas de seguridad predefinidas que se describieron en el paso anterior. Porejemplo, el comando siguiente utiliza la política de seguridad predefinida que se emplea de formapredeterminada:
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer--policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType--policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2016-08
Si supera el límite de políticas para el balanceador de carga, use el comando delete-load-balancer-policy para eliminar las políticas sin utilizar.
3. (Opcional) Utilice el siguiente comando describe-load-balancer-policies para comprobar que se hacreado la política:
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
La respuesta incluye la descripción de la política.4. Utilice el siguiente comando set-load-balancer-policies-of-listener para habilitar la política en el puerto
443 del balanceador de carga:
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
Note
El comando set-load-balancer-policies-of-listener reemplaza el conjunto depolíticas que se aplica actualmente en el puerto del balanceador de carga especificado porel conjunto de políticas proporcionado. La lista --policy-names debería incluir todas laspolíticas que se van a habilitar. Si se omite una política que actualmente está habilitada, sedeshabilitará.
68
Elastic Load Balancing Classic Load BalancersActualizar la configuración de la
negociación SSL a través de AWS CLI
5. (Opcional) Utilice el siguiente comando describe-load-balancers para comprobar que la nueva políticaestá habilitada en el puerto del balanceador de carga:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
En la respuesta, puede verse que la política está habilitada en el puerto 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] }...
Cuando cree una política de seguridad personalizada, debe habilitar al menos un protocolo y un cifrado.Los cifrados DSA y RSA son específicos del algoritmo de firma y se utilizan para crear el certificado SSL.Si ya tiene un certificado SSL, asegúrese de habilitar el cifrado que se usó para crearlo. El nombre dela política personalizada no debe comenzar por ELBSecurityPolicy- ni ELBSample-, ya que estosprefijos están reservados para los nombres de las políticas de seguridad predefinidas.
Para utilizar una política de seguridad SSL personalizada
1. Utilice el comando create-load-balancer-policy para crear una política de negociación SSL medianteuna política de seguridad personalizada. Por ejemplo:
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Protocol-TLSv1.2,AttributeValue=true AttributeName=Protocol-TLSv1.1,AttributeValue=true AttributeName=DHE-RSA-AES256-SHA256,AttributeValue=true AttributeName=Server-Defined-Cipher-Order,AttributeValue=true
Si supera el límite de políticas para el balanceador de carga, use el comando delete-load-balancer-policy para eliminar las políticas sin utilizar.
2. (Opcional) Utilice el siguiente comando describe-load-balancer-policies para comprobar que se hacreado la política:
aws elb describe-load-balancer-policies --load-balancer-name my-loadbalancer --policy-name my-SSLNegotiation-policy
La respuesta incluye la descripción de la política.3. Utilice el siguiente comando set-load-balancer-policies-of-listener para habilitar la política en el puerto
443 del balanceador de carga:
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-SSLNegotiation-policy
69
Elastic Load Balancing Classic Load BalancersActualizar la configuración de la
negociación SSL a través de AWS CLI
Note
El comando set-load-balancer-policies-of-listener reemplaza el conjunto depolíticas que se aplica actualmente en el puerto del balanceador de carga especificado porel conjunto de políticas proporcionado. La lista --policy-names debería incluir todas laspolíticas que se van a habilitar. Si se omite una política que actualmente está habilitada, sedeshabilitará.
4. (Opcional) Utilice el siguiente comando describe-load-balancers para comprobar que la nueva políticaestá habilitada en el puerto del balanceador de carga:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
En la respuesta, puede verse que la política está habilitada en el puerto 443.
... { "Listener": { "InstancePort": 443, "SSLCertificateId": "ARN", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-SSLNegotiation-policy" ] }...
70
Elastic Load Balancing Classic Load BalancersConfiguración del tiempo de inactividad
Configuración del Classic LoadBalancer
Contenido• Configuración del tiempo de inactividad de conexión del Classic Load Balancer (p. 71)• Configuración del balanceo de carga entre zonas en el Classic Load Balancer (p. 72)• Configuración del vaciado de conexiones del Classic Load Balancer (p. 75)• Configuración de la compatibilidad con Proxy Protocol del Classic Load Balancer (p. 77)• Configuración de sesiones sticky para Classic Load Balancer (p. 80)• Etiquetado del Classic Load Balancer (p. 85)• Configuración de un nombre de dominio personalizado para el Classic Load Balancer (p. 87)
Configuración del tiempo de inactividad de conexióndel Classic Load Balancer
Para cada solicitud que un cliente realiza a través de un Classic Load Balancer, el balanceador de cargamantiene dos conexiones, una con el cliente y la otra con una instancia EC2 registrada. Para cadaconexión, el balanceador de carga administra un tiempo de inactividad que se aplica cuando no se hanenviado datos a través de la conexión durante el periodo de tiempo especificado. Si no se han enviado nirecibido datos antes de que haya transcurrido el tiempo de inactividad, el balanceador de carga cerrará laconexión.
De forma predeterminada, Elastic Load Balancing configura el tiempo de inactividad en 60 segundospara ambas conexiones. Por lo tanto, si la instancia no envía datos al menos cada 60 segundos mientrasla solicitud está en tránsito, el balanceador de carga podría cerrar la conexión. Para asegurarse de quelas operaciones de larga duración (como la carga de archivos) dispongan de tiempo suficiente paracompletarse, envíe al menos un byte de datos antes de que finalice cada tiempo de inactividad y aumentela duración de este tiempo, según sea necesario.
Si utiliza agentes de escucha HTTP y HTTPS, recomendamos habilitar la opción keep-alive de HTTPen las instancias. Puede habilitar la opción keep-alive en los ajustes del servidor web, o bien en laconfiguración del kernel de las instancias. Cuando está habilitada, la función keep-alive permite que elbalanceador de carga reutilice las conexiones a la instancia, con lo cual se reduce el uso de la CPU. Paraasegurarse de que el balanceador de carga es responsable de cerrar las conexiones en la instancia,compruebe que el valor establecido para satisfacer el tiempo de keep-alive de HTTP es mayor que eltiempo de inactividad del balanceador de carga.
Tenga en cuenta que las sondas keep-alive de TCP no impiden que el balanceador de carga termine laconexión, ya que no envían datos en la carga.
Contenido• Configuración del tiempo de inactividad desde la consola (p. 72)• Configuración del tiempo de inactividad desde la AWS CLI (p. 72)
71
Elastic Load Balancing Classic Load BalancersConfiguración del tiempo de inactividad desde la consola
Configuración del tiempo de inactividad desde laconsolaUtilice el siguiente procedimiento para establecer el tiempo de inactividad del balanceador de carga.
Para configurar el tiempo de inactividad del balanceador de carga
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Descriptions (Descripciones), elija Edit idle timeout (Editar tiempo de inactividad).5. En la página Configure Connection Settings (Configurar opciones de conexión), escriba un valor
para Idle timeout (Tiempo de inactividad). El tiempo de inactividad debe estar comprendido entre 1 y4,000 segundos.
6. Seleccione Save.
Configuración del tiempo de inactividad desde la AWSCLIUtilice el siguiente comando modify-load-balancer-attributes para establecer el tiempo de inactividad delbalanceador de carga:
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"ConnectionSettings\":{\"IdleTimeout\":30}}"
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerAttributes": { "ConnectionSettings": { "IdleTimeout": 30 } }, "LoadBalancerName": "my-loadbalancer"}
Configuración del balanceo de carga entre zonasen el Classic Load Balancer
Con cross-zone load balancing, cada nodo del balanceador de carga de su Classic Load Balancerdistribuye las solicitudes equitativamente entre todas las instancias registradas en todas las zonas dedisponibilidad habilitadas. Si cross-zone load balancing está inhabilitado, cada nodo del balanceador decarga distribuye las solicitudes equitativamente entre todas las instancias registradas solo en su zona dedisponibilidad. Para obtener más información, consulte Equilibro de cargas entre zonas en la Guía delusuario de Elastic Load Balancing.
El balanceo de carga entre zonas reduce la necesidad de mantener un número equivalente de instanciasen cada zona de disponibilidad habilitada y mejora la capacidad de la aplicación para controlar la pérdidade una o varias instancias. Sin embargo, recomendamos mantener una cantidad aproximadamenteequivalente de instancias en cada zona de disponibilidad habilitada para aumentar la tolerancia a errores.
72
Elastic Load Balancing Classic Load BalancersHabilitación del balanceo de carga entre zonas
En los entornos donde los clientes almacenan en caché las búsquedas de DNS, las solicitudes entrantespodrían favorecer a una de las zonas de disponibilidad. Cuando se utiliza el balanceo de carga entrezonas, este desequilibrio de la carga de solicitudes se distribuye entre todas las instancias disponibles dela región, con lo que se reduce el impacto de los clientes que se comportan de forma incorrecta.
Al crear un Classic Load Balancer, el valor predeterminado para el balanceo de carga entre zonasdepende de cómo se crea el balanceador de carga. Con la API o la interfaz de línea de comandosel balanceo de carga entre zonas está deshabilitado de forma predeterminada. Con la Consola deadministración de AWS, la opción de habilitar el balanceo de carga entre zonas está seleccionada deforma predeterminada. Después de crear un Classic Load Balancer, puede habilitar o deshabilitar elbalanceo de carga entre zonas en cualquier momento.
Contenido• Habilitación del balanceo de carga entre zonas (p. 73)• Deshabilitación del balanceo de carga entre zonas (p. 74)
Habilitación del balanceo de carga entre zonasPuede habilitar el balanceo de carga entre zonas para Classic Load Balancer en cualquier momento.
Para habilitar el balanceo de carga entre zonas desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Description (Descripción), elija Change cross-zone load balancing setting (Cambiar la
configuración del balanceo de carga entre zonas).5. En la página Configure Cross-Zone Load Balancing (Configurar balanceo de carga entre zonas),
seleccione Enable (Habilitar).6. Seleccione Save.
Para habilitar el balanceo de carga entre zonas desde la AWS CLI
1. Utilice el siguiente comando modify-load-balancer-attributes para establecer el atributoCrossZoneLoadBalancing del balanceador de carga en true:
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"CrossZoneLoadBalancing\":{\"Enabled\":true}}"
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerAttributes": { "CrossZoneLoadBalancing": { "Enabled": true } }, "LoadBalancerName": "my-loadbalancer" }
2. (Opcional) Utilice el siguiente comando describe-load-balancer-attributes para comprobar que estáhabilitado el balanceo de carga entre zonas del balanceador de carga:
aws elb describe-load-balancer-attributes --load-balancer-name my-loadbalancer
73
Elastic Load Balancing Classic Load BalancersDeshabilitación del balanceo de carga entre zonas
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerAttributes": { "ConnectionDraining": { "Enabled": false, "Timeout": 300 }, "CrossZoneLoadBalancing": { "Enabled": true }, "ConnectionSettings": { "IdleTimeout": 60 }, "AccessLog": { "Enabled": false } }}
Deshabilitación del balanceo de carga entre zonasPuede deshabilitar la opción de balanceo de carga entre zonas del balanceador de carga en cualquiermomento.
Para deshabilitar el balanceo de carga entre zonas desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Description (Descripción), elija Change cross-zone load balancing (Cambiar balanceo
de carga entre zonas).5. En la página Configure Cross-Zone Load Balancing (Configurar balanceo de carga entre zonas),
seleccione Disable (Deshabilitar).6. Seleccione Save.
Para deshabilitar el balanceo de carga entre zonas, defina el atributo CrossZoneLoadBalancing delbalanceador de carga en false.
Para deshabilitar el balanceo de carga entre zonas desde la AWS CLI
1. Utilice el siguiente comando modify-load-balancer-attributes:
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"CrossZoneLoadBalancing\":{\"Enabled\":false}}"
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerAttributes": { "CrossZoneLoadBalancing": { "Enabled": false } }, "LoadBalancerName": "my-loadbalancer"
74
Elastic Load Balancing Classic Load BalancersConfiguración del vaciado de conexiones
}
2. (Opcional) Utilice el siguiente comando describe-load-balancer-attributes para comprobar que estádeshabilitado el balanceo de carga entre zonas del balanceador de carga:
aws elb describe-load-balancer-attributes --load-balancer-name my-loadbalancer
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerAttributes": { "ConnectionDraining": { "Enabled": false, "Timeout": 300 }, "CrossZoneLoadBalancing": { "Enabled": false }, "ConnectionSettings": { "IdleTimeout": 60 }, "AccessLog": { "Enabled": false } }}
Configuración del vaciado de conexiones delClassic Load Balancer
Para asegurarse de que el Classic Load Balancer deje de enviar solicitudes a las instancias que están enproceso de anulación del registro o se encuentran en mal estado, pero mantener abiertas las conexionesexistentes, utilice el vaciado de conexiones. De este modo, se permite que el balanceador de cargacomplete las solicitudes en tránsito a las instancias que están en proceso de anulación del registro o seencuentran en mal estado.
Al habilitar el vaciado de conexiones, puede especificar el tiempo máximo durante el cual el balanceadorde carga mantendrá activas las conexiones antes de considerar que se ha anulado el registro dela instancia. El tiempo de espera máximo puede establecerse entre 1 y 3600 segundos (el valorpredeterminado es de 300 segundos). Cuando ha transcurrido el plazo máximo, el balanceador de cargacierra forzosamente las conexiones para anular el registro de la instancia.
Mientras se están atendiendo las solicitudes en tránsito, el balanceador de carga notifica que el estadode la instancia es InService: Instance deregistration currently in progress. Una vezque la instancia en proceso de anulación del registro ha terminado de atender a todas las solicitudes entránsito, o cuando se ha agotado el tiempo de espera máximo, el balanceador de carga notifica que elestado de la instancia es OutOfService: Instance is not currently registered with theLoadBalancer.
Si una instancia pasa a encontrarse en mal estado, el balanceador de carga notifica que el estado de lainstancia es OutOfService. Si hay solicitudes en tránsito que se han realizado a la instancia en malestado, se completan. El tiempo de espera máximo no se aplica a las conexiones con instancias en malestado.
Si las instancias forman parte de un grupo de Auto Scaling y se habilita el vaciado de conexiones delbalanceador de carga, Auto Scaling espera a que se completen las solicitudes en tránsito o a que se agote
75
Elastic Load Balancing Classic Load BalancersHabilitación del vaciado de conexiones
el tiempo de espera máximo antes de terminar las instancias debido a un evento de escalado o a unasustitución por comprobación de estado.
Puede deshabilitar el vaciado de conexiones si desea que el balanceador de carga cierre de inmediato lasconexiones a las instancias que están en proceso de anulación del registro o se encuentran en mal estado.Cuando el vaciado de conexiones está deshabilitado, no se completan las solicitudes en tránsito realizadasa instancias que están en proceso de anulación del registro o se encuentran en mal estado.
Contenido• Habilitación del vaciado de conexiones (p. 76)• Deshabilitación del vaciado de conexiones (p. 76)
Habilitación del vaciado de conexionesPuede habilitar el vaciado de conexiones del balanceador de carga en cualquier momento.
Para habilitar el vaciado de conexiones desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Instances (Instancias), para Connection Draining, elija (Edit) (Editar).5. En la página Configure Connection Draining (Configurar Connection Draining), seleccione Enable
Connection Draining (Habilitar Connection Draining).6. (Opcional) En Timeout (Tiempo de espera), escriba un valor comprendido entre 1 y 3600 segundos.7. Seleccione Save.
Para habilitar el vaciado de conexiones desde la AWS CLI
Utilice el siguiente comando modify-load-balancer-attributes:
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"ConnectionDraining\":{\"Enabled\":true,\"Timeout\":300}}"
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerAttributes": { "ConnectionDraining": { "Enabled": true, "Timeout": 300 } }, "LoadBalancerName": "my-loadbalancer"}
Deshabilitación del vaciado de conexionesPuede deshabilitar el vaciado de conexiones del balanceador de carga en cualquier momento.
Para deshabilitar el vaciado de conexiones desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.
76
Elastic Load Balancing Classic Load BalancersConfiguración de Proxy Protocol
3. Seleccione el balanceador de carga.4. En la pestaña Instances (Instancias), para Connection Draining, elija (Edit) (Editar).5. En la página Configure Connection Draining (Configurar Connection Draining), borre Enable
Connection Draining (Habilitar Connection Draining).6. Seleccione Save.
Para deshabilitar el vaciado de conexiones desde la AWS CLI
Utilice el siguiente comando modify-load-balancer-attributes:
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"ConnectionDraining\":{\"Enabled\":false}}"
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerAttributes": { "ConnectionDraining": { "Enabled": false, "Timeout": 300 } }, "LoadBalancerName": "my-loadbalancer"}
Configuración de la compatibilidad con ProxyProtocol del Classic Load Balancer
Proxy Protocol es un protocolo de Internet que se utiliza para transportar la información de conexión entreel origen que solicita la conexión y el destino al cual se solicita dicha conexión. Elastic Load Balancingutiliza Proxy Protocol versión 1, que utiliza un formato de encabezado en formato de lenguaje natural.
