ELB †

• 記事
  • AWS再入門ブログリレー Elastic Load Balancing編 | Developers.IO
  • [レポート] さまざまなワークロードに対してElastic Load Balancingを最大限に活用する #NET407 #reinvent ｜ Developers.IO
  • ELBをよりよく理解するためにリリースの歴史と各機能面から紐解いた ｜ DevelopersIO
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: ELBのリスナーに関するまとめ
  • ELBについてとことん理解する | TecTec Cloud
  • html1ファイルで済むようなページの場合、 response code, body, content-type をALBに設定できるためBackendのS3やCloudFront不用に。

---

障害調査 †

• 記事
  • CLB/ALB の障害調査依頼を受けた時に確認していること | Developers.IO

---

アクセスログ †

• 記事
  • ELBのアクセスログを可視化し、超絶手軽に分析する[QuickSight,Athena] ｜ DevelopersIO
  • コピペで使えるELBのアクセスログ解析による事象分析 (ShellScript, Athena) - Qiita

---

ALB: アプリケーションロードバランサ †

• Application Load Balancer とは - Elastic Load Balancing
  • IP、ホストヘッダー、パスパターン、HTTPヘッダー、HTTPリクエストメソッド、クエリ文字列、送信元IPアドレスを条件にルーティングができる。
  • nginxやapacheでやっていた事を代替でき、シンプルになる。

• Application Load Balancer を使用してユーザーを認証する - Elastic Load Balancing
  • OpenID Connect (OIDC)
  • Amazon Cognito (SAML, LDAP, Microsoft AD)

• 記事
  • ALB で WAF のフェイルオープン設定が可能になりました | Developers.IO
  • ALBリスナールールを使って特定パス以下のアクセスを許可IPからのみに制限する | Developers.IO
  • ALB 配下の EC2 インスタンスを Active Standby 構成(自動切り替え)にする – サーバーワークスエンジニアブログ
  • 送信元IPアドレスに応じてALB配下のTargetGroupの振り分けを行う | Developers.IO
  • ALBのアクセスログをS3に保存してライフサイクルを設定する ｜ Developers.IO
  • OktaとALB認証機能をOIDCで連携して認証機能がないアプリケーションに認証機能を追加してみた[n8n実装] ｜ Developers.IO
  • ALBログからTLSプロトコルバージョンを確認する ｜ Developers.IO
  • EC2+ALB+ACMとApacheでセキュアな名前ベースのバーチャルホスト環境を作ってみた ｜ Developers.IO
  • [障害対応] ALB で502エラーが発生！！その時あなたはどうする！？ ｜ Developers.IO
  • ALB で 特定のバーチャルホストへのアクセスを IP 制限したい ｜ Developers.IO
  • オンプレサーバーをターゲットにしたALBリバースプロキシ環境を構築してみる ｜ Developers.IO
  • Application Load BalancerのターゲットにLambda Functionを使用して高度なリダイレクトを行う方法 ｜ Developers.IO
  • 新機能 – 加重ターゲットグループの使用によって Application Load Balancer がデプロイメントをシンプルに | Amazon Web Services ブログ
  • ALBのリスナールールで特定のUser-Agentからのアクセスをブロックしてみる ｜ DevelopersIO
  • ALBのTargetGroup付け替え時にエラーになるリクエストは発生しないのか確認した ｜ DevelopersIO
  • ALB経由で公開するAPサーバに(リバースプロキシ用の)Webサーバーを利用する意味はあるのか？立ち止まって考えてみた ｜ DevelopersIO
  • Application Load BalancerのリスナールールによるIP制限 ｜ DevelopersIO
  • 内部 ALB の HTTPS 通信を試してみた ｜ DevelopersIO
  • 固定IPでALBのStickySessionを実現する ｜ DevelopersIO
  • [小ネタ] ALB の高度なリクエストルーティングを CLI で設定する ｜ DevelopersIO
  • ALBとバックエンドEC2間をHTTPS通信させてみた ｜ DevelopersIO
  • ALBの301リダイレクトがChromeにキャッシュされてハマった話 ｜ DevelopersIO
  • [新機能]EC2やS3不要！ALBだけでメンテナンス画面を表示するなど固定レスポンスが返せるようになりました！ ｜ DevelopersIO
  • AmazonLinux2のhttpdをALB経由で公開するWeb環境で発生していた、SafariのHTTPS接続エラーを改善してみた ｜ DevelopersIO
  • 新機能 – AWS Application Load Balancer 向けの高度なリクエストルーティング | Amazon Web Services ブログ
  • ALBのHTTPヘッダールーティングを使ってIE11でアクセスできないサイトを作ってみた ｜ DevelopersIO
  • CloudFront専用のALBをリクエストルーティングで設定してみた ｜ DevelopersIO
  • [新機能] HTTPヘッダーやクエリ文字列などなどでルーティングができちゃう!!AWS ALBで高度なリクエストルーティングが可能になりました! ｜ DevelopersIO
  • ALBのヘルスチェックの豆知識 | サーバーワークス エンジニアブログ

