Comment activer la connectivité HTTPS de bout en bout avec AWS PrivateLink ?

Date de la dernière mise à jour : 20/08/2019

J'ai besoin d'une connectivité HTTPS de bout en bout entre les clients d'un VPC consommateur et les applications s'exécutant derrière le Network Load Balancer dans un VPC de fournisseur de services. Comment procéder en utilisant AWS PrivateLink ?

Solution

  1. Créez un certificat X509 auto-signé pour votre application avec OpenSSL. Ensuite, et installez-le sur les instances cibles Amazon Elastic Compute Cloud (Amazon EC2).
    Important : vérifiez que le nom commun que vous spécifiez dans votre demande de signature de certificat (CSR) est le nom de domaine complet de votre site web. Si cette entrée ne correspond pas au nom de domaine que les utilisateurs voient lorsqu'ils visitent votre site (par exemple, www.exemple.com), vous recevez des erreurs de certificat.
  2. Demandez un certificat pour votre nom de domaine en utilisant AWS Certificate Manager (ACM).
    Remarque : pour éviter les problèmes de non-correspondance de certificat, une bonne pratique consiste à mettre en service un certificat générique pour votre domaine. Pour plus d'informations, consultez Noms génériques sous Caractéristiques des certificats ACM .
  3. Créez un écouteur TLS pour votre Network Load Balancer. Pendant la configuration, choisissez From ACM (Depuis ACM) pour Default SSL certificate (Certificat SSL par défaut). Ensuite, sélectionnez le certificat SSL que vous avez créé à l'étape 2.
  4. Créez un point de terminaison d'interface pour le service auquel vous vous connectez en utilisant AWS PrivateLink.
  5. Créez une zone hébergée privée pour votre domaine dans Amazon Route 53.
  6. Associez la zone hébergée privée que vous avez créée à l'étape 5 au VPC qui possède le point de terminaison d'interface que vous avez créé à l'étape 4.
  7. Acheminez le trafic vers le point de terminaison d'interface en utilisant le nom de domaine. Lors de la configuration, créez un jeu d'enregistrements Alias dans la zone hébergée privée que vous avez créée à l'étape 5. Pour Alias Target (Cible d'alias), choisissez le nom DNS du point de terminaison d'interface vers lequel vous acheminez le trafic.
  8. Utilisez le nouveau jeu d'enregistrements pour accéder au point de terminaison du service. Assurez-vous que le DNS est correctement résolu en adresses IP privées du point de terminaison d'interface.