De forma predeterminada, cuando se utiliza el protocolo de control de transmisión (TCP) para lasconexiones frontend y backend, el Classic Load Balancer reenvía las solicitudes a las instancias sinmodificar sus encabezados. Si habilita Proxy Protocol, se agrega un encabezado en formato de lenguajenatural al encabezado de la solicitud. Este contiene información como, por ejemplo, las direcciones IP deorigen y destino y los números de puerto. A continuación, el encabezado se envía a la instancia comoparte de la solicitud.
Note
La Consola de administración de AWS no admite la habilitación de Proxy Protocol.
Contenido• Encabezado Proxy Protocol (p. 77)• Requisitos previos para habilitar Proxy Protocol (p. 78)• Habilitación de Proxy Protocol desde la AWS CLI (p. 78)• Deshabilitación de Proxy Protocol desde la AWS CLI (p. 80)
Encabezado Proxy ProtocolEl encabezado Proxy Protocol ayuda a identificar la dirección IP de un cliente cuando el balanceadorde carga utiliza TCP para las conexiones backend. Dado que los balanceadores de carga interceptan el
77
Elastic Load Balancing Classic Load BalancersRequisitos previos para habilitar Proxy Protocol
tráfico entre los clientes y las instancias, los logs de acceso desde la instancia contienen la dirección IPdel balanceador de carga, y no la del cliente de origen. Puede analizar la primera línea de la solicitud pararecuperar la dirección IP del cliente y el número de puerto.
La dirección del proxy en el encabezado para IPv6 es la dirección IPv6 pública del balanceador decarga. Esta dirección IPv6 coincide con la dirección IP que se resuelve a partir del nombre de DNSdel balanceador de carga, que comienza por ipv6 o dualstack. Si el cliente se conecta con IPv4, ladirección del proxy en el encabezado es la dirección IPv4 privada del balanceador de carga, que no sepuede resolver mediante una búsqueda de DNS fuera de la red de EC2-Classic.
La línea de Proxy Protocol es una sola línea que termina con un retorno de carro y un salto de línea ("\r\n"). Presenta el siguiente formato:
PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + "\r\n"
Ejemplo: IPv4
A continuación se muestra un ejemplo de la línea de Proxy Protocol para IPv4.
PROXY TCP4 198.51.100.22 203.0.113.7 35646 80\r\n
Ejemplo: IPv6 (solo para EC2-Classic)
A continuación se muestra un ejemplo de la línea de Proxy Protocol para IPv6.
PROXY TCP6 2001:DB8::21f:5bff:febf:ce22:8a2e 2001:DB8::12f:8baa:eafc:ce29:6b2e 35646 80\r\n
Requisitos previos para habilitar Proxy ProtocolAntes de comenzar, haga lo siguiente:
• Confirme que el balanceador de carga no se encuentre tras un servidor proxy con Proxy Protocolhabilitado. Si Proxy Protocol está habilitado en el servidor proxy y también en el balanceador de carga,este último agregará un encabezado más a la solicitud, que ya tiene un encabezado del servidor proxy.Según cómo esté configurada la instancia, esta duplicación podría dar lugar a errores.
• Confirme que las instancias pueden procesar la información de Proxy Protocol.• Confirme que la configuración del agente de escucha admita Proxy Protocol. Para obtener más
información, consulte Configuraciones de agentes de escucha para Classic Load Balancers (p. 36).
Habilitación de Proxy Protocol desde la AWS CLIPara habilitar Proxy Protocol, es preciso crear una política de tipo ProxyProtocolPolicyType y, acontinuación, habilitar la política en el puerto de la instancia.
Utilice el siguiente procedimiento para crear una nueva política del tipo ProxyProtocolPolicyTypepara el balanceador de carga, establecer la política recién creada para la instancia en el puerto 80 ycomprobar que la política está habilitada.
Para habilitar Proxy Protocol en el balanceador de carga
1. (Opcional) Utilice el siguiente comando describe-load-balancer-policy-types para enumerar laspolíticas que Elastic Load Balancing admite:
aws elb describe-load-balancer-policy-types
78
Elastic Load Balancing Classic Load BalancersHabilitación de Proxy Protocol desde la AWS CLI
La respuesta incluye los nombres y las descripciones de los tipos de políticas admitidos. Acontinuación se muestra el resultado para el tipo ProxyProtocolPolicyType:
{ "PolicyTypeDescriptions": [ ... { "PolicyAttributeTypeDescriptions": [ { "Cardinality": "ONE", "AttributeName": "ProxyProtocol", "AttributeType": "Boolean" } ], "PolicyTypeName": "ProxyProtocolPolicyType", "Description": "Policy that controls whether to include the IP address and port of the originating request for TCP messages. This policy operates on TCP/SSL listeners only" }, ... ]}
2. Utilice el siguiente comando create-load-balancer-policy para crear una política que habilita ProxyProtocol:
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-ProxyProtocol-policy --policy-type-name ProxyProtocolPolicyType --policy-attributes AttributeName=ProxyProtocol,AttributeValue=true
3. Utilice el siguiente comando set-load-balancer-policies-for-backend-server para habilitar la políticarecién creada en el puerto especificado. Tenga en cuenta que este comando sustituye el conjuntoactual de políticas habilitadas. Por lo tanto, la opción --policy-names debe especificar tanto lapolítica que se va a agregar a la lista (por ejemplo, my-ProxyProtocol-policy) como todas laspolíticas que ya estén habilitadas (por ejemplo, my-existing-policy).
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 80 --policy-names my-ProxyProtocol-policy my-existing-policy
4. (Opcional) Utilice el siguiente comando describe-load-balancers para comprobar que Proxy Protocolestá habilitado:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
La respuesta incluye la siguiente información, que muestra que la política my-ProxyProtocol-policy está asociada al puerto 80.
{ "LoadBalancerDescriptions": [ { ... "BackendServerDescriptions": [ { "InstancePort": 80, "PolicyNames": [ "my-ProxyProtocol-policy" ] } ],
79
Elastic Load Balancing Classic Load BalancersDeshabilitación de Proxy Protocol desde la AWS CLI
... } ]}
Deshabilitación de Proxy Protocol desde la AWS CLIPuede deshabilitar las políticas asociadas a la instancia y habilitarlas más adelante.
Para deshabilitar la política de Proxy Protocol
1. Utilice el siguiente comando set-load-balancer-policies-for-backend-server para deshabilitar la políticade Proxy Protocol; para ello, debe omitirla de la opción --policy-names pero incluir las demáspolíticas que deban permanecer habilitadas (por ejemplo, my-existing-policy).
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 80 --policy-names my-existing-policy
Si no hay otras políticas que habilitar, especifique una cadena vacía con la opción --policy-names,de la siguiente manera:
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 80 --policy-names "[]"
2. (Opcional) Utilice el siguiente comando describe-load-balancers para comprobar que la política estádeshabilitada:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
La respuesta incluye la siguiente información, que muestra que no hay ningún puerto asociado a unapolítica.
{ "LoadBalancerDescriptions": [ { ... "BackendServerDescriptions": [], ... } ]}
Configuración de sesiones sticky para Classic LoadBalancer
De forma predeterminada, un Classic Load Balancer direcciona cada solicitud de manera independientea la instancia registrada con menor carga. Sin embargo, puede utilizar la característica de sesión sticky(también denominada afinidad de sesión) que permite que el balanceador de carga vincule una sesión delusuario a una instancia concreta. Con ello se garantiza que todas las solicitudes de ese usuario durante lasesión se envían a la misma instancia.
La clave para administrar las sesiones sticky consiste en determinar durante cuánto tiempo deberádireccionar el balanceador de carga la solicitud del usuario a la misma instancia. Si la aplicación tiene su
80
Elastic Load Balancing Classic Load BalancersSesiones sticky basadas en duración
propia cookie de sesión, entonces puede configurar Elastic Load Balancing de modo que la cookie sesiónrespete la duración especificada por la cookie de sesión de la aplicación. Si la aplicación no tiene su propiacookie de sesión, entonces puede configurar Elastic Load Balancing de modo que cree una cookie desesión especificando su propia duración de persistencia.
Elastic Load Balancing creará una cookie, denominada AWSELB, que se utilizará para asignar la sesión ala instancia.
Requisitos
• Un balanceador de carga HTTP/HTTPS.• Al menos una instancia en buen estado en cada zona de disponibilidad.
Compatibilidad
• El RFC de la propiedad de ruta de una cookie admite los guiones bajos. Sin embargo, en los URI deElastic Load Balancing los guiones bajos se codifican como %5F, porque algunos navegadores (comoInternet Explorer 7, entre otros), esperan que los guiones bajos se codifiquen como %5F según lasnormas de los URI. Debido a la posible repercusión en los navegadores que se utilizan actualmente,Elastic Load Balancing continúa codificando los caracteres de guion bajo según las normas de los URI.Por ejemplo, si la cookie tiene la propiedad path=/my_path, en la solicitud reenviada Elastic LoadBalancing la cambia y envía path=/my%5Fpath.
• No se pueden establecer las marcas secure ni HttpOnly en las cookies de las sesiones stickybasadas en duración. Sin embargo, estas cookies no contienen información confidencial. Tenga encuenta que si establece la marca secure o HttpOnly en una cookie de sesión sticky controlada por laaplicación, también se establece en la cookie AWSELB.
• Si hay un signo de punto y coma final en el campo Set-Cookie de una cookie de aplicación, elbalanceador de carga hace caso omiso de la cookie.
Contenido• Sesiones sticky basadas en duración (p. 81)• Sesiones sticky controladas por la aplicación (p. 83)
Sesiones sticky basadas en duraciónEl balanceador de carga utiliza una cookie especial para realizar el seguimiento de la instancia de cadasolicitud a cada agente de escucha. Cuando el balanceador de carga recibe una solicitud, primerocomprueba si esta cookie está presente en la solicitud. En caso afirmativo, la solicitud se envía a lainstancia especificada en la cookie. Si no hay ninguna cookie, el balanceador de carga elige una instanciaen función del algoritmo de balanceo de carga existente. Se inserta una cookie en la respuesta paravincular las solicitudes posteriores del mismo usuario a esa instancia. La configuración de la política depersistencia define el vencimiento de la cookie, que establece el periodo de validez de cada cookie. Elbalanceador de carga no actualiza el tiempo de caducidad de la cookie ni comprueba si ha caducado antesde usarla. Una vez que la cookie ha vencido, la sesión ya no es sticky. El cliente debe quitar la cookie desu almacén de cookies una vez caducada.
Si se produce un error en una instancia o esta pasa a encontrarse en mal estado, el balanceador de cargadeja de direccionar las solicitudes a esa instancia y elige una nueva instancia en buen estado basándoseen el algoritmo de balanceo de carga existente. La solicitud se redirecciona a la nueva instancia como si nohubiera ninguna cookie y la sesión deja de ser sticky.
Si un cliente cambia a un agente de escucha con un puerto backend diferente, la persistencia se pierde.
81
Elastic Load Balancing Classic Load BalancersSesiones sticky basadas en duración
Para habilitar las sesiones sticky basadas en duración en un balanceador de carga desde laconsola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Descriptions (Descripciones), elija Edit stickiness (Editar persistencia).5. En la página Edit stickiness (Editar persistencia), seleccione Enable load balancer generated cookie
stickiness (Habilitar persistencia de la cookie generada por el balanceador de carga).6. (Opcional) En Expiration Period (Período de vencimiento), escriba el período de vencimiento de la
cookie en segundos. Si no especifica un periodo de vencimiento, la sesión sticky durará lo mismo quela sesión del navegador.
7. Seleccione Save.
Para habilitar las sesiones sticky basadas en duración en un balanceador de carga desde la AWSCLI
1. Utilice el siguiente comando create-lb-cookie-stickiness-policy para crear una política de persistenciagenerada por el balanceador de carga con un periodo de vencimiento de cookies de 60 segundos:
aws elb create-lb-cookie-stickiness-policy --load-balancer-name my-loadbalancer --policy-name my-duration-cookie-policy --cookie-expiration-period 60
2. Utilice el siguiente comando set-load-balancer-policies-of-listener para habilitar la persistencia desesión para el balanceador de carga especificado:
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-duration-cookie-policy
Note
El comando set-load-balancer-policies-of-listener reemplaza el conjunto actualde políticas asociadas con el puerto del balanceador de carga especificado. Cada vez quese utiliza el comando, debe especificar la opción --policy-names para enumerar todas laspolíticas que hay que habilitar.
3. (Opcional) Utilice el siguiente comando describe-load-balancers para comprobar que la política estáhabilitada:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
La respuesta incluye la siguiente información, que muestra que la política está habilitada para elagente de escucha en el puerto especificado:
{ "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 443, "SSLCertificateId": "arn:aws:iam::123456789012:server-certificate/my-server-certificate", "LoadBalancerPort": 443, "Protocol": "HTTPS",
82
Elastic Load Balancing Classic Load BalancersSesiones sticky controladas por la aplicación
"InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-duration-cookie-policy", "ELBSecurityPolicy-2016-08" ] }, ... ], ... "Policies": { "LBCookieStickinessPolicies": [ { "PolicyName": "my-duration-cookie-policy", "CookieExpirationPeriod": 60 }
], "AppCookieStickinessPolicies": [], "OtherPolicies": [ "ELBSecurityPolicy-2016-08" ] }, ... } ]}
Sesiones sticky controladas por la aplicaciónEl balanceador de carga utiliza una cookie especial para asociar la sesión con la instancia que controlóla solicitud inicial, pero respeta la vida útil de la cookie de aplicación especificada en la configuración dela política. El balanceador de carga solo inserta una nueva cookie de persistencia si la respuesta de laaplicación incluye una nueva cookie de aplicación. La cookie de persistencia del balanceador de carga nose actualiza con cada solicitud. Si la cookie de aplicación se elimina de forma explícita o vence, la sesióndeja de ser sticky hasta que se emite una nueva cookie de aplicación.
Si se produce un error en una instancia o esta pasa a encontrarse en mal estado, el balanceador de cargadeja de direccionar las solicitudes a esa instancia y elige una nueva instancia en buen estado basándoseen el algoritmo de balanceo de carga existente. El balanceador de carga trata la sesión como si estuviera"pegada" a la nueva instancia en buen estado y continúa direccionando las solicitudes a esa instanciaaunque la instancia que sufrió el error vuelva a estar en buen estado.
Para habilitar las sesiones sticky controladas por la aplicación desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Descriptions (Descripciones), elija Edit stickiness (Editar persistencia).5. En la página Edit stickiness (Editar persistencia), seleccione Enable application generated cookie
stickiness (Habilitar aplicación de la cookie generada por el balanceador de carga).6. En Cookie name (Nombre de cookie), escriba el nombre de la cookie de la aplicación.7. Seleccione Save.
83
Elastic Load Balancing Classic Load BalancersSesiones sticky controladas por la aplicación
Para habilitar las sesiones sticky controladas por la aplicación desde la AWS CLI
1. Utilice el siguiente comando create-app-cookie-stickiness-policy para crear una política de persistenciade cookies generadas por la aplicación:
aws elb create-app-cookie-stickiness-policy --load-balancer-name my-loadbalancer --policy-name my-app-cookie-policy --cookie-name my-app-cookie
2. Utilice el siguiente comando set-load-balancer-policies-of-listener para habilitar la persistencia desesión para un balanceador de carga:
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-app-cookie-policy
Note
El comando set-load-balancer-policies-of-listener reemplaza el conjunto actualde políticas asociadas con el puerto del balanceador de carga especificado. Cada vez quese utiliza el comando, debe especificar la opción --policy-names para enumerar todas laspolíticas que hay que habilitar.
3. (Opcional) Utilice el siguiente comando describe-load-balancers para comprobar que la política desesión sticky está habilitada:
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
4. La respuesta incluye la siguiente información, que muestra que la política está habilitada para elagente de escucha en el puerto especificado:
{ "LoadBalancerDescriptions": [ { ... "ListenerDescriptions": [ { "Listener": { "InstancePort": 443, "SSLCertificateId": "arn:aws:iam::123456789012:server-certificate/my-server-certificate", "LoadBalancerPort": 443, "Protocol": "HTTPS", "InstanceProtocol": "HTTPS" }, "PolicyNames": [ "my-app-cookie-policy", "ELBSecurityPolicy-2016-08" ] }, { "Listener": { "InstancePort": 80, "LoadBalancerPort": 80, "Protocol": "TCP", "InstanceProtocol": "TCP" }, "PolicyNames": [] } ], ... "Policies": { "LBCookieStickinessPolicies": [],
84
Elastic Load Balancing Classic Load BalancersEtiquetado del balanceador de carga
"AppCookieStickinessPolicies": [ { "PolicyName": "my-app-cookie-policy", "CookieName": "my-app-cookie" }
], "OtherPolicies": [ "ELBSecurityPolicy-2016-08" ] }, ... } ]}
Etiquetado del Classic Load BalancerLas etiquetas le ayudan a clasificar los balanceadores de carga de diversas maneras; por ejemplo, segúnsu finalidad, propietario o entorno.