---

NLB: ネットワーク(TCP)ロードバランサー †

• ネットワークロードバランサー とは - Elastic Load Balancing
  • NLB自身にstatic IPがある。ELBでは動的に変わっていた。
  • アクセス元IPが変わらない。ELBではアクセス元IPがELBのIPに変わるので「X-Forwarded-For」等で判別していた。
    • ターゲットにinstanceを選んだ場合のみ。ターゲットがIPの場合、NLBのIPになる。
  • 大規模トラフィックを受け付ける際に、ELBとは違い暖気が不用
  • SSLのデコードに対応
  • SNI対応
  • TCPの場合、NLBのログは出ない。TLSの場合はログが出る

• インスタンスタイプが m3, t1 といった古いタイプを、ターゲットグループへ追加できない。ALBのdocには特に制限事項には書いて無かった
  • インスタンスタイプをm3にしたらNLBが動かなくなった件 ｜ DevelopersIO

• 記事
  • NLBにElastic IP(EIP)をアタッチしてもそのIPが使われない場合がある | Developers.IO
  • [小ネタ] ELBのプライベートIPをコンソールからとAWS CLIを使用して確認する方法 | Developers.IO
  • [アップデート] Network Load Balancer で TLS ALPN がサポートされたので HTTP/2 が可能になりました。 | Developers.IO
  • [新機能] NLB（Network Load Banacer）が UDP に対応しました！ ｜ DevelopersIO
  • [新機能] NLB でプライベートIPの指定とサブネットの追加が可能になりました ｜ Developers.IO
  • HA構成プロキシ環境を NLBを使って構築してみる ｜ Developers.IO
  • 【アップデート】暖機不要で固定IPの Network Load Balancer ( NLB ) がSNIで複数の証明書をサポートしました ｜ DevelopersIO
  • アクセスログを有効化したNLBとS3バケットをCloudFormationで作成してみた ｜ DevelopersIO
  • [AWS]NLBでTLS利用した時のソースIPについて調べたらなるほどでした[小ネタ] ｜ DevelopersIO
  • 新機能 – Network Load Balancer の TLS 終端 | Amazon Web Services ブログ
  • 静的なIPアドレスを持つNLBがTLS Terminationに対応してアクセスログも出力可能に！ ｜ DevelopersIO

---

WebSocket? †

• ws://, wss:// はデフォルト設定では使えない

• HTTPSにすると、Connection ヘッダと Upgrade ヘッダが削れる
• TCPにすると、 X-Fowarded-For ヘッダが付かないため、送信元IPが取得できない。SSL Terminationも行われない
• SSL (セキュア TCP)にして、Proxy Protocolを設定する
• Classic Load Balancer の Proxy Protocol のサポートを設定する - Elastic Load Balancing

• ALBはws://, wss:// をサポートしている

• 記事

• 【新発表】AWS アプリケーションロードバランサー | Amazon Web Services ブログ
• AWS ELB 越しに WebSocket を通す - Qiita

---

Proxy Protocolを有効にする †

• ロードバランサーの Proxy Protocol のサポートを設定する

  Proxy Protocol を有効にすると、送信元 IP アドレス、送信先 IP アドレス、ポート番号などの接続情報が含まれる、人間が読んで理解できるヘッダーがリクエストヘッダーに追加されます。これにより、ヘッダーがリクエストの一部としてバックエンドインスタンスに送信されます。

  • ELBとアプリケーション両方がproxy protocolの有効化が必要
  • 両方の切替時にサービス断が発生するので注意

• 記事

• Classic Load Balancer で Proxy Protocol を構成する – サーバーワークスエンジニアブログ

---

セキュリティポリシー更新 †

• SSL Security Policy Table - Elastic Load Balancing

• 記事
  • サイトのSSLは定期的に確認していますか？ | Developers.IO
  • POODLE: SSLv3.0 脆弱性 (CVE-2014-3566) - Red Hat Customer Portal
  • CVE-2014-3566 Advisory
  • AWS - SSL3.0の脆弱性'POODLE'とELBとわたし - Qiita
  • ELBのセキュリティアップデートによるTLS 1.1対応 ｜ Developers.IO

