如何通過HTTPS/SSL獲得Amazon的ELB以使用Web套接字？

Question

這似乎沒有正在工作。我在Amazon ELB後面使用了帶有NodeJS的Faye。當我打開HTTPS時，連接不能再被斡旋。我在這裏找到一個問題沒有答案：https://forums.aws.amazon.com/message.jspa?messageID=283293。任何人都可以得到這個工作？運行我自己的HAProxy實例之外有什麼工作嗎？

Answer 1

我確認，根據我們自己的測試，即在TCP/SSL配置ELB，而不是哦，HTTP/HTTPS，使得使用WebSockets的伎倆。缺點是兩個：

1）正如arturnt指出的，你不能得到粘性。

2）您將失去檢索客戶身份的能力。您的WebSocket服務器看到的始發IP始終是ELB，並且與HTTP/HTTPS配置不同，不會將X-Forwarded-For標頭添加到請求中。

UPDATE 2013年7月：亞馬遜剛剛添加代理協議，這解決了上述缺陷數2支持。使用代理協議，即使在ELB工作在TCP級別而不是HTTP時，也會添加包含客戶端始發IP的標頭。全部細節：http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/enable-proxy-protocol.html

UPDATE 2016年8月：亞馬遜剛剛宣佈了新的AWS應用負載平衡器，支持WebSocket的7層（以及HTTP/2.0和基於內容的路由）。請參閱https://aws.amazon.com/it/blogs/aws/new-aws-application-load-balancer/

Answer 2

它不起作用，至少現在ELB的HTTP（S）代理不理解websocket請求，我不知道什麼時候/是否計劃好。

雖然我不確定HAProxy是完全必要的。應該可以放置SSL終止符，例如stud/stunnel，與您的nodejs服務器在相同的實例上並通過該方式傳遞。然後您可以保留ELB，但將其置於TCP模式。

顯然每個實例都有SSL開銷，但從長遠來看，這可能比將SSL卸載到ELB（特別是基於用戶對ELB的SSL性能的評論）更好。

Answer 3

在詹姆斯的回答之後，我做了一些更多的研究並最終轉到了TCP路由，不確定在使用ELB的HTTP隧道（考慮到我不需要粘性）方面存在任何缺點。好處是你不需要做stud/stunnel，因爲ELB爲你提供了。所以最終ELB設置，其中的NodeJS /王菲是在8000端口監聽：

Secure TCP Forward (443) -> Local (8000) 
TCP Forward 80 -> Local(8000) 

Answer 4

您可以使用Application LB來很好地支持websocket。我只是實現我們的最新項目這個想法後，實施了ALB一些技巧：

1. 開放80端口上所有相關的SG
2. 就80
3. 啓用的NodeJS響應HTTP-80要求運行的NodeJS（的NodeJS會升級HTTP請求在後端的WebSocket）
4. 使ALB目標羣體檢查HTTP-80 &正確平路
5. 上ALB創建聽衆：http80->http80, https443->http80
6. CRE吃了ALB監聽規則：http80->target group, https443->target group
7. 啓用