Puede agregar varias etiquetas a cada Classic Load Balancer. Las claves de las etiquetas deben serúnicas en cada balanceador de carga. Si agrega una etiqueta con una clave que ya está asociada albalanceador de carga, se actualizará el valor de esa etiqueta.
Cuando haya terminado de utilizar una etiqueta, puede eliminarla del balanceador de carga.
Contenido• Restricciones de las etiquetas (p. 85)• Adición de una etiqueta (p. 85)• Eliminación de una etiqueta (p. 86)
Restricciones de las etiquetasSe aplican las siguientes restricciones básicas a las etiquetas:
• Número máximo de etiquetas por recurso: 50• Longitud máxima de la clave: 127 caracteres Unicode• Longitud máxima del valor: 255 caracteres Unicode• Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Los caracteres
permitidos son letras, espacios y números representables en UTF-8, además de los siguientescaracteres especiales: + - = . _ : / @. No utilice espacios anteriores o posteriores.
• No utilice el prefijo aws: en los nombres o valores de las etiquetas, porque está reservado para uso deAWS. Los nombres y valores de etiquetas que tienen este prefijo no se pueden editar. Las etiquetas quetengan este prefijo no cuentan para el límite de etiquetas por recurso.
Adición de una etiquetaPuede agregar etiquetas al balanceador de carga en cualquier momento.
Para agregar una etiqueta desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
85
Elastic Load Balancing Classic Load BalancersEliminación de una etiqueta
2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Tags, elija Add/Edit Tags.5. En la página Add/Edit Tags (Agregar/Editar etiquetas), para cada etiqueta, elija Create Tag (Crear
etiqueta) y, a continuación, especifique una clave y un valor.
6. Cuando haya terminado de agregar etiquetas, elija Save (Guardar).
Para agregar una etiqueta mediante la AWS CLI
Utilice el siguiente comando add-tags para agregar la etiqueta especificada:
aws elb add-tags --load-balancer-name my-loadbalancer --tag "Key=project,Value=lima"
Eliminación de una etiquetaPuede eliminar etiquetas del balanceador de carga en cualquier momento si ha terminado de utilizarlas.
Para eliminar una etiqueta desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Tags, elija Add/Edit Tags.5. En la página Add/Edit Tags (Agregar/Editar etiquetas), elija el icono de eliminación de la etiqueta.
6. Cuando haya terminado de eliminar etiquetas, elija Save (Guardar).
Para eliminar una etiqueta desde la AWS CLI
86
Elastic Load Balancing Classic Load BalancersConfiguración del nombre de dominio
Utilice el siguiente comando remove-tags para eliminar la etiqueta que tiene la clave especificada:
aws elb remove-tags --load-balancer-name my-loadbalancer --tag project
Configuración de un nombre de dominiopersonalizado para el Classic Load Balancer
Cada Classic Load Balancer recibe un nombre predeterminado del sistema de nombres de dominio(DNS). Este nombre de DNS incluye el nombre de la región de AWS en la que se creó el balanceadorde carga. Por ejemplo, si crea un balanceador de carga denominado my-loadbalancer en laregión EE.UU. Oeste (Oregón), el balanceador de carga recibe un nombre de DNS del tipo my-loadbalancer-1234567890.us-west-2.elb.amazonaws.com. Para obtener acceso al sitio web enlas instancias, debe pegar este nombre de DNS en el campo de direcciones de un navegador web. Sinembargo, este nombre de DNS no les resulta fácil de recordar y utilizar a sus clientes.
Si prefiere utilizar un nombre de DNS descriptivo para el balanceador de carga (por ejemplo,www.example.com) en lugar del nombre de DNS predeterminado, puede crear un nombre de dominiopersonalizado y asociárselo al nombre de DNS del balanceador de carga. Cuando un cliente realiza unasolicitud utilizando este nombre de dominio personalizado, el servidor DNS lo resuelve para hallar elnombre de DNS del balanceador de carga.
Contenido• Asociación del nombre de dominio personalizado al nombre del balanceador de carga (p. 87)• Configuración de la recuperación ante errores a nivel de DNS del balanceador de carga (p. 88)• Desasociación del nombre de dominio personalizado del balanceador de carga (p. 89)
Asociación del nombre de dominio personalizado alnombre del balanceador de cargaEn primer lugar, si aún no lo ha hecho, registre su nombre de dominio. La Internet Corporation for AssignedNames and Numbers (ICANN, Corporación de Internet para la Asignación de Nombres y Números)administra los nombres de dominios de Internet. Los nombres de dominios se registran mediante unregistrador de nombres de dominio, una organización acreditada por la ICANN que administra el registrode los nombres de dominios. En el sitio web de su registrador, se detallarán las instrucciones y lainformación sobre los precios del registro del nombre de dominio. Para obtener más información, consultelos recursos siguientes:
• Si desea usar Amazon Route 53 para registrar el nombre de un dominio, consulte Registering DomainNames Using Route 53 en la Guía para desarrolladores de Amazon Route 53.
• Para obtener una lista de registradores acreditados, consulte el Accredited Registrar Directory.
A continuación, utilice su servicio DNS (por ejemplo, su registrador de dominio) para crear un registroCNAME y direccionar las consultas al balanceador de carga. Para obtener más información, consulte ladocumentación de su servicio de DNS.
También puede usar Route 53 como su servicio DNS. Deberá crear una zona hospedada, que contieneinformación sobre cómo direccionar en Internet el tráfico para el dominio, así como un conjunto de registrosde recursos de alias, que direcciona al balanceador de carga las consultas dirigidas al nombre de dominio.Route 53 no aplica cargos por las consultas de DNS de los conjuntos de registros de alias. Así pues,
87
Elastic Load Balancing Classic Load BalancersConfiguración de la recuperación ante errores
a nivel de DNS del balanceador de carga
puede utilizar estos últimos para direccionar al balanceador de carga las consultas de DNS para el ápex dezona del dominio (por ejemplo, example.com). Para obtener información sobre cómo transferir a Route 53los servicios DNS para los dominios existentes, consulte Configuring Route 53 as Your DNS Service en laGuía para desarrolladores de Amazon Route 53.
Para crear una zona hospedada y un conjunto de registros de alias para el dominio desdeRoute 53
1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.2. Si es nuevo en Route 53, verá una página de bienvenida; seleccione Get Started Now (Comenzar
ahora) en DNS Management (Administración de DNS). En caso contrario, seleccione Hosted Zones enel panel de navegación.
3. Seleccione Create Hosted Zone.4. En Create Hosted Zone (Crear zona hospedada), haga lo siguiente:
a. En Domain Name, escriba el nombre de su dominio.b. No cambie el tipo, Public Hosted Zone. Si lo desea, escriba un comentario.c. Seleccione Create.
5. Seleccione la zona hospedada que acaba de crear para el dominio.6. Seleccione Go to Record Sets.7. Luego, Create Record Set.8. En Create Record Set, haga lo siguiente:
a. Deje el nombre predeterminado, que es el nombre de su dominio.b. En Type (Tipo), seleccione A - IPv4 address (A: dirección IPv4).c. En Alias, seleccione Yes. Un alias permite a Route 53 asociar el nombre de dominio a un recurso
de AWS, como un balanceador de carga.d. Seleccione Alias Target. Seleccione su balanceador de carga de la lista. La consola agrega el
prefijo dualstack.e. En Routing Policy (Política de direccionamiento), seleccione Simple.f. Deje Evaluate Target Health en No.g. Seleccione Create.
Configuración de la recuperación ante errores a nivelde DNS del balanceador de cargaSi utiliza Route 53 para direccionar las consultas de DNS al balanceador de carga, también puede utilizarRoute 53 para configurar la recuperación ante errores a nivel de DNS del balanceador de carga. En unaconfiguración de conmutación por error, o recuperación ante errores, Route 53 comprueba el estado de lasinstancias EC2 registradas para el balanceador de carga con el fin de determinar si están disponibles. Sino existen instancias EC2 en buen estado registradas en el balanceador de carga o si este último no seencuentra en buen estado, Route 53 direcciona el tráfico a otro recurso disponible, como un balanceadorde carga en buen estado o un sitio web estático en Amazon S3.
Por ejemplo, supongamos que tenemos una aplicación web para www.example.com y que deseamosejecutar instancias redundantes por detrás de dos balanceadores de carga que residen en regionesdistintas. Queremos direccionar el tráfico principalmente al balanceador de carga de una de las regionesy utilizar el balanceador de carga de la otra región como backup en caso de error. Si configura larecuperación ante errores a nivel de DNS, puede especificar los balanceadores de carga principal ysecundario (de backup). Route 53 dirige el tráfico al balanceador de carga principal si está disponible, obien, en caso contrario, al secundario.
88
Elastic Load Balancing Classic Load BalancersDesasociación del nombre de dominio
personalizado del balanceador de carga
Para configurar la recuperación ante errores a nivel de DNS para dos balanceadores de cargadesde Route 53
1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.2. En el panel de navegación, elija Hosted Zones.3. Seleccione la zona hospedada.4. Seleccione Go to Record Sets.5. Luego, Create Record Set.6. En Name (Nombre), el valor predeterminado es el nombre del dominio (por ejemplo, example.com).
Para direccionar al balanceador de carga las consultas de DNS dirigidas a un subdominio (porejemplo, www.example.com), escriba el nombre del subdominio.
7. En Type (Tipo), seleccione A - IPv4 address (A: dirección IPv4).8. En Alias, seleccione Yes (Sí).9. En Alias Target (Destino de alias), seleccione el balanceador de carga principal. La consola agrega el
prefijo dualstack.
Tenga en cuenta que el valor de Alias Hosted Zone ID (ID de zona alojada de alias) se basa en elbalanceador de carga que ha seleccionado.
10. En Routing Policy (Política de direccionamiento), seleccione Failover (Conmutación por error).11. En Failover Record Type (Tipo de registro de conmutación por error), seleccione Primary (Principal).12. En Set ID (ID de conjunto), escriba el ID del conjunto de registros o utilice el valor predeterminado.13. En Evaluate Target Health (Evaluar estado del destino), seleccione Yes (Sí).14. En Associate with Health Check (Asociar con comprobación de estado), seleccione No.15. Seleccione Create.16. Repita el mismo procedimiento para crear un conjunto de registros de alias para el balanceador de
carga secundario, con las siguientes excepciones:
• En Alias Target (Destino de alias), seleccione el balanceador de carga secundario.• En Failover Record Type (Tipo de registro de conmutación por error), seleccione Secondary
(Secundario).• En Evaluate Target Health (Evaluar estado de destino), seleccione Yes (Sí) para evaluar el estado
del balanceador de carga secundario. Si el balanceador de carga secundario se encuentra en malestado, Route 53 direcciona el tráfico al balanceador de carga principal. Si selecciona No, Route 53supondrá que el balanceador de carga secundario se encuentra en buen estado y direccionará eltráfico hacia él cuando el balanceador de carga principal se encuentre en mal estado.
Para obtener más información, consulte Configuring Route 53 Active-Active and Active-Passive Failover enla Guía para desarrolladores de Amazon Route 53.
Desasociación del nombre de dominio personalizadodel balanceador de cargaPuede desasociar el nombre de dominio personalizado de una instancia del balanceador de carga. Paraello, lo primero que debe hacer es eliminar los conjuntos de registro de recursos de la zona hospedada y,a continuación, eliminar la zona hospedada. Para obtener más información, consulte Creating, Changing,and Deleting Resource Record Sets y Deleting a Hosted Zone en la Guía para desarrolladores de AmazonRoute 53.
89
Elastic Load Balancing Classic Load BalancersMétricas de CloudWatch
Monitorización del Classic LoadBalancer
Puede utilizar las siguientes características para monitorizar los balanceadores de carga, analizar lospatrones de tráfico y solucionar los problemas de los balanceadores de carga y de las instancias backend.
Métricas de CloudWatch
Elastic Load Balancing publica puntos de datos en Amazon CloudWatch sobre los balanceadores decarga y las instancias backend. CloudWatch permite recuperar las estadísticas sobre estos puntosde datos en conjuntos ordenados de datos de serie temporal denominados métricas. Puede utilizarestas métricas para comprobar que el sistema funcione de acuerdo con lo esperado. Para obtenermás información, consulte Métricas de CloudWatch para el Classic Load Balancer (p. 90).
Logs de acceso de Elastic Load Balancing
Los logs de acceso de Elastic Load Balancing capturan información detallada sobre las solicitudesrealizadas al balanceador de carga y la almacenan en archivos log en el bucket de Amazon S3 queespecifique. Cada log contiene detalles como la hora de recepción de la solicitud, la dirección IP delcliente, las latencias, la ruta de solicitud y las respuestas de servidor. Puede utilizar estos logs deacceso para analizar los patrones de tráfico y solucionar los problemas con las aplicaciones backend.Para obtener más información, consulte Logs de acceso del Classic Load Balancer (p. 99).
Logs de CloudTrail
AWS CloudTrail permite realizar un seguimiento de las llamadas al API de Elastic Load Balancingrealizadas desde la cuenta de AWS o en nombre de ella. CloudTrail almacena la información enarchivos log en el bucket de Amazon S3 que especifique. Puede utilizar estos archivos log paramonitorizar la actividad de los balanceadores de carga determinando las solicitudes que se hanllevado a cabo, las direcciones IP de origen desde las que proceden las solicitudes, quién haefectuado la solicitud, cuándo se ha realizado, etc. Para obtener más información, consulte Registrode AWS CloudTrail para el Classic Load Balancer (p. 109).
Métricas de CloudWatch para el Classic LoadBalancer
Elastic Load Balancing publica puntos de datos en Amazon CloudWatch sobre los balanceadores de cargay las instancias backend. CloudWatch permite recuperar las estadísticas sobre estos puntos de datosen conjuntos ordenados de datos de serie temporal denominados métricas. Una métrica es una variableque hay que monitorizar y los puntos de datos son los valores de esa variable a lo largo del tiempo. Porejemplo, puede monitorizar el número total de instancias EC2 en buen estado de un balanceador de cargaen un periodo especificado. Cada punto de datos tiene una marca temporal asociada y una unidad demedida opcional.
Puede utilizar estas métricas para comprobar si el sistema funciona de acuerdo con lo esperado. Porejemplo, puede crear una alarma de CloudWatch para monitorizar una métrica determinada e iniciar unaacción (por ejemplo, enviar una notificación a una dirección de correo electrónico) si la métrica no estácomprendida dentro del intervalo que considera aceptable.
Elastic Load Balancing únicamente notifica las métricas a CloudWatch mientras las solicitudes estánfluyendo a través del balanceador de carga. Si hay solicitudes fluyendo a través del balanceador de carga,Elastic Load Balancing mide y envía las métricas a intervalos de 60 segundos. Si no fluye ninguna solicituda través del balanceador de carga o no hay datos para una métrica, esta no se notifica.
90
Elastic Load Balancing Classic Load BalancersMétricas de Classic Load Balancer
Para obtener más información sobre Amazon CloudWatch, consulte la Guía del usuario de AmazonCloudWatch.
Contenido• Métricas de Classic Load Balancer (p. 91)• Dimensiones de métricas de Classic Load Balancers (p. 96)• Estadísticas de las métricas de Classic Load Balancer (p. 96)• Visualización de las métricas de CloudWatch en el balanceador de carga (p. 97)• Creación de alarmas de CloudWatch para el balanceador de carga (p. 98)
Métricas de Classic Load BalancerEl espacio de nombres de AWS/ELB incluye las siguientes métricas.
Métrica Descripción
BackendConnectionErrors El número de conexiones que no se establecieron correctamenteentre el balanceador de carga y las instancias registradas. Como elbalanceador de carga reintenta la conexión cuando hay errores, esterecuento puede ser mayor que el número de solicitudes. Tenga encuenta que este número incluye también todos los errores de conexiónrelacionados con las comprobaciones de estado.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum. Tenga en cuenta queAverage, Minimum y Maximum se registran para cada nodo delbalanceador de carga y no suelen tener ninguna utilidad. Sin embargo,la diferencia entre el mínimo y el máximo (o el valor máximo hasta elvalor medio o el valor medio hasta el valor mínimo) puede resultar útilpara determinar si un nodo del balanceador de carga se comporta demanera anómala.
Ejemplo: suponga que el balanceador de carga tiene dos instancias enus-west-2a y dos instancias en us-west-2b, e intenta conectarse a unainstancia en us-west-2a, lo que produce errores de conexión del back-end. La suma de us-west-2a incluye estos errores de conexión, pero noasí la suma de us-west-2b. Por tanto, la suma del balanceador de cargaequivale a la suma de us-west-2a.
HealthyHostCount El número de instancias en buen estado registradas con el balanceadorde carga. Una instancia recién registrada se considera que estáen buen estado si supera la primera comprobación de estado. Si elbalanceo de carga entre zonas está habilitado, el número de instanciasen buen estado para la dimensión LoadBalancerName se calcula entodas las zonas de disponibilidad. De lo contrario, se calcula para cadazona de disponibilidad.