• aws cliを使う場合
  • ポリシー名一覧取得

    aws elb describe-load-balancer-policies --query "PolicyDescriptions[].{PolicyName:PolicyName}"
    [
        {
            "PolicyName": "ELBSecurityPolicy-2014-10"
        },
        {
            "PolicyName": "ELBSecurityPolicy-2014-01"
        },
        {
            "PolicyName": "ELBSecurityPolicy-2011-08"
        },
        {
            "PolicyName": "ELBSample-ELBDefaultNegotiationPolicy"
        },
        {
            "PolicyName": "ELBSample-OpenSSLDefaultNegotiationPolicy"
        }
    ]

  • ELBの一覧とセキュリティポリシーの取得

    aws elb describe-load-balancers --query "LoadBalancerDescriptions[].{LoadBalancerName:LoadBalancerName,Policies:Policies.OtherPolicies}"
    
    [
        {
            "Policies": [
                "ELBSecurityPolicy-2014-01"
            ],
            "LoadBalancerName": "example-lb"
        },
    ...
    ]

  • 全リージョンのELB一覧とポリシーをファイルに出力

    AWS_PROFILE=default; for region in $(aws --profile $AWS_PROFILE ec2 describe-regions --query "Regions[].[RegionName]" --output text); do \
    echo "---- $region"; aws --profile $AWS_PROFILE --region $region elb describe-load-balancers --query "LoadBalancerDescriptions[].{LoadBalancerName:LoadBalancerName,Policies:Policies.OtherPolicies}"; \
    done > $AWS_PROFILE.elb.$(date +%Y%m%d-%H%M%S).log

  • セキュリティポリシーの更新。set-load-balancer-policies-of-listenerに直接ELBSecurityPolicy-2014-10を指定してもエラーになった。"ELBSecurityPolicy-*"は予約語で使えなかった。

    aws elb create-load-balancer-policy --load-balancer-name example-lb --policy-name ref-ELBSecurityPolicy-2014-10 --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=ELBSecurityPolicy-2014-10
    aws elb set-load-balancer-policies-of-listener --load-balancer-name example-lb --load-balancer-port 443 --policy-names ref-ELBSecurityPolicy-2014-10

  • セキュリティポリシーの削除。Management Consoleで設定するとセーブする度に、"AWSConsole-SSLNegotiationPolicy-*"という名前のポリシーが増える

    aws elb delete-load-balancer-policy --load-balancer-name example-lb --policy-name AWSConsole-SSLNegotiationPolicy-example-lb-123456789

  • 指定したELBを、リージョン毎に一括更新する

    ELB_NAMES=(my-elb-01 my-elb-02)
    ELB_POLICY=ELBSecurityPolicy-2014-10
    AWS_PROFILE=default
    AWS_REGION=ap-northeast-1
    
    for elb_name in "${ELB_NAMES[@]}"; do \
    aws --profile $AWS_PROFILE --region $AWS_REGION elb create-load-balancer-policy --load-balancer-name $elb_name --policy-name ref-${ELB_POLICY} --policy-type-name SSLNegotiationPolicyType --policy-attributes AttributeName=Reference-Security-Policy,AttributeValue=$ELB_POLICY ; \
    sleep 10; \
    aws --profile $AWS_PROFILE --region $AWS_REGION elb set-load-balancer-policies-of-listener --load-balancer-name $elb_name --load-balancer-port 443 --policy-names ref-${ELB_POLICY}
    done

---

Cross-Zone Load Balancingは有効にする †

Cross-Zone Load Balancing: Enabledにした方が良い。
デフォルトはDisabled:

• 記事
  • AWS - Cross-Zone Load Balancing を有効にしない理由がない件 - Qiita

• アクセス数の例
  • ELB: 1台
  • EC2: AZ:1a(1台), 1b(2台)
  • ELBから、1aに50%, 1bに50%に割り振られる。1aには1台なので50%分のアクセス数があり、1bは2台なのでそれぞれ25%のアクセスがある。
  • Cross-Zone Load Balancing: Enabledにした場合は、それぞれ33%ずつのアクセスがある

