0
我試圖通過AWS API網關將流量路由到運行在公有子網中的應用負載均衡器運行在私有子網中的我的ECS容器。使用普通的舊HTTP一切正常,但現在我想添加傳輸層安全性(TLS,fka SSL)到網關和負載平衡器之間的通信。換句話說,在負載平衡器處終止SSL。如何將AWS API網關和應用程序負載平衡器組合到我們以外的HTTPS-east-1?
- 我已經配置了一個自定義域名並在我的網關上工作,該網關已經公開了一個HTTPS端點。
- 我在我的負載均衡器上配置了一個HTTPS偵聽器,該偵聽器責罵我有一個狡猾的證書,但如果我直接點擊它時忽略警告,我會正確地路由到我的服務。因此負載均衡器路由是正確的。
- 當我嘗試將網關指向平衡器時,它會中斷。此外,似乎我只能使用位於us-east-1地區的自定義域名的證書。目前,它們在CloudWatch中出現以下錯誤(細節因隱私而被遮蓋)失敗。
Execution failed due to configuration error: Host name 'XXXXXXXXX-lb-XXXXXXXXX..elb.amazonaws.com' does not match the certificate subject provided by the peer (CN=)
鑑於我的負載平衡器不在美國東部-1區我如何能實現我的目標是什麼?
*此外,我似乎只能在美國東部地區的自定義域名中使用證書。*我認爲你混淆了兩個限制。對於您的平衡器,您需要平衡器區域的證書。對於API-GW,您可能需要us-east-1的證書,因爲API-GW依賴於CloudFront,它只與us-east-1中的ACM接口。按照設計,您不能在API-GW背後使用惡意的證書。 –