Criterios del informe: hay instancias registradas
Estadísticas: las estadísticas más útiles son Average y Maximum.Estas estadísticas las determinan los nodos del balanceador de carga.Tenga en cuenta que algunos nodos del balanceador de carga podríandeterminar que una instancia no está en buen estado durante un breveperiodo y otros nodos determinar que sí está en buen estado.
91
Elastic Load Balancing Classic Load BalancersMétricas de Classic Load Balancer
Métrica DescripciónEjemplo: suponga que el balanceador de carga tiene dos instanciasen us-west-2a y dos instancias en us-west-2b; us-west-2a tiene unainstancia que no está en buen estado y us-west-2b tiene dos instanciasque no están en buen estado. Con la dimensión AvailabilityZone,se calcula una media de 1 instancia en buen estado y 1 instancia enmal estado en us-west-2a, y una media de 2 instancias en buen estadoy 0 instancias en mal estado en us-west-2b.
HTTPCode_Backend_2XX,HTTPCode_Backend_3XX,HTTPCode_Backend_4XX,HTTPCode_Backend_5XX
[Agente de escucha HTTP] El número de códigos de respuesta HTTPgenerados por las instancias registradas. Este número no incluye loscódigos de respuesta generados por el balanceador de carga.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum. Tenga en cuenta queMinimum, Maximum y Average tienen el valor de 1.
Ejemplo: suponga que el balanceador de carga tiene dos instanciasen us-west-2a y dos instancias en us-west-2b, y que las solicitudesenviadas a 1 instancia en us-west-2a producen respuestas HTTP 500.La suma de us-west-2a incluye estas respuestas de error, pero no asíla suma de us-west-2b. Por tanto, la suma del balanceador de cargaequivale a la suma de us-west-2a.
HTTPCode_ELB_4XX [Agente de escucha HTTP] El número de códigos de error del clienteHTTP 4XX generados por el balanceador de carga. Los errores delcliente se generan cuando una solicitud no tiene el formato correcto oestá incompleta.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum. Tenga en cuenta queMinimum, Maximum y Average tienen el valor de 1.
Ejemplo: suponga que el balanceador de carga tiene las regionesus-west-2a y us-west-2b habilitadas, y que las solicitudes del clienteincluyen una dirección URL solicitada con un formato incorrecto. Comoresultado, los errores del cliente aumentarían probablemente en todaslas zonas de disponibilidad. La suma del balanceador de carga equivalea la suma de los valores de las zonas de disponibilidad.
92
Elastic Load Balancing Classic Load BalancersMétricas de Classic Load Balancer
Métrica Descripción
HTTPCode_ELB_5XX [Agente de escucha HTTP] El número de códigos de error del servidorHTTP 5XX generados por el balanceador de carga. Este númerono incluye los códigos de respuesta generados por las instanciasregistradas. Esta métrica se registra si no hay ninguna instancia enbuen estado registrada en el balanceador de carga o si el número desolicitudes supera la capacidad de las instancias o del balanceador decarga.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum. Tenga en cuenta queMinimum, Maximum y Average tienen el valor de 1.
Ejemplo: suponga que el balanceador de carga tiene las regiones us-west-2a y us-west-2b habilitadas, y que las instancias de us-west-2aexperimentan una alta latencia y tardan en responder a las solicitudes.Como resultado, la cola de sobrecarga de los nodos del balanceadorde carga en us-west-2a se llena y el cliente recibe un error 503. Si us-west-2b sigue respondiendo normalmente, la suma del balanceador decarga equivale a la suma de us-west-2a.
Latency [Agente de escucha HTTP] Tiempo total, en segundos, transcurridodesde que el balanceador de carga envió la solicitud a una instanciaregistrada hasta que esta comenzó a enviar los encabezados de larespuesta.
[Agente de escucha TCP] Tiempo total, en segundos, que tardó elbalanceador de carga en establecer una conexión correcta con unainstancia registrada.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Average. Use Maximum paradeterminar si algunas solicitudes están tardando bastante más de lamedia. Tenga en cuenta que Minimum no suele ser útil.
Ejemplo: suponga que el balanceador de carga tiene dos instanciasen us-west-2a y dos instancias en us-west-2b, y que las solicitudesenviadas a 1 instancia en us-west-2a tienen una alta latencia. La mediade us-west-2a tiene un valor mayor que la media de us-west-2b.
93
Elastic Load Balancing Classic Load BalancersMétricas de Classic Load Balancer
Métrica Descripción
RequestCount El número de solicitudes completadas o conexiones realizadas duranteel intervalo especificado (1 o 5 minutos).
[Agente de escucha HTTP] El número de solicitudes recibidas yenrutadas, incluidas las respuestas de error HTTP de las instanciasregistradas.
[Agente de escucha TCP] El número de conexiones realizadas en lasinstancias registradas.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum. Tenga en cuenta queMinimum, Maximum y Average devuelven 1.
Ejemplo: suponga que el balanceador de carga tiene dos instanciasen us-west-2a y dos instancias en us-west-2b, y que se envían 100solicitudes al balanceador de carga. Hay 60 solicitudes enviadas a-west-2a, de las cuales cada instancia recibe 30, y hay 40 solicitudesenviadas a us-west-2b, de las cuales cada instancia recibe 20.Con la dimensión AvailabilityZone, se suman 60 solicitudesen us-west-2a y 40 solicitudes en us-west-2b. Con la dimensiónLoadBalancerName, se suman 100 solicitudes.
SpilloverCount El número total de solicitudes que se rechazaron porque la cola desobrecarga está llena.
[Agente de escucha HTTP] El balanceador de carga devuelve un códigode error HTTP 503.
[Agente de escucha TCP] El balanceador de carga cierra la conexión.
Criterios del informe: hay un valor distinto de cero
Estadísticas: la estadística más útil es Sum. Tenga en cuenta queAverage, Minimum y Maximum se registran para cada nodo delbalanceador de carga y no suelen tener ninguna utilidad.
Ejemplo: suponga que el balanceador de carga tiene las regiones us-west-2a y us-west-2b habilitadas, y que las instancias de us-west-2aexperimentan una alta latencia y tardan en responder a las solicitudes.Como resultado, la cola de sobrecarga del nodo del balanceador decarga en us-west-2a se llena, con lo que se supera la capacidad. Si us-west-2b sigue respondiendo normalmente, la suma del balanceador decarga equivaldrá a la suma de us-west-2a.
94
Elastic Load Balancing Classic Load BalancersMétricas de Classic Load Balancer
Métrica Descripción
SurgeQueueLength El número total de solicitudes que están pendientes de enrutarse.El balanceador de carga pone una solicitud en la cola si no puedeestablecer una conexión con una instancia en buen estado para enrutarla solicitud. El tamaño máximo de la cola es 1 024. Las solicitudesadicionales se rechazan cuando la cola está llena. Para obtener másinformación, consulte SpilloverCount.
Criterios del informe: hay un valor distinto de cero.
Estadística: la estadística más útil es Maximum porque representa elvalor máximo de las solicitudes en cola. La estadística Average puedeser útil en combinación con Minimum y Maximum para determinar elintervalo de solicitudes en cola. Tenga en cuenta que Sum no es útil.
Ejemplo: suponga que el balanceador de carga tiene las regiones us-west-2a y us-west-2b habilitadas, y que las instancias de us-west-2aexperimentan una alta latencia y tardan en responder a las solicitudes.Como resultado, la cola de sobrecarga de los nodos del balanceadorde carga en us-west-2a se llena y es probable que los clientesexperimenten tiempos de repuesta mayores. Si esta situación continúa,el balanceador de carga probablemente superará su capacidad (véasela métrica SpilloverCount). Si us-west-2b sigue respondiendonormalmente, el valor max del balanceador de carga equivaldrá al valormax de us-west-2a.
UnHealthyHostCount El número de instancias en mal estado registradas con el balanceadorde carga. Se considera que una instancia está en mal estadocuando supera el umbral de estado correcto configurado para lascomprobaciones de estado. Se considera que una instancia en malestado pasa a estar en buen estado cuando se mantiene en el umbralde estado correcto configurado para las comprobaciones de estado.
Criterios del informe: hay instancias registradas
Estadísticas: las estadísticas más útiles son Average y Minimum.Estas estadísticas las determinan los nodos del balanceador de carga.Tenga en cuenta que algunos nodos del balanceador de carga podríandeterminar que una instancia no está en buen estado durante un breveperiodo y otros nodos determinar que sí está en buen estado.
Ejemplo: consulte HealthyHostCount.
Las siguientes métricas le permiten calcular los costos si migra un Classic Load Balancer a un Balanceadorde carga de aplicaciones. Estas métricas solo se incluyen a título informativo y no se han diseñado para suuso con alarmas de CloudWatch. Tenga en cuenta que si su Classic Load Balancer tiene varios agentes deescucha, estas métricas son la suma de todos los agentes de escucha.
Estas estimaciones se basan en un balanceador de carga con una regla predeterminada y un certificadocon un tamaño de 2 K. Si usa un certificado con un tamaño de 4 K o mayor, le recomendamos que calculelos costos de la manera siguiente; cree un Balanceador de carga de aplicaciones a partir del ClassicLoad Balancer mediante la herramienta de migración y monitorice la métrica ConsumedLCUs para elBalanceador de carga de aplicaciones. Para obtener más información, consulte Migración desde unClassic Load Balancer a un Balanceador de carga de aplicaciones en la Guía del usuario de Elastic LoadBalancing.
95
Elastic Load Balancing Classic Load BalancersDimensiones de métricas de Classic Load Balancers
Métrica Descripción
EstimatedALBActiveConnectionCountEl número estimado de conexiones TCP simultáneas activas desde losclientes al balanceador de carga y desde el balanceador de carga a losdestinos.
EstimatedALBConsumedLCUs El número estimado de unidades de capacidad del balanceador decarga (LCU) usadas por un Balanceador de carga de aplicaciones.Se paga por el número de LCU usadas a la hora. Para obtener másinformación, consulte Elastic Load Balancing Pricing.
EstimatedALBNewConnectionCountEl número estimado de conexiones TCP nuevas establecidas desde losclientes al balanceador de carga y desde el balanceador de carga a losdestinos.
EstimatedProcessedBytes El número estimado de bytes procesados por un Application LoadBalancer.
Dimensiones de métricas de Classic Load BalancersPara filtrar las métricas de su Classic Load Balancer, use las siguientes dimensiones.
Dimensión Descripción
AvailabilityZone Filtra los datos de métricas por la zona de disponibilidad especificada.
LoadBalancerName Filtra los datos de métricas por el balanceador de carga especificado.
Estadísticas de las métricas de Classic Load BalancerCloudWatch proporciona estadísticas en función de los puntos de datos de las métricas publicadas porElastic Load Balancing. Las estadísticas son agregaciones de los datos de las métricas correspondientesal periodo especificado. Cuando se solicitan estadísticas, el flujo de datos devuelto se identifica medianteel nombre de la métrica y su dimensión. Una dimensión es un par de nombre/valor que identifica unamétrica de forma inequívoca. Por ejemplo, puede solicitar estadísticas para todas las instancias EC2 enbuen estado que se encuentran tras un balanceador de carga lanzado en una zona de disponibilidadespecífica.
Las estadísticas Minimum y Maximum reflejan el mínimo y el máximo registrados en los nodos individualesdel balanceador de carga. Por ejemplo, supongamos que hay dos nodos del balanceador de carga. Unotiene la métrica HealthyHostCount con los siguientes valores: Minimum, 2; Maximum, 10; y Average, 6.En el otro nodo, los valores de la métrica HealthyHostCount son: Minimum, 1; Maximum, 5; y Average,3. Por consiguiente, para el balanceador de carga en su conjunto, Minimum es 1, Maximum es 10 yAverage es aproximadamente 4.
La estadística Sum es el valor de la suma para todos los nodos del balanceador de carga. Dado quelas métricas incluyen varios informes por periodo, Sum solo se aplica a las métricas que se sumanen todos los nodos de balanceador de carga, tales como RequestCount, HTTPCode_ELB_XXX,HTTPCode_Backend_XXX, BackendConnectionErrors y SpilloverCount.
La estadística SampleCount representa el número de muestras medidas. Dado que las métricas serecopilan en función de determinados intervalos de muestreo y eventos, esta estadística no suele resultarútil. Por ejemplo, para HealthyHostCount, SampleCount se basa en el número de muestras quenotifica cada nodo del balanceador de carga, no en el número de hosts en buen estado.
96
Elastic Load Balancing Classic Load BalancersVisualización de las métricas de
CloudWatch en el balanceador de carga
Un percentil indica el peso relativo de un valor en un conjunto de datos. Puede especificar cualquierpercentil con hasta dos decimales (por ejemplo, p95.45). Por ejemplo, el percentil 95 significa que el 95 %de los datos está por debajo de este valor y el 5 % está por encima de él. Los percentiles se suelen utilizarpara aislar anomalías. Por ejemplo, supongamos que una aplicación tarda entre 1 y 2 ms en atenderla mayoría de las solicitudes desde una caché; pero que tarda 100-200 ms si la caché está vacía. Elmáximo refleja el caso más lento, de unos 200 ms. El promedio no indica la distribución de los datos.Los percentiles proporcionan una visión más significativa del desempeño de la aplicación. Si se utiliza elpercentil 99 como disparador de Auto Scaling o alarma de CloudWatch, puede determinar que el númerode solicitudes que tardan en procesarse más de 2 ms no supere el 1 %.
Visualización de las métricas de CloudWatch en elbalanceador de cargaPuede ver las métricas de CloudWatch de los balanceadores de carga en la consola de Amazon EC2.Estas métricas se muestran en gráficos de monitorización. Los gráficos de monitorización muestran puntosde datos si el balanceador de carga se encuentra activo y recibiendo solicitudes.
Si lo prefiere, puede ver las métricas del balanceador de carga en la consola de CloudWatch.
Para consultar las métricas desde la consola de Amazon EC2
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. Elija la pestaña Monitoring.5. (Opcional) Para filtrar los resultados por tiempo, seleccione un intervalo de tiempo en Showing data
for.6. Para obtener una vista más amplia de una misma métrica, seleccione su gráfico. Están disponibles las
siguientes métricas:
• Hosts en buen estado: HealthyHostCount• Hosts en mal estado: UnHealthyHostCount• Latencia media: Latency• Suma de solicitudes: RequestCount• Errores de conexión backend: BackendConnectionErrors• Longitud de cola de oleada: SurgeQueueLength• Recuento de casos de superación de capacidad: SpilloverCount• Suma de códigos HTTP 2XX: HTTPCode_Backend_2XX• Suma de códigos HTTP 4XX: HTTPCode_Backend_4XX• Suma de códigos HTTP 5XX: HTTPCode_Backend_5XX• Suma de códigos HTTP 4XX de ELB: HTTPCode_ELB_4XX• Suma de códigos HTTP 5XX de ELB: HTTPCode_ELB_5XX
Para consultar las métricas mediante la consola de CloudWatch
1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, seleccione Metrics.3. Seleccione el espacio de nombres de ELB.4. Aplique alguna de las siguientes acciones:
• Seleccione una dimensión de métrica para ver las métricas por balanceador de carga, por zonade disponibilidad o para todos los balanceadores de carga.
97
Elastic Load Balancing Classic Load BalancersCreación de alarmas de CloudWatch
para el balanceador de carga
• Para ver una métrica en todas las dimensiones, escriba su nombre en el campo de búsqueda.• Para ver las métricas de un solo balanceador de carga, escriba su nombre en el campo de
búsqueda.• Para ver las métricas de una sola zona de disponibilidad, escriba su nombre en el campo de
búsqueda.
Creación de alarmas de CloudWatch para elbalanceador de cargaUna alarma vigila una métrica determinada durante el periodo especificado. En función del valor de lamétrica respecto al umbral definido para ella, la alarma puede enviar una o varias notificaciones medianteAmazon SNS. Se trata de un servicio que permite a las aplicaciones, los usuarios finales y los dispositivosenviar y recibir notificaciones de forma instantánea. Para obtener más información, consulte GettingStarted with Amazon Simple Notification Service.
Una alarma envía notificaciones a Amazon SNS cuando la métrica especificada alcanza el rango definidoy permanece en dicho rango durante el periodo de tiempo especificado. Una alarma tiene tres estadosposibles:
• OK: el valor de la métrica se encuentra dentro del rango especificado.• ALARM: el valor de la métrica se encuentra fuera del rango especificado durante el periodo de tiempo
especificado.• INSUFFICIENT_DATA: la métrica aún no está disponible o no hay datos suficientes para determinar el
estado de la alarma.
Cuando el estado de una alarma cambia, CloudWatch utiliza Amazon SNS para enviar una notificación alas direcciones de correo electrónico que se han especificado.
El siguiente procedimiento permite crear una alarma para el balanceador de carga en la consola deAmazon EC2. La alarma envía notificaciones a un tema de SNS cuando la latencia del balanceador decarga es superior a 120 segundos durante un periodo de 5 minutos consecutivo. Tenga en cuenta quereducir el periodo aumenta la sensibilidad de la alarma, mientras que periodo más largo puede mitigar lospicos breves que experimenta una métrica.
Note
Si lo prefiere, puede crear una alarma para el balanceador de carga en la consola de CloudWatch.Para obtener más información, consulte cómo enviar correo electrónico en función de una alarmadel balanceador de carga en la Guía del usuario de Amazon CloudWatch.
Para crear una alarma en el balanceador de carga
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Monitoring, elija Create Alarm.5. Si cuenta con un tema de SNS que desea utilizar, selecciónelo en Send a notification to (Enviar una
notificación a). De lo contrario, cree un tema de SNS de la siguiente manera:
a. Elija create topic.b. En Send a notification to (Enviar una notificación a), escriba un nombre para el tema.c. En With these recipients (Con estos destinatarios), escriba las direcciones de correo electrónico
de los destinatarios a los que se deberá notificar, separadas por comas. Puede especificar hasta
98
Elastic Load Balancing Classic Load BalancersLogs de acceso
10 direcciones de correo electrónico. Cada destinatario recibe un correo electrónico de AmazonSNS con un enlace para suscribirse al tema de SNS y recibir las notificaciones.
6. Defina el umbral de la alarma como se indica a continuación. En Whenever (Siempre que), seleccioneAverage (Media) y Average Latency (Latencia media). En Is (Es), seleccione > y escriba 120. En Forat least (Durante al menos), escriba 1 y seleccione un período consecutivo de 5 minutes (5 minutos).
7. En Name of alarm (Nombre de alarma), se genera un nombre automáticamente para usted. Si loprefiere, puede escribir otro nombre.
8. Elija Create Alarm.
Logs de acceso del Classic Load BalancerElastic Load Balancing proporciona logs de acceso que capturan información detallada sobre lassolicitudes enviadas al balanceador de carga. Cada log contiene distintos datos, como el momento en quese recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas delservidor. Puede utilizar estos logs de acceso para analizar los patrones de tráfico y solucionar problemas.
El registro de acceso es una característica opcional de Elastic Load Balancing que está deshabilitadade forma predeterminada. Una vez que se ha habilitado el registro de acceso del balanceador de carga,Elastic Load Balancing captura los logs y los almacena en el bucket de Amazon S3 que haya especificado.Puede deshabilitar el registro de acceso en cualquier momento.
Los logs de acceso no suponen ningún cargo adicional. Se le cobrarán los costos de almacenamiento enAmazon S3, pero no el ancho de banda que Elastic Load Balancing utilice para enviar los archivos log aAmazon S3. Para obtener más información acerca de los costos de almacenamiento, consulte Precios deAmazon S3.
Contenido• Archivos log de acceso (p. 99)• Entradas de los logs de acceso (p. 100)• Procesamiento de logs de acceso (p. 103)• Habilitación de los logs de acceso del Classic Load Balancer (p. 104)• Deshabilitación de los logs de acceso del Classic Load Balancer (p. 108)
Archivos log de accesoElastic Load Balancing publica un archivo log para cada nodo del balanceador de carga con el intervaloespecificado. Puede especificar un intervalo de publicación de 5 minutos o 60 minutos al habilitar el logde acceso del balanceador de carga. De forma predeterminada, Elastic Load Balancing publica los logs aintervalos de 60 minutos. Si el intervalo se establece en 5 minutos, los logs se publican a las 1:05, 1:10,1:15 y así sucesivamente. El inicio de la entrega de logs se retrasa hasta 5 minutos si el intervalo es de5 minutos y hasta 15 minutos si el intervalo es de 60 minutos. Puede modificar el intervalo de publicaciónen cualquier momento.
El balanceador de carga puede entregar varios logs para el mismo periodo. Esto suele ocurrir si el sitiotiene mucho tráfico, varios nodos del balanceador de carga y un intervalo breve de publicación de logs.
Los nombres de archivo de los logs de acceso utilizan el siguiente formato:
bucket[/prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/aws-account-id_elasticloadbalancing_region_load-balancer-name_end-time_ip-address_random-string.log
99
Elastic Load Balancing Classic Load BalancersEntradas de los logs de acceso
bucket
Nombre del bucket de S3.prefijo
El prefijo (jerarquía lógica) del bucket. Si no especifica un prefijo, los logs se colocan en el nivel raíz elbucket.
aws-account-id
El ID de la cuenta de AWS del propietario.region
La región del balanceador de carga y del bucket de S3.aaaa/mm/dd
La fecha de entrega del log.load-balancer-name
El nombre del balanceador de carga.end-time
La fecha y hora en que finalizó el intervalo de registro. Por ejemplo, si el valor de este campo es20140215T2340Z, contiene las entradas correspondientes a las solicitudes realizadas entre las 23:35y las 23:40 si el intervalo de publicación es de 5 minutos.
ip-address
La dirección IP del nodo del balanceador de carga que controló la solicitud. Si se trata de unbalanceador de carga interno, es una dirección IP privada.
random-string
Una cadena generada aleatoriamente por el sistema.
A continuación se muestra un ejemplo de nombre de un archivo log:
s3://my-loadbalancer-logs/my-app/AWSLogs/123456789012/elasticloadbalancing/us-west-2/2014/02/15/123456789012_elasticloadbalancing_us-west-2_my-loadbalancer_20140215T2340Z_172.160.001.192_20sg8hgm.log
Puede almacenar los archivos de log en su bucket todo el tiempo que desee, y también puede definirreglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos de log automáticamente. Paraobtener más información, consulte Object Lifecycle Management en la Guía para desarrolladores deAmazon Simple Storage Service.
Entradas de los logs de accesoElastic Load Balancing registra las solicitudes enviadas al balanceador de carga, incluidas las que nuncahan llegado hasta las instancias backend. Por ejemplo, si un cliente envía una solicitud con un formatoincorrecto o no hay ninguna instancia en buen estado para responder, la solicitud se registra igualmente.
Important
Elastic Load Balancing registra las solicitudes en la medida en que sea posible. Recomendamosutilizar los logs de acceso para comprender la naturaleza de las solicitudes y no como unarelación exhaustiva de todas las solicitudes.
100
Elastic Load Balancing Classic Load BalancersEntradas de los logs de acceso
SintaxisCada entrada de log contiene los detalles de una única solicitud realizada al balanceador de carga. Todoslos campos de la entrada de log están delimitados por espacios. Cada entrada del archivo log presenta elsiguiente formato:
timestamp elb client:port backend:port request_processing_time backend_processing_time response_processing_time elb_status_code backend_status_code received_bytes sent_bytes "request" "user_agent" ssl_cipher ssl_protocol
En la siguiente tabla se describen los campos de una entrada de log de acceso.
Campo Descripción
timestamp Hora a la que el balanceador de carga recibió la solicitud del cliente, enformato ISO 8601.
elb El nombre del balanceador de carga
client:port Dirección IP y puerto del cliente solicitante.
backend:port Dirección IP y puerto de la instancia registrada que procesó esta solicitud.
Si el balanceador de carga no consigue enviar la solicitud a una instanciaregistrada o si una instancia cierra la conexión antes de haber podido enviaruna respuesta, este valor se establece en -.
Este valor también se puede establecer en - si la instancia registrada noresponde antes de que se agote el tiempo de inactividad.
request_processing_time [Agente de escucha HTTP] Tiempo total, en segundos, transcurrido desdeque el balanceador de carga recibió la solicitud hasta que se la envió a unainstancia registrada.
[Agente de escucha TCP] Tiempo total, en segundos, transcurrido desde queel balanceador de carga aceptó una conexión de un cliente TCP/SSL hastaque envió el primer byte de datos a una instancia registrada.
Este valor también se establece en -1 si el balanceador de carga no consigueenviar la solicitud a una instancia registrada. Esto puede ocurrir si la instanciaregistrada cierra la conexión antes de que se agote el tiempo de inactividad osi el cliente envía una solicitud con el formato incorrecto. Además, en el casode los agentes de escucha TCP, esto puede ocurrir si el cliente establece unaconexión con el balanceador de carga, pero no envía ningún dato.
Este valor también se puede establecer en -1 si la instancia registrada noresponde antes de que se agote el tiempo de inactividad.
backend_processing_time [Agente de escucha HTTP] Tiempo total, en segundos, transcurrido desdeque el balanceador de carga envió la solicitud a una instancia registrada hastaque esta comenzó a enviar los encabezados de la respuesta.
[Agente de escucha TCP] Tiempo total, en segundos, que tardó elbalanceador de carga en establecer una conexión correcta con una instanciaregistrada.
Este valor también se establece en -1 si el balanceador de carga no consigueenviar la solicitud a una instancia registrada. Esto puede ocurrir si la instancia
101
Elastic Load Balancing Classic Load BalancersEntradas de los logs de acceso
Campo Descripciónregistrada cierra la conexión antes de que se agote el tiempo de inactividad osi el cliente envía una solicitud con el formato incorrecto.
Este valor también se puede establecer en -1 si la instancia registrada noresponde antes de que se agote el tiempo de inactividad.
response_processing_time[Agente de escucha HTTP] Tiempo total (en segundos) transcurrido desdeque el balanceador de carga recibió el encabezado de respuesta de lainstancia registrada hasta que comenzó a enviar la respuesta al cliente. Estoincluye tanto el tiempo de cola en el balanceador de carga como tiempo deadquisición de la conexión entre el balanceador de carga y el cliente.
[Agente de escucha TCP] Tiempo total (en segundos) transcurrido desde queel balanceador de carga recibió el primer byte de la instancia registrada hastaque comenzó a enviar la respuesta al cliente.
Este valor también se establece en -1 si el balanceador de carga no consigueenviar la solicitud a una instancia registrada. Esto puede ocurrir si la instanciaregistrada cierra la conexión antes de que se agote el tiempo de inactividad osi el cliente envía una solicitud con el formato incorrecto.
Este valor también se puede establecer en -1 si la instancia registrada noresponde antes de que se agote el tiempo de inactividad.
elb_status_code [Agente de escucha HTTP] Código de estado de la respuesta desde elbalanceador de carga.
backend_status_code [Agente de escucha HTTP] Código de estado de la respuesta desde lainstancia registrada.
received_bytes Tamaño de la solicitud, en bytes, recibida desde el cliente (solicitante).
[Agente de escucha HTTP] El valor incluye el cuerpo de la solicitud, pero nolos encabezados.
[Agente de escucha TCP] El valor incluye el cuerpo de la solicitud y losencabezados.
sent_bytes Tamaño de la respuesta, en bytes, enviada al cliente (solicitante).
[Agente de escucha HTTP] El valor incluye el cuerpo de la respuesta, pero nolos encabezados.
[Agente de escucha TCP] El valor incluye el cuerpo de la solicitud y losencabezados.
request La línea de solicitud del cliente entre comillas dobles y registrada con elsiguiente formato: Método HTTP + Protocolo://Encabezado de host:puerto +Ruta + Versión de HTTP.
[Agente de escucha TCP] La dirección URL son tres guiones, separados entresí por espacios y con un espacio al final ("- - - ").
user_agent [Agente de escucha HTTP/HTTPS] Cadena User-Agent que identificaal cliente que originó la solicitud. La cadena consta de uno o variosidentificadores de producto, con el formato producto[/versión]. Si la cadenatiene más de 8 KB, se trunca.
102
Elastic Load Balancing Classic Load BalancersProcesamiento de logs de acceso
Campo Descripción
ssl_cipher [Agente de escucha HTTPS/SSL] Cifrado SSL. Este valor se registraúnicamente si la conexión SSL/TLS entrante se estableció después de unanegociación satisfactoria. De lo contrario, el valor se establece en -.
ssl_protocol [Agente de escucha HTTPS/SSL] Protocolo SSL. Este valor se registraúnicamente si la conexión SSL/TLS entrante se estableció después de unanegociación satisfactoria. De lo contrario, el valor se establece en -.
EjemplosEjemplo de entrada HTTP
A continuación se muestra un ejemplo de entrada de log para un agente de escucha HTTP (del puerto 80al puerto 80):
2015-05-13T23:39:43.945958Z my-loadbalancer 192.168.131.39:2817 10.0.0.1:80 0.000073 0.001048 0.000057 200 200 0 29 "GET http://www.example.com:80/ HTTP/1.1" "curl/7.38.0" - -
Ejemplo de entrada HTTPS
A continuación se muestra un ejemplo de entrada de log para un agente de escucha HTTPS (del puerto443 al puerto 80):
2015-05-13T23:39:43.945958Z my-loadbalancer 192.168.131.39:2817 10.0.0.1:80 0.000086 0.001048 0.001337 200 200 0 57 "GET https://www.example.com:443/ HTTP/1.1" "curl/7.38.0" DHE-RSA-AES128-SHA TLSv1.2
Ejemplo de entrada TCP
A continuación se muestra un ejemplo de entrada de log para un agente de escucha TCP (del puerto 8080al puerto 80):
2015-05-13T23:39:43.945958Z my-loadbalancer 192.168.131.39:2817 10.0.0.1:80 0.001069 0.000028 0.000041 - - 82 305 "- - - " "-" - -
Ejemplo de entrada SSL
A continuación se muestra un ejemplo de entrada de log para un agente de escucha SSL (del puerto 8443al puerto 80):
2015-05-13T23:39:43.945958Z my-loadbalancer 192.168.131.39:2817 10.0.0.1:80 0.001065 0.000015 0.000023 - - 57 502 "- - - " "-" ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2
Procesamiento de logs de accesoSi existe una gran cantidad de demanda en el sitio web, el balanceador de carga puede generar archivoslog con gigabytes de datos. Es posible que no pueda procesar semejante cantidad de datos con elprocesamiento línea por línea. En tal caso, podría ser preciso utilizar herramientas de análisis que ofrezcansoluciones de procesamiento en paralelo. Por ejemplo, puede utilizar las siguientes herramientas deanálisis para analizar y procesar los logs de acceso:
103
Elastic Load Balancing Classic Load BalancersHabilitar logs de acceso
• Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos en AmazonS3 con SQL estándar. Para obtener más información, consulte Querying Classic Load Balancer Logs(Consulta de logs de Classic Load Balancer) en Guía del usuario de Amazon Athena.
• Loggly• Splunk• Sumo Logic
Habilitación de los logs de acceso del Classic LoadBalancerPara habilitar los logs de acceso del balanceador de carga, debe especificar el nombre del bucket deAmazon S3 donde el balanceador de carga almacenará los logs. También es preciso adjuntar una políticaa este bucket que conceda permiso a Elastic Load Balancing para escribir en él.
Important
El bucket y el balanceador de carga deben estar en la misma región. El bucket puede pertenecera otra cuenta que no sea la propietaria del balanceador de carga.
Tareas• Paso 1: Crear un bucket de S3 (p. 104)• Paso 2: Adjuntar una política al bucket de S3 (p. 105)• Paso 3: Habilitar los logs de acceso (p. 107)• Paso 4: Comprobar que el balanceador de carga ha creado un archivo de prueba en el bucket de
S3 (p. 108)
Paso 1: Crear un bucket de S3Puede crear un bucket de S3 en la consola de Amazon S3. Si ya tiene un bucket y desea utilizarlopara almacenar los logs de acceso, omita este paso y vaya a Paso 2: Adjuntar una política al bucket deS3 (p. 105) con el fin de conceder permiso a Elastic Load Balancing para escribir logs en el bucket.
Tip
Si va a usar la consola para habilitar los logs de acceso, puede omitir este paso y hacer queElastic Load Balancing cree automáticamente un bucket con los permisos requeridos. Si va ausar la AWS CLI para habilitar los logs de acceso, debe crear el bucket y conceder los permisosnecesarios personalmente.
Para crear un bucket de Amazon S3
1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.2. Seleccione la opción Create Bucket.3. En la página Create a Bucket (Crear un bucket), realice las siguientes acciones:
a. En Bucket Name (Nombre de bucket), escriba el nombre del bucket (por ejemplo, my-loadbalancer-logs). Este nombre debe ser único entre todos los nombres de buckets deAmazon S3. En algunas regiones de , es posible que haya restricciones adicionales para losnombres de los buckets. Para obtener más información, consulte la sección Bucket Restrictionsand Limitations en la guía Guía para desarrolladores de Amazon Simple Storage Service.
b. En Region, seleccione la región donde ha creado el balanceador de carga.c. Seleccione Create.
104
Elastic Load Balancing Classic Load BalancersHabilitar logs de acceso
Paso 2: Adjuntar una política al bucket de S3Una vez que haya creado o identificado el bucket de S3, debe adjuntarle una política. Las políticas debucket son colecciones de instrucciones JSON escritas en el lenguaje de la política de acceso para definirlos permisos de acceso al bucket. Cada instrucción incluye información sobre un único permiso y contieneuna serie de elementos.
Si el bucket ya tiene una política adjunta, puede agregar las instrucciones del log de acceso de ElasticLoad Balancing a esa política. En este caso, recomendamos evaluar el conjunto de permisos resultantepara asegurarse de que sean adecuados para los usuarios que necesitan obtener acceso al bucket enrelación con los logs de acceso.
Tip
Si va a usar la consola para habilitar los logs de acceso, puede omitir este paso y hacer queElastic Load Balancing cree automáticamente un bucket con los permisos requeridos.
Para adjuntar una instrucción de política al bucket
1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.2. Seleccione el bucket y, a continuación, elija Permissions (Permisos).3. Elija Bucket Policy. Si el bucket ya tiene una política adjunta, puede agregar la instrucción necesaria a
esta política.4. Elija Policy generator. En la página AWS Policy Generator haga lo siguiente:
a. Para Select Type of Policy (Seleccionar tipo de política), seleccione S3 Bucket Policy (Política delbucket de S3).
b. En Effect (Efecto), seleccione Allow (Permitir) para permitir el acceso al bucket de S3.c. En Principal (Entidad principal), escriba el ID de la cuenta para Elastic Load Balancing, con el
fin de conceder a Elastic Load Balancing acceso al bucket de S3. Utilice el ID de la cuenta quecorresponde a la región del balanceador de carga y del bucket.
Región Nombre de la región ID de la cuenta de Elastic Load Balancing
us-east-1 US East (N. Virginia) 127311923021
us-east-2 EE.UU. Este (Ohio) 033677994240
us-west-1 EE.UU. Oeste (Nortede California)
027434742980
us-west-2 EE.UU. Oeste(Oregón)
797873946194
ca-central-1 Canadá (Central) 985666609251
eu-central-1 UE (Fráncfort) 054676820928
eu-west-1 UE (Irlanda) 156460612806
eu-west-2 UE (Londres) 652711504416
eu-west-3 UE (París) 009996457667
ap-northeast-1 Asia Pacífico (Tokio) 582318560864
ap-northeast-2 Asia Pacífico (Seúl) 600734575887
105
Elastic Load Balancing Classic Load BalancersHabilitar logs de acceso
Región Nombre de la región ID de la cuenta de Elastic Load Balancing
ap-northeast-3 Asia Pacífico (Osaka-local)
383597477331
ap-southeast-1 Asia Pacífico(Singapur)
114774131450
ap-southeast-2 Asia Pacífico (Sídney) 783225319266
ap-south-1 Asia Pacífico(Mumbai)
718504428378
sa-east-1 América del Sur (SãoPaulo)
507241528517
us-gov-west-1* AWS GovCloud(EE.UU.)
048591011584
cn-north-1** China (Pekín) 638102146993
cn-northwest-1** China (Ningxia) 037604701340
* Esta región requiere una cuenta independiente. Para obtener más información, consulte AWSGovCloud (EE.UU.).
** Esta región requiere una cuenta independiente. Para obtener más información, consulte China(Pekín).
d. En Actions (Acciones), seleccione PutObject para permitir que Elastic Load Balancing almaceneobjetos en el bucket de S3.
e. En Amazon Resource Name (ARN), escriba el ARN del bucket de S3 con el siguiente formato:
arn:aws:s3:::bucket/prefix/AWSLogs/aws-account-id/*
Debe especificar el ID de la cuenta de AWS propietaria del balanceador de carga sin incluir losguiones. Por ejemplo:
arn:aws:s3:::my-loadbalancer-logs/my-app/AWSLogs/123456789012/*
Tenga en cuenta que si utiliza la región us-gov-west-1, debe usar arn:aws-us-gov: en lugarde arn:aws: en el ARN.
f. Elija Add Statement, Generate Policy. El documento de política debe ser similar a este:
{ "Id": "Policy1429136655940", "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1429136633762", "Action": [ "s3:PutObject" ], "Effect": "Allow", "Resource": "arn:aws:s3:::my-loadbalancer-logs/my-app/AWSLogs/123456789012/*", "Principal": { "AWS": [
106
Elastic Load Balancing Classic Load BalancersHabilitar logs de acceso
"797873946194" ] } } ]}
g. Si va a crear una política de bucket nueva, copie el documento de política completo y, acontinuación, elija Close.
Si va a modificar una política de bucket existente, copie la nueva instrucción del documento depolítica (el texto comprendido entre [ y ] del Statement elemento ) y, a continuación, elija Close.
5. Vuelva al Amazon S3 consola y pegue la política en el área de texto según corresponda.6. Seleccione Save.
Paso 3: Habilitar los logs de accesoPuede habilitar los logs de acceso en la Consola de administración de AWS o en la AWS CLI. Tenga encuenta que al activar los logs de acceso desde la consola, puede hacer que Elastic Load Balancing creeautomáticamente el bucket con todos los permisos necesarios para que el balanceador de carga escribaen él.
Utilice el siguiente ejemplo para capturar los logs y entregarlos en el bucket de S3 cada 60 minutos (elintervalo predeterminado).
Para habilitar los logs de acceso para el balanceador de carga desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Descriptions (Descripciones), elija Configure Access Logs (Configurar logs de acceso).5. En la página Configure Access Logs (Configurar logs de acceso), realice las siguientes acciones:
a. Elija Enable access logs.b. Deje Interval (Intervalo) como predeterminado, 60 minutes.c. En S3 location (Ubicación de S3), escriba el nombre del bucket de S3, incluido el prefijo, si lo hay
(por ejemplo, my-loadbalancer-logs/my-app). Puede especificar el nombre de un bucketexistente o el nombre del bucket nuevo.
d. (Opcional) Si el depósito no existe, seleccione Crear esta ubicación. Debe especificar un nombreúnico entre todos los nombres de bucket existentes en Amazon S3 que respete las convencionesde nomenclatura de DNS. Para obtener más información, consulte Rules for Bucket Naming en laGuía para desarrolladores de Amazon Simple Storage Service.
e. Seleccione Save.
Para habilitar los logs de acceso para el balanceador de carga desde la AWS CLI
En primer lugar, cree un archivo .json que permita a Elastic Load Balancing capturar logs y entregarloscada 60 minutos en el bucket de S3 creado para ello:
{ "AccessLog": { "Enabled": true, "S3BucketName": "my-loadbalancer-logs", "EmitInterval": 60, "S3BucketPrefix": "my-app"
107
Elastic Load Balancing Classic Load BalancersDeshabilitación de los logs de acceso
}}
Para habilitar los logs de acceso, especifique el archivo .json en el comando modify-load-balancer-attributes de la siguiente manera:
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes file://my-json-file.json
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerAttributes": { "AccessLog": { "Enabled": true, "EmitInterval": 60, "S3BucketName": "my-loadbalancer-logs", "S3BucketPrefix": "my-app" } }, "LoadBalancerName": "my-loadbalancer"}
Paso 4: Comprobar que el balanceador de carga ha creado unarchivo de prueba en el bucket de S3Una vez que el log de acceso se encuentra habilitado para el balanceador de carga, Elastic LoadBalancing valida el bucket de S3 y crea un archivo de prueba. Puede utilizar la consola de S3 paracomprobar que se ha creado el archivo de prueba.
Para comprobar que Elastic Load Balancing ha creado un archivo de prueba en el bucket de S3
1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.2. Seleccione el bucket de S3.3. Vaya al archivo log de prueba. La ruta debe ser la siguiente:
my-bucket/prefix/AWSLogs/123456789012/ELBAccessLogTestFile
Para administrar el bucket de S3 para los logs de acceso
Después de habilitar el registro de acceso, asegúrese de deshabilitarlo antes de eliminar el bucket consus logs de acceso. De lo contrario, si existe un nuevo bucket con el mismo nombre y la política de bucketcorrespondiente se ha creado en una cuenta de AWS que no le pertenece, Elastic Load Balancing podríaescribir los logs de acceso del balanceador de carga en este nuevo bucket.
Deshabilitación de los logs de acceso del Classic LoadBalancerPuedes deshabilitar los logs de acceso del balanceador de carga en cualquier momento. Después dedeshabilitar el registro de acceso, los logs de acceso permanecerán en Amazon S3 hasta que los elimine.Para obtener información sobre la administración del bucket de S3, consulte Working with Buckets en laGuía del usuario de la consola de Amazon Simple Storage Service.
108
Elastic Load Balancing Classic Load BalancersCloudTrail Logs
Para deshabilitar el registro de acceso desde la consola
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.2. En el panel de navegación, en LOAD BALANCING, elija Load Balancers.3. Seleccione el balanceador de carga.4. En la pestaña Descriptions (Descripciones), elija Configure Access Logs (Configurar logs de acceso).5. En la página Configure Access Logs (Configurar logs de acceso), desactive Enable access logs
(Habilitar logs de acceso).6. Seleccione Save.
Para deshabilitar el registro de acceso desde la AWS CLI
Utilice el siguiente comando 1modify-load-balancer-attributes para deshabilitar el registro de acceso:
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"AccessLog\":{\"Enabled\":false}}"
A continuación se muestra un ejemplo de respuesta:
{ "LoadBalancerName": "my-loadbalancer", "LoadBalancerAttributes": { "AccessLog": { "S3BucketName": "my-loadbalancer-logs", "EmitInterval": 60, "Enabled": false, "S3BucketPrefix": "my-app" } }}
Registro de AWS CloudTrail para el Classic LoadBalancer
Elastic Load Balancing está integrado con AWS CloudTrail, que captura las llamadas al API y entrega losarchivos log en el bucket de Amazon S3 especificado. El uso de CloudTrail no supone costo alguno. Sinembargo, se aplican las tarifas estándar de Amazon S3.
Los logs de CloudTrail llaman a los API de AWS, incluido el API de Elastic Load Balancing, cada vez quese utilizan directa o indirectamente a través de la Consola de administración de AWS. Puede utilizar lainformación recopilada por CloudTrail para determinar qué llamada al API se ha realizado, qué dirección IPde origen se usó para ello, quién hizo la llamada, cuándo, etc. Puede utilizar AWS CloudTrail para capturarinformación sobre las llamadas al API de Elastic Load Balancing realizadas por la cuenta de AWS o en sunombre. Para ver la lista completa de las acciones del API de Elastic Load Balancing, consulte la ElasticLoad Balancing API Reference version 2012-06-01.
Para monitorizar otras acciones del balanceador de carga, como, por ejemplo, cuándo un cliente realizauna solicitud al balanceador de carga, utilice los logs de acceso. Para obtener más información, consulteLogs de acceso del Classic Load Balancer (p. 99).
Contenido• Habilitación del registro de eventos CloudTrail (p. 110)
109
Elastic Load Balancing Classic Load BalancersHabilitación del registro de eventos CloudTrail
• Información de eventos de Elastic Load Balancing (p. 110)
Habilitación del registro de eventos CloudTrailSi aún no lo ha hecho, siga estos pasos para habilitar el registro de eventos de CloudTrail en la cuenta.
Para habilitar el registro de eventos de CloudTrail
1. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.2. Seleccione Get Started Now.3. En Trail name, escriba un nombre para el registro de seguimiento.4. Deje Apply trail to all regions como Sí.5. Seleccione un bucket de S3 existente para los archivos log de CloudTrail o bien cree uno nuevo. Para
crear un bucket nuevo, especifique un nombre único en S3 bucket (Bucket de S3). Para utilizar unbucket, cambiar Create a new S3 bucket</guilabel> para No y, a continuación, seleccione su bucketde S3.
6. Elija Turn on.
Los archivos log se escriben en el bucket de S3 en la siguiente ubicación:
my-bucket/AWSLogs/123456789012/CloudTrail/region/yyyy/mm/dd/
Para obtener más información, consulte la AWS CloudTrail User Guide.
Información de eventos de Elastic Load BalancingLos archivos log de CloudTrail contienen información de eventos en formato JSON. Cada registro deeventos representa una sola llamada al API de AWS e incluye información sobre la acción solicitada; porejemplo, el usuario que solicitó la acción, la fecha y hora de la solicitud, los parámetros de esta última y loselementos de la respuesta.
Los archivos log incluyen los registros de eventos de todas las llamadas a los API de AWScorrespondientes a su cuenta de AWS, no solo las llamadas al API de Elastic Load Balancing. No obstante,puede leer los archivos log y buscar las llamadas al API de Elastic Load Balancing eventSource con elvalor elasticloadbalancing.amazonaws.com. Para ver información sobre un API de ELB específico,como CreateLoadBalancer, busque el nombre del API en el elemento eventName.
En el siguiente ejemplo se muestran los registros de un log de CloudTrail de un usuario que creó unbalanceador de carga y, después, lo eliminó mediante la AWS CLI. El usuario se identifica medianteel elemento userIdentity. La CLI se identifica mediante el elemento userAgent. Las llamadas alAPI solicitadas (CreateLoadBalancer and DeleteLoadBalancer) se identifican mediante el elementoeventName para cada registro. Para obtener más información sobre los distintos elementos y valores deun archivo log de CloudTrail, consulte Referencia de eventos de CloudTrail en la AWS CloudTrail UserGuide.
{ "Records": [ { "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJDPLRKLG7UEXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012",
110
Elastic Load Balancing Classic Load BalancersInformación de eventos de Elastic Load Balancing
"accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-04-01T15:31:48Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "CreateLoadBalancer", "awsRegion": "us-west-2", "sourceIPAddress": "198.51.100.1", "userAgent": "aws-cli/1.10.10 Python/2.7.9 Windows/7 botocore/1.4.1", "requestParameters": { "subnets": ["subnet-12345678","subnet-76543210"], "loadBalancerName": "my-load-balancer", "listeners": [{ "protocol: "HTTP", "loadBalancerPort": 80, "instanceProtocol": "HTTP", "instancePort": 80 }] }, "responseElements": { "dNSName": "my-loadbalancer-1234567890.elb.amazonaws.com" }, "requestID": "b9960276-b9b2-11e3-8a13-f1ef1EXAMPLE", "eventID": "6f4ab5bd-2daa-4d00-be14-d92efEXAMPLE", "eventType": "AwsApiCall", "apiVersion": "2012-06-01", "recipientAccountId": "123456789012" }, { "eventVersion: "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJDPLRKLG7UEXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-04-08T12:39:25Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "DeleteLoadBalancer", "awsRegion": "us-west-2", "sourceIPAddress": "198.51.100.1", "userAgent": "aws-cli/1.10.10 Python/2.7.9 Windows/7 botocore/1.4.1", "requestParameters": { "loadBalancerName": "my-load-balancer" }, "responseElements": null, "requestID": "f0f17bb6-b9ba-11e3-9b20-999fdEXAMPLE", "eventID": "4f99f0e8-5cf8-4c30-b6da-3b69fEXAMPLE" "eventType": "AwsApiCall", "apiVersion": "2012-06-01", "recipientAccountId": "123456789012" }, . . . ]}
También puede usar soluciones de socios de Amazon integradas con CloudTrail para leer y analizar losarchivos log de CloudTrail. Para obtener más información, consulte la página Red de socios de AWS.
111
Elastic Load Balancing Classic Load Balancers
Solución de problemas del ClassicLoad Balancer
En la siguiente lista se enumeran recursos de solución de problemas que le resultarán útiles cuandotrabaje con un Classic Load Balancer.
Errores de API
Error
CertificateNotFound: undefined (p. 113)
OutofService: A Transient Error Occurred (p. 114)
Errores de HTTP
Error
HTTP 400: BAD_REQUEST (p. 114)
HTTP 405: METHOD_NOT_ALLOWED (p. 115)
HTTP 408: Request Timeout (p. 115)
HTTP 502: Bad Gateway (p. 115)
HTTP 503: Service Unavailable (p. 115)
HTTP 504: Gateway Timeout (p. 116)
Métricas de código de respuesta
Métrica de código de respuesta
HTTPCode_ELB_4XX (p. 116)
HTTPCode_ELB_5XX (p. 117)
HTTPCode_Backend_2XX (p. 117)
HTTPCode_Backend_3XX (p. 117)
HTTPCode_Backend_4XX (p. 117)
HTTPCode_Backend_5XX (p. 117)
Problemas de comprobación de estado
Problema
Error en la página de destino de la comprobación de estado (p. 118)
112
Elastic Load Balancing Classic Load BalancersErrores de API
Problema
Se ha agotado el tiempo de espera de conexión a las instancias (p. 119)
Se produce un error al autenticar la clave pública (p. 119)
La instancia no recibe tráfico desde el balanceador de carga (p. 120)
Los puertos de la instancia no están abiertos (p. 120)
Las instancias de un grupo de Auto Scaling no superan la comprobación de estado de ELB (p. 120)
Problemas de conectividad
Problema
Los clientes no pueden conectarse a un balanceador de carga (p. 121)
Problemas de registro de instancias
Problema
La instancia EC2 tarda demasiado en registrarse (p. 121)
No se puede registrar una instancia lanzada desde una AMI pagada (p. 122)
Solución de problemas del Classic Load Balancer:errores de API
A continuación se muestran los mensajes de error devueltos por el API de Elastic Load Balancing, susposibles causas y las medidas que puede adoptar para resolver los problemas.
Mensajes de error• CertificateNotFound: undefined (p. 113)• OutofService: A Transient Error Occurred (p. 114)
CertificateNotFound: undefinedCausa 1: se ha producido un retraso al propagar un certificado creado mediante Consola de administraciónde AWS a todas las regiones. Si este retraso se produce, el mensaje de error aparece en el último paso delproceso de creación del balanceador de carga.
Solución 1: espere aproximadamente 15 minutos y, a continuación, vuelva a intentarlo. Si el problemapersiste, visite AWS Support Center para obtener asistencia.
Causa 2: si utiliza AWS CLI o la API directamente, puede aparecer este error si proporcionan un nombrede recurso de Amazon (ARN) de un certificado que no existe.
Solución 2: utilice la acción Identity and Access Management (IAM) GetServerCertificate para obtener elARN del certificado y asegúrese de indicar el valor de ARN correcto.
113
Elastic Load Balancing Classic Load BalancersOutofService: A Transient Error Occurred
OutofService: A Transient Error OccurredCausa: se ha producido un problema interno transitorio en el servicio Elastic Load Balancing o en la redsubyacente. Este problema temporal también podría producirse cuando Elastic Load Balancing consulta elestado del balanceador de carga y sus instancias registradas.
Solución: repita la llamada a la API. Si el problema persiste, visite AWS Support Center para obtenerasistencia.
Solución de problemas del Classic Load Balancer:errores de HTTP
El método HTTP (también denominado verbo) especifica la acción que se va a realizar en el recurso querecibe una solicitud HTTP. Los métodos estándar para las solicitudes HTTP se definen en RFC 2616,Method Definitions. Los métodos estándar son GET, POST, PUT, HEAD y OPTIONS. Algunas aplicacionesweb requieren (y, en ocasiones, introducen) métodos que son extensiones de métodos HTTP/1.1. Algunosejemplos habituales de métodos HTTP extendidos son PATCH, REPORT, MKCOL, PROPFIND, MOVE yLOCK. Elastic Load Balancing acepta todos los métodos HTTP estándar y no estándar.
Las solicitudes y respuestas HTTP utilizan campos de encabezado para enviar información sobre losmensajes HTTP. Los campos de encabezados son pares nombre-valor separados por signos de dospuntos, separados a su vez por un retorno de carro (CR) y un salto de línea (LF). Un conjunto estándar decampos de encabezado HTTP se define en RFC 2616, Message Headers. Para obtener más información,consulte Encabezados HTTP y Classic Load Balancers (p. 38).
Cuando un balanceador de carga recibe una solicitud HTTP, comprueba si hay solicitudes con unformato incorrecto y también la longitud del método. La longitud total del método de una solicitud HTTPa un balanceador de carga no debe ser superior a 127 caracteres. Si la solicitud HTTP pasa ambascomprobaciones, el balanceador de carga envía la solicitud a la instancia EC2. Si el campo de métodode la solicitud no tiene el formato correcto, el balanceador de carga responde con un error HTTP 400:BAD_REQUEST (p. 114). Si la longitud del método en la solicitud supera los 127 caracteres, elbalanceador de carga responde con un error HTTP 405: METHOD_NOT_ALLOWED (p. 115).
La instancia EC2 procesa una solicitud válida implementando el método en la solicitud y devolviendouna respuesta al cliente. Las instancias deben estar configuradas de tal forma que controlen los métodosadmitidos y no admitidos.
A continuación se muestran los mensajes de error devueltos por el balanceador de carga, sus posiblescausas y las medidas que puede adoptar para resolver los problemas.
Mensajes de error• HTTP 400: BAD_REQUEST (p. 114)• HTTP 405: METHOD_NOT_ALLOWED (p. 115)• HTTP 408: Request Timeout (p. 115)• HTTP 502: Bad Gateway (p. 115)• HTTP 503: Service Unavailable (p. 115)• HTTP 504: Gateway Timeout (p. 116)
HTTP 400: BAD_REQUESTDescripción: indica que el cliente envió una solicitud incorrecta.
114
Elastic Load Balancing Classic Load BalancersHTTP 405: METHOD_NOT_ALLOWED
Causa: el cliente envió una solicitud incorrecta que no se ajusta a las especificaciones de HTTP. Porejemplo, una solicitud no puede contener espacios en la URL.
Solución: conéctese directamente a la instancia y capture los detalles de la solicitud del cliente. Revise losencabezados y la dirección URL para comprobar si el formato de las solicitudes es correcto. Compruebeque la solicitud cumple las especificaciones de HTTP.
HTTP 405: METHOD_NOT_ALLOWEDDescripción: indica que la longitud del método no es válida.
Causa: la longitud del método en el encabezado de la solicitud supera los 127 caracteres.
Solución: compruebe la longitud del método.
HTTP 408: Request TimeoutDescripción: indica que el cliente ha cancelado la solicitud o no ha podido enviar una solicitud completa.
Causa 1: una interrupción de la red o una construcción incorrecta de la solicitud; por ejemplo, elencabezado está parcialmente formado; el tamaño del contenido especificado no coincide con el tamañodel contenido real transmitido; etc.
Solución 1: revise el código que realiza la solicitud y pruebe a enviarlo directamente a las instanciasregistradas (o a un entorno de desarrollo/pruebas), donde disponga de mayor control para inspeccionar lasolicitud en sí.
Causa 2: la conexión al cliente está cerrada (el balanceador de carga no pudo enviar una respuesta).
Solución 2: verifique que el cliente no cierre la conexión antes de que se envíe la respuesta; para ello,utilice un rastreador de paquetes en la máquina que realiza la solicitud.
HTTP 502: Bad GatewayDescripción: indica que el balanceador de carga no ha podido analizar la respuesta enviada desde unainstancia registrada.
Causa: el formato de la respuesta procedente de la instancia es incorrecto o puede haber un problema conel balanceador de carga.
Solución: verifique que la respuesta enviada desde la instancia cumple las especificaciones de HTTP.Visite AWS Support Center para obtener asistencia.
HTTP 503: Service UnavailableDescripción: indica que el balanceador de carga o las instancias registradas están provocando el error.
Causa 1: el balanceador de carga no dispone de suficiente capacidad para controlar la solicitud.
Solución 1: el problema debería ser transitorio y no durar más de unos minutos. Si persiste, visite AWSSupport Center para obtener asistencia.
Causa 2: instancias no registradas.
Solución 2: registre al menos una instancia en cada zona de disponibilidad en la que el balanceadorde carga deba responder según su configuración. Para comprobarlo, consulte las métricasHealthyHostCount de CloudWatch. Si no puede garantizar que haya una instancia registrada en cada
115
Elastic Load Balancing Classic Load BalancersHTTP 504: Gateway Timeout
zona de disponibilidad, recomendamos habilitar el balanceo de carga entre zonas. Para obtener másinformación, consulte Configuración del balanceo de carga entre zonas en el Classic Load Balancer (p. 72).
Causa 3: no hay ninguna instancia en buen estado.
Solución 3: asegúrese de que haya instancias en buen estado en cada zona de disponibilidad en la queel balanceador de carga deba responder según su configuración. Para comprobarlo, consulte las métricasHealthyHostCount de CloudWatch.
HTTP 504: Gateway TimeoutDescripción: indica que el balanceador de carga ha cerrado una conexión porque no se completó unasolicitud dentro del tiempo de inactividad.
Causa 1: la aplicación tarda más en responder que el tiempo de inactividad configurado.
Solución 1: supervise las métricas HTTPCode_ELB_5XX y Latency. Si se produce un aumento de estasmétricas, puede deberse a que la aplicación no responde antes de que transcurra el tiempo de inactividad.Para obtener más información acerca de las solicitudes cuyo tiempo de inactividad se agota, habilite loslogs de acceso en el balanceador de carga y revise los códigos de respuesta 504 en los logs generadospor Elastic Load Balancing. Si es necesario, puede aumentar su capacidad o aumentar el tiempo deinactividad configurado de manera que las operaciones largas (como la carga de archivos de gran tamaño)pueden completarse. Para obtener más información, consulte Configuración del tiempo de inactividad deconexión del Classic Load Balancer (p. 71) y How do I troubleshoot Elastic Load Balancing high latency.
Causa 2: las instancias registradas cierran la conexión con Elastic Load Balancing.
Solution 2: habilite la configuración keep-alive de las instancias EC2 y asegúrese de que el valor del tiempode keep-alive sea mayor que el del tiempo de inactividad del balanceador de carga.
Solución de un Classic Load Balancer: métricas decódigo de respuesta
El balanceador de carga envía métricas a Amazon CloudWatch para los códigos de respuesta HTTPenviados a los clientes; en ellas se identifica si los errores tienen su origen en el balanceador de carga o enlas instancias registradas. Puede utilizar las métricas que CloudWatch devuelve del balanceador de cargapara solucionas los problemas. Para obtener más información, consulte Métricas de CloudWatch para elClassic Load Balancer (p. 90).
A continuación se muestran las métricas de código de respuesta que CloudWatch devuelve delbalanceador de carga, sus posibles causas y las medidas que puede adoptar para resolver los problemas.
Métricas de código de respuesta• HTTPCode_ELB_4XX (p. 116)• HTTPCode_ELB_5XX (p. 117)• HTTPCode_Backend_2XX (p. 117)• HTTPCode_Backend_3XX (p. 117)• HTTPCode_Backend_4XX (p. 117)• HTTPCode_Backend_5XX (p. 117)
HTTPCode_ELB_4XXCausa: una solicitud procedente del cliente cancelada o cuyo formato es incorrecto.
116
Elastic Load Balancing Classic Load BalancersHTTPCode_ELB_5XX
Soluciones
• Consulte HTTP 400: BAD_REQUEST (p. 114).• Consulte HTTP 405: METHOD_NOT_ALLOWED (p. 115).• Consulte HTTP 408: Request Timeout (p. 115).
HTTPCode_ELB_5XXCausa: el balanceador de carga o la instancia registrada es la causa del error, o bien el balanceador decarga no puede analizar la respuesta.
Soluciones
• Consulte HTTP 502: Bad Gateway (p. 115).• Consulte HTTP 503: Service Unavailable (p. 115).• Consulte HTTP 504: Gateway Timeout (p. 116).
HTTPCode_Backend_2XXCausa: una respuesta normal y satisfactoria procedente de las instancias registradas.
Solución: ninguna.
HTTPCode_Backend_3XXCausa: una respuesta de redirección enviada desde las instancias registradas.
Solución: consulte los logs de acceso o los logs de errores de la instancia para determinar la causa. Envíelas solicitudes directamente a la instancia (sin pasar por el balanceador de carga) para ver las respuestas.
HTTPCode_Backend_4XXCausa: respuesta de error del cliente enviada desde las instancias registradas.
Solución: consulte los logs de acceso o los logs de errores de las instancias para determinar la causa.Envíe las solicitudes directamente a la instancia (sin pasar por el balanceador de carga) para ver lasrespuestas.
Note
Si el cliente cancela una solicitud HTTP que se ha iniciado con un encabezado Transfer-Encoding: chunked, existe un problema conocido que consiste en que el balanceador decarga reenvía la solicitud a la instancia aunque el cliente haya cancelado la solicitud. Esto puedeproducir errores de backend.
HTTPCode_Backend_5XXCausa: respuesta de error del servidor enviada desde las instancias registradas.
Solución: consulte los logs de acceso o los logs de errores de las instancias para determinar la causa.Envíe las solicitudes directamente a la instancia (sin pasar por el balanceador de carga) para ver lasrespuestas.
117
Elastic Load Balancing Classic Load BalancersComprobaciones de estado
Note
Si el cliente cancela una solicitud HTTP que se ha iniciado con un encabezado Transfer-Encoding: chunked, existe un problema conocido que consiste en que el balanceador decarga reenvía la solicitud a la instancia aunque el cliente haya cancelado la solicitud. Esto puedeproducir errores de backend.
Solución de problemas del Classic Load Balancer:comprobaciones de estado
Para comprobar el estado de las instancias registradas en balanceador de carga, este utiliza laconfiguración de comprobación de estado predeterminada proporcionada por Elastic Load Balancing,o bien una configuración de comprobación de estado personalizada especificada por el usuario. Laconfiguración de comprobación de estado contiene información como el protocolo, el puerto de ping, la rutade ping, el tiempo de espera de la respuesta y el intervalo de comprobación de estado. Se considera queuna instancia se encuentra en buen estado si devuelve el código de respuesta 200 dentro del intervalo decomprobación de estado. Para obtener más información, consulte Configurar comprobaciones de estadopara Classic Load Balancer (p. 16).
Si el estado actual de algunas o todas las instancias es OutOfService y en el campo de descripción semuestra el mensaje Instance has failed at least the Unhealthy Threshold number ofhealth checks consecutively, significa que las instancias no han superado la comprobación deestado del balanceador de carga. A continuación se indican los problemas que pueden surgir, sus posiblescausas y las medidas que debe adoptar para resolverlos.
Problemas• Error en la página de destino de la comprobación de estado (p. 118)• Se ha agotado el tiempo de espera de conexión a las instancias (p. 119)• Se produce un error al autenticar la clave pública (p. 119)• La instancia no recibe tráfico desde el balanceador de carga (p. 120)• Los puertos de la instancia no están abiertos (p. 120)• Las instancias de un grupo de Auto Scaling no superan la comprobación de estado de ELB (p. 120)
Error en la página de destino de la comprobación deestadoProblema: una solicitud GET HTTP emitida a la instancia en el puerto de ping y la ruta de pingespecificados (por ejemplo, HTTP:80/index.html) ha recibido un código de respuesta distinto de 200.
Causa 1: no se ha configurado ninguna página de destino en la instancia.
Solución 1: cree una página de destino (por ejemplo, index.html) en cada instancia registrada yespecifique su ruta como ruta de ping.
Causa 2: no se ha establecido el valor del encabezado Content-Length de la respuesta.
Solución 2: si la respuesta incluye un cuerpo, establezca el encabezado Content-Length en un valor mayoro igual que cero, o bien establezca el valor de Transfer-Encoding en "chunked".
Causa 3: la aplicación no se ha configurado para recibir solicitudes desde el balanceador de carga o paradevolver el código de respuesta 200.
118
Elastic Load Balancing Classic Load BalancersSe ha agotado el tiempo de espera
de conexión a las instancias
Solución 3: compruebe la aplicación de la instancia para investigar la causa.
Se ha agotado el tiempo de espera de conexión a lasinstanciasProblema: se agota el tiempo de espera de las solicitudes de comprobación de estado del balanceador decarga a las instancias EC2 o se producen errores intermitentes en dichas solicitudes.
En primer lugar, conéctese directamente a la instancia para comprobar el problema. Recomendamosconectarse a la instancia desde la red mediante la dirección IP privada de la instancia.
Utilice el siguiente comando si se trata de una conexión TCP:
telnet private-IP-address-of-the-instance port
Utilice el siguiente comando si se trata de una conexión HTTP o HTTPS:
curl –I private-IP-address-of-the-instance:port/health-check-target-page
Si utiliza una conexión HTTP/HTTPS y obtiene un código de respuesta distinto de 200, consulte Erroren la página de destino de la comprobación de estado (p. 118). Si puede conectarse directamente a lainstancia, compruebe lo siguiente:
Causa 1: la instancia no responde dentro del tiempo de espera de respuesta configurado.
Solución 1: ajuste la configuración del tiempo de espera de respuesta en la configuración de comprobaciónde estado del balanceador de carga.
Causa 2: la instancia sufre una carga significativa y está tardando más en responder que el tiempo deespera de respuesta configurado.
Solución 2:
• compruebe el gráfico de monitorización por si la CPU está sobreutilizada. Para obtener más información,consulte Get Statistics for a Specific EC2 Instance en la Guía del usuario de Amazon EC2 parainstancias de Linux.
• Conéctese a las instancias EC2 para comprobar la utilización de otros recursos de la aplicación, talescomo la memoria o los límites.
• Si es necesario, agregue más instancias o habilite Auto Scaling. Para obtener más información, consultela Guía del usuario de Amazon EC2 Auto Scaling.
Causa 3: si utiliza una conexión HTTP o HTTPS y la comprobación de estado se lleva a cabo en unapágina de destino especificada en el campo de la ruta de ping (por ejemplo, HTTP:80/index.html),puede que la página de destino esté tardando más en responder que el tiempo de espera configurado.
Solución 3: utilice una página de destino de comprobación de estado más sencilla o bien ajuste laconfiguración del intervalo de comprobación de estado.
Se produce un error al autenticar la clave públicaProblema: se produce un error al autenticar la clave pública en un balanceador de carga configurado parausar el protocolo HTTPS o SSL con la autenticación back-end habilitada.
Causa: la clave pública del certificado SSL no coincide con la clave pública configurada en el balanceadorde carga. Utilice el comando s_client para ver la lista de certificados de servidor en la cadena decertificados. Para obtener más información, consulte s_client en la documentación de OpenSSL.
119
Elastic Load Balancing Classic Load BalancersLa instancia no recibe tráfico desde el balanceador de carga
Solución: es posible que deba actualizar el certificado SSL. Si el certificado SSL está vigente, pruebe avolver a instalarlo en el balanceador de carga. Para obtener más información, consulte Reemplazar elcertificado SSL de Classic Load Balancer (p. 64).
La instancia no recibe tráfico desde el balanceador decargaProblema: el grupo de seguridad de la instancia bloquea el tráfico procedente del balanceador de carga.
Realice una captura de paquetes en la instancia para comprobar el problema. Para ello, use el siguientecomando:
# tcpdump port health-check-port
Causa 1: el grupo de seguridad asociados con la instancia no permite el tráfico procedente delbalanceador de carga.
Solución 1: edite el grupo de seguridad de la instancia para permitir el tráfico procedente del balanceadorde carga. Agregue una regla para permitir todo el tráfico procedente del grupo de seguridad delbalanceador de carga.
Causa 2: el grupo de seguridad del balanceador de carga de una VPC no permite el tráfico a las instanciasEC2.
Solución 2: edite el grupo de seguridad del balanceador de carga para permitir el tráfico a las subredes y alas instancias EC2.
Para obtener más información sobre cómo administrar los grupos de seguridad de EC2-Classic, consulteGrupos de seguridad para instancias EC2-Classic (p. 24).
Para obtener más información sobre cómo administrar los grupos de seguridad de una VPC, consulteGrupos de seguridad para balanceadores de carga de una VPC (p. 20).
Los puertos de la instancia no están abiertosProblema: el puerto o un firewall han bloqueado la comprobación de estado que el balanceador de cargaha enviado a la instancia EC2.
Ejecute el comando siguiente para comprobar el problema:
netstat –ant
Causa: no está abierto el puerto de estado especificado o el puerto del agente de escucha (si suconfiguración es distinta). Tanto el puerto especificado para la comprobación de estado como el puerto delagente de escucha deben estar abiertos y a la escucha.
Solución: abra el puerto del agente de escucha y el puerto especificado en la configuración de lacomprobación de estado (si su configuración es distinta) en las instancias para recibir el tráfico procedentedel balanceador de carga.
Las instancias de un grupo de Auto Scaling nosuperan la comprobación de estado de ELBProblema: las instancias del grupo de Auto Scaling superan la comprobación de estado de Auto Scalingpero no la de ELB.
120
Elastic Load Balancing Classic Load BalancersConectividad de clientes
Causa: Auto Scaling utiliza las comprobaciones de estado de EC2 para detectar problemas de hardware ysoftware con las instancias; sin embargo, el balanceador de carga realiza las comprobaciones de estadoenviando una solicitud a la instancia y esperando el código de respuesta 200, o bien estableciendo unaconexión TCP (para una comprobación de estado basada en TCP) con la instancia.
Una instancia podría no superar la comprobación de estado de ELB si una aplicación que se ejecuta enla instancia tiene algún problema como consecuencia del cual el balanceador de carga considera que lainstancia se encuentra fuera de servicio. Esta instancia podría superar la comprobación de estado de AutoScaling; es decir, la política de Auto Scaling no la sustituiría, porque se la consideraría correcta según lacomprobación de estado de EC2.
Solución: utilice la comprobación de estado de ELB para el grupo de Auto Scaling. Cuando se utiliza lacomprobación de estado de ELB, Auto Scaling comprueba los resultados de la comprobación de estadode la instancia y de la comprobación de estado de ELB para determinar el estado de las instancias. Paraobtener más información, consulte Adding Health Checks to your Auto Scaling Group en la Guía delusuario de Amazon EC2 Auto Scaling.
Solución de problemas de una conectividad declientes Classic Load Balancer:
Si el balanceador de carga expuesto a Internet en una VPC no responde a las solicitudes, compruebe losiguiente:
El balanceador de carga orientado a Internet está conectado a una subred privada
Asegúrese de que especificó las subredes públicas del balanceador de carga. Una subred públicatiene una ruta hacia el puerto de enlace a Internet de la nube virtual privada (VPC).
Hay un grupo de seguridad o una ACL de red que no permite el tráfico
Tanto el grupo de seguridad del balanceador de carga como las ACL de red de las subredes delbalanceador de carga deben permitir el tráfico entrante procedente de los clientes y el tráfico salientedirigido a los clientes en los puertos de escucha. Para obtener más información, consulte Grupos deseguridad para balanceadores de carga de una VPC (p. 20).
Solución de problemas del Classic Load Balancer:registro de instancias
Al registrar una instancia en el balanceador de carga, hay que realizar varios pasos antes de que elbalanceador de carga pueda comenzar a enviar solicitudes a esa instancia.
A continuación se muestran los problemas que el balanceador de carga podría sufrir al registrar lasinstancias EC2, sus posibles causas y las medidas que puede adoptar para resolverlos.
Problemas• La instancia EC2 tarda demasiado en registrarse (p. 121)• No se puede registrar una instancia lanzada desde una AMI pagada (p. 122)
La instancia EC2 tarda demasiado en registrarseProblema: las instancias EC2 registradas tardan más de lo esperado en adquirir el estado InService.
121
Elastic Load Balancing Classic Load BalancersNo se puede registrar una instancia
lanzada desde una AMI pagada
Causa: puede que la instancia no haya superado la comprobación de estado. Después de llevar a cabolos pasos de registro de instancia por primera vez (puede tardar hasta aproximadamente 30 segundos), elbalanceador de carga comienza a enviar solicitudes de comprobación de estado. La instancia no adquiereel estado InService hasta que se supera una comprobación de estado.
Solución: consulte Se ha agotado el tiempo de espera de conexión a las instancias (p. 119).
No se puede registrar una instancia lanzada desdeuna AMI pagadaProblema: Elastic Load Balancing no registra una instancia lanzada mediante una AMI pagada.
Causa: puede que las instancias se hayan lanzado mediante una AMI pagada desde Amazon DevPay.
Solución: Elastic Load Balancing no admite el registro de instancias lanzadas con AMI pagadas desdeAmazon DevPay. Tenga en cuenta que puede usar AMI pagadas desde AWS Marketplace. Si ya estáutilizando una AMI pagada desde AWS Marketplace y no puede registrar una instancia a lanzada desdedicha AMI pagada, visite AWS Support Center para obtener asistencia.
122
Elastic Load Balancing Classic Load Balancers
Límites del Classic Load BalancerPara conocer las limitaciones actuales de los Classic Load Balancers, utilice la página Limits de la consolade Amazon EC2 o el comando describe-account-limits (AWS CLI). Para solicitar un aumento de los límites,utilice el formulario de límites de Elastic Load Balancing.
La cuenta de AWS presenta los siguientes límites en relación con los Classic Load Balancers.
• Balanceadores de carga por región: 20 *• Agentes de escucha por balanceador de carga: 100• Grupos de seguridad por balanceador de carga: 5• Subredes por zona de disponibilidad por balanceador de carga: 1
* Este límite incluye tanto los Balanceador de carga de aplicacioness como los Classic Load Balancers.
123
Elastic Load Balancing Classic Load Balancers
Historial de revisiónEn la siguiente tabla se describen las versiones y los cambios importantes de Elastic Load Balancing de losClassic Load Balancers.
Característica Descripción Fecha de laversión
Classic Load Balancers Con la introducción de los nuevos Balanceadorde carga de aplicacioness, los balanceadoresde carga creados con el API 2016-06-01 sedenominan Classic Load Balancers. Para obtenermás información sobre las diferencias entre estostipos de balanceadores de carga, consulte Whatis Elastic Load Balancing? en la Elastic LoadBalancing User Guide.
11 de agostode 2016
Compatibilidad con AWSCertificate Manager (ACM)
Puede solicitar un certificado SSL/TLS de ACM eimplementarlo en el balanceador de carga. Paraobtener más información, consulte CertificadosSSL/TLS para Classic Load Balancer (p. 40).
21 de enero de2016
Compatibilidad con puertosadicionales
Los balanceadores de carga de una VPC puedenescuchar cualquier puerto comprendido entreel 1 y el 65535. Para obtener más información,consulte Agentes de escucha para el Classic LoadBalancer (p. 34).
15 deseptiembre de2015
Campos adicionales paraentradas al log de acceso
Se han agregado los campos user_agent,ssl_ciphery ssl_protocol. Para obtenermás información, consulte Archivos log deacceso (p. 99).
18 de mayo de2015
Compatibilidad con el registrode instancias EC2-Classicvinculadas
Se ha incrementado la compatibilidad con elregistro de instancias EC2-Classic vinculadas en elbalanceador de carga.
19 de enero de2015
Compatibilidad con el etiquetadodel balanceador de carga
Puede utilizar etiquetas para organizar yadministrar los balanceadores de carga.
A partir de esta versión, la interfaz de línea decomandos de Elastic Load Balancing (ELB CLI)se ha reemplazado por la interfaz de línea decomandos de AWS (AWS CLI), una herramientaunificada para administrar diversos servicios deAWS. Las nuevas características que se lancendespués de la versión 1.0.35.0 de la ELB CLI(del 24 de julio de 2014) se incluirán únicamenteen la AWS CLI. Si en la actualidad utiliza la ELBCLI, recomendamos comenzar a usar la interfazde línea de comandos de AWS (AWS CLI) en sulugar. Para obtener más información, consulte laAWS Command Line Interface Guía del usuario.
11 de agostode 2014
tiempo de inactividad deconexión
Puede configurar el tiempo de inactividad deconexión del balanceador de carga.
24 de julio de2014
124
Elastic Load Balancing Classic Load Balancers
Característica Descripción Fecha de laversión
Compatibilidad con la concesiónde acceso a los usuarios ygrupos de IAM a balanceadoresde carga específicos o accionesdel API concretos
Puede crear una política de IAM para concederacceso a los usuarios y grupos de IAM abalanceadores de carga o acciones del APIconcretos.
12 de mayo de2014
Compatibilidad con AWSCloudTrail
Puede utilizar CloudTrail para capturar lasllamadas al API realizadas desde la cuenta deAWS o en su nombre el ELB API, la Consola deadministración de AWS, la ELB CLI o la AWSCLI. Para obtener más información, consulteRegistro de AWS CloudTrail para el Classic LoadBalancer (p. 109).
04 de abril de2014
vaciado de conexiones Se ha agregado información sobre el vaciadode conexiones. Con esta compatibilidad, puedepermitir que el balanceador de carga deje deenviar nuevas solicitudes a la instancia registradamientras esta se encuentra en proceso decancelación del registro o si se encuentra en malestado, mientras las conexiones existentes semantienen abiertas. Para obtener más información,consulte Configuración del vaciado de conexionesdel Classic Load Balancer (p. 75).
20 de marzo de2014
logs de acceso Puede permitir que el balanceador de cargacapture información detallada sobre las solicitudesenviadas al balanceador de carga y almacenarlaen un bucket de S3. Para obtener más información,consulte Logs de acceso del Classic LoadBalancer (p. 99).
06 de marzo de2014
Compatibilidad con TLSv1.1-1.2 Se ha agregado información sobre compatibilidadcon el protocolo TLSv1.1-1.2 en los balanceadoresde carga configurados con agentes de escuchaHTTPS/SSL. Con esta compatibilidad, Elastic LoadBalancing también actualiza las configuracionesde negociación SSL predefinidas. Para obtenermás información sobre la actualización deconfiguraciones de negociación SSL predefinidas,consulte Configuraciones de negociaciónSSL para Classic Load Balancer (p. 41). Paraobtener información sobre la actualización de laconfiguración de negociación SSL actual, consulteActualizar la configuración de la negociación SSLde Classic Load Balancer (p. 66).
19 de febrerode 2014
balanceo de carga entre zonas Se ha agregado información sobre cómohabilitar el balanceo de carga entre zonasen el balanceador de carga. Para obtenermás información, consulte Configuración delbalanceo de carga entre zonas en el Classic LoadBalancer (p. 72)
06 denoviembre de2013
125
Elastic Load Balancing Classic Load Balancers
Característica Descripción Fecha de laversión
Métricas adicionales deCloudWatch
Se ha agregado información sobre las métricasadicionales de CloudWatch que Elastic LoadBalancing notifica. Para obtener más información,consulte Métricas de CloudWatch para el ClassicLoad Balancer (p. 90).
28 de octubrede 2013
Compatibilidad con ProxyProtocol
Se ha agregado información sobre lacompatibilidad con Proxy Protocol en losbalanceadores de carga configurados paralas conexiones TCP/SSL. Para obtener másinformación, consulte Encabezado ProxyProtocol (p. 77).
30 de julio de2013
Compatibilidad con larecuperación ante errores a nivelde DNS
Se ha agregado información sobre la configuraciónde la recuperación ante errores a nivel de DNS deRoute 53 para los balanceadores de carga. Paraobtener más información, consulte Configuraciónde la recuperación ante errores a nivel de DNS delbalanceador de carga (p. 88).
03 de junio de2013
Compatibilidad con la consolapara ver las métricas deCloudWatch y crear alarmas
Se ha agregado información sobre cómo usarla consola para ver las métricas de CloudWatchy crear alarmas para un balanceador de cargadeterminado. Para obtener más información,consulte Métricas de CloudWatch para el ClassicLoad Balancer (p. 90).
28 de marzo de2013
Compatibilidad con el registrode instancias EC2 en una VPCpredeterminada
Se ha agregado compatibilidad con las instanciasEC2 lanzadas en una VPC predeterminada.
11 de marzo de2013
balanceadores de carga internos A partir de esta versión, un balanceador de cargade una nube virtual privada (VPC) puede estarexpuesto a Internet o ser interno. Un balanceadorde carga interno tiene un nombre de DNS que seresuelve públicamente para generar direccionesIP privadas. Un balanceador de carga expuesto aInternet tiene un nombre de DNS que se resuelvepúblicamente para generar direcciones IP públicas.Para obtener más información, consulte Crear unClassic Load Balancer interno (p. 11).
10 de junio de2012
Compatibilidad con la consolapara administrar los agentes deescucha, la configuración decifrado y los certificados SSL
Para obtener más información, consulte Configurarun agente de escucha HTTPS para Classic LoadBalancer (p. 61) y Reemplazar el certificado SSLde Classic Load Balancer (p. 64).
18 de mayo de2012
Compatibilidad con Elastic LoadBalancing en Amazon VPC
Se ha agregado compatibilidad con la creaciónde un balanceador de carga en una nube virtualprivada (VPC).
21 denoviembre de2011
Amazon CloudWatch Puede monitorizar el balanceador de cargamediante CloudWatch. Para obtener másinformación, consulte Métricas de CloudWatchpara el Classic Load Balancer (p. 90).
17 de octubrede 2011
126
Elastic Load Balancing Classic Load Balancers
Característica Descripción Fecha de laversión
Características de seguridadadicionales
Se pueden configurar cifrados SSL, SSL backendy la autenticación de servidor backend. Paraobtener más información, consulte Crear unClassic Load Balancer con un agente de escuchaHTTPS (p. 47).
30 de agostode 2011
nombre de dominio de ápex dezona
Para obtener más información, consulteConfiguración de un nombre de dominiopersonalizado para el Classic LoadBalancer (p. 87).
24 de mayo de2011
bloqueo de instancias Puede utilizar el grupo de seguridad proporcionadopor Elastic Load Balancing para bloquear lainstancia backend. Para obtener más información,consulte Grupos de seguridad para instanciasEC2-Classic (p. 24).
24 de mayo de2011
Compatibilidad con IPv6 Puede utilizar el Protocolo de Internet versión6 (IPv6) con el balanceador de carga en EC2-Classic.
24 de mayo de2011
Compatibilidad con losencabezados X-Forwarded-Protoy X-Forwarded-Port
El encabezado X-Forwarded-Proto indica elprotocolo de la solicitud de origen; el encabezadoX-Forwarded-Port indica el puerto de la solicitudde origen. La incorporación de estos encabezadosa las solicitudes permite a los clientes determinarsi una solicitud que entra en el balanceadorde carga está cifrada y el puerto concreto delbalanceador de carga en el que se ha recibidoesa solicitud. Para obtener más información,consulte Encabezados HTTP y Classic LoadBalancers (p. 38).
27 de octubrede 2010
Compatibilidad con HTTPS Con esta versión, se puede aprovechar elprotocolo SSL/TLS para cifrar el tráfico y derivar elprocesamiento SSL de la instancia de aplicación albalanceador de carga. Esta característica tambiénofrece administración centralizada de certificadosde servidor SSL en el balanceador de carga,en lugar de tener que administrarlos en cadainstancias de aplicación individual.
14 de octubrede 2010
Compatibilidad con AWS Identityand Access Management (IAM)
Se ha agregado compatibilidad con IAM. 02 deseptiembre de2010
sesiones sticky Para obtener más información, consulteConfiguración de sesiones sticky para Classic LoadBalancer (p. 80).
07 de abril de2010
AWS SDK for Java Se ha agregado compatibilidad con SDK paraJava.
22 de marzo de2010
127
Elastic Load Balancing Classic Load Balancers
Característica Descripción Fecha de laversión
AWS SDK para .NET Se ha agregado compatibilidad con AWS SDKpara .NET.
11 denoviembre de2009
Nuevo servicio Versión beta pública inicial de Elastic LoadBalancing.
18 de mayo de2009
128