---

Listener TCP/HTTPの違い †

• Listener TCP
  • リクエストをELB配下のサーバにそのまま流す

• Listener HTTP
  • ELB配下のHTTPサーバがKeep-Aliveが使える場合、リクエストを連結し、接続を再利用する(1リクエストに異なるクライアントからのリクエストが含まれる)
  • HTTPヘッダ transfer-encoding: chunked を外し、Content-Lengthを追加し、chunkに分割されていないクライアントにレスポンスを返す

---

アクセス元のIPアドレスで記録/制限する †

• ELBからのアクセスの場合、ELBのIPアドレス(10.x.x.x)がアクセスログに記録される
• httpの場合：「X-Forwarded-For」ヘッダが付く

• httpsでELBのSSL Termination機能を使った場合：「X-Forwarded-For」ヘッダが付く

  elb-create-lb test-lb \
    --availability-zones ap-northeast-1a,ap-northeast-1b \
    --listener "protocol=HTTP, lb-port=80, instance-port=80" \
    --listener "protocol=HTTPS, lb-port=443, instance-port=80, cert-id=arn:aws:iam::ACCOUNT_NO:server-certificate/SSL-NAME"

• httpsでELBではSSLデコードせず、ホスト側にSSL証明書をいれた場合：「X-Forwarded-For」ヘッダは付かないため、以下の方法が使えない

  elb-create-lb test-lb \
    --availability-zones ap-northeast-1a,ap-northeast-1b \
    --listener "protocol=HTTP, lb-port=80, instance-port=80" \
    --listener "protocol=TCP, lb-port=443, instance-port=443"

• apacheの場合 mod_rpaf
• nginxの場合 HttpRealipModule
  • ELBを使ってるnginxでIPでアクセス制限をかける方法 - polikeijiの日記

---

ELBからのアクセスのみを許可 †

• ロードバランサーのセキュリティグループを設定する
• 記事
  • suz-lab - blog: ELBの"EC2 Security Group Support"

• api-toolから

  # httpのみ許可
  ec2-authorize test-sg -P tcp -p 80 -o amazon-elb-sg -u amazon-elb
  
  # 全許可
  ec2-authorize test-sg -o amazon-elb-sg -u amazon-elb

• Management Consoleから

1. EC2 > Security Groups > 該当セキュリティグループを選択
2. Create a new rule: HTTP
3. Source: amazon-elb/amazon-elb-sg

---

ELBとmod_rpafのテスト †

• セキュリティグループ作成スクリプト

  cat >> ec2_add_group.sh << 'EOS'
  #!/bin/bash
  #
  # Amazon EC2 セキュリティグループ作成
  #
  # ./ec2_add_group.sh
  #
  # $Id: 4D656D6F2F416D617A6F6E57656253657276696365732F454C42.txt 2470 2018-08-17 15:16:52Z dex $
  
  # include conf
  
  # define vars
  NAME=$1
  DESC=$2
  if [ "$NAME" == ""  ]; then
  	echo "Error : Input [Security Group Name] [Description]"
  	exit 1
  fi
  
  # add Security Groups
  add_security_groups() {
  	# Home > Your Account > Account Activity の右上にある「Account Number xxxx-xxxx-xxxx」のハイフンを除外した数字
  	ACCOUNT_NO=`ec2dgrp | grep GROUP | grep "default[[:space:]]default" | cut -f3`
  	if [ "$ACCOUNT_NO" == ""  ]; then
  		echo "AWS ACCOUNT NO Not found." 1>&2
  		return 1
  	fi
  
  	# -o [$NAME]
  	# -u [$ACCOUNT_NO]
  
  	# グループ作成
  	ec2-add-group "$NAME" -d "$DESC"
  
  	# default
  	ec2-authorize "$NAME" -P tcp -p 22 -s 0.0.0.0/0
  
  	# ping
  #	ec2-authorize "$NAME" -P icmp -t -1:-1 -s 0.0.0.0/0
  
  	# 確認
  	ec2-describe-group | grep "$NAME"
  
  	return 0
  }
  
  add_security_groups
  # vim: ts=4:sw=4:tw=80
  EOS

• セキュリティグループを作成

  bash ec2_add_group.sh test-sg test-sg

• テスト用 elb作成(SSL Terminationを使わない普通のELB)

  LB_NAME=test-lb
  elb-create-lb $LB_NAME \
    --availability-zones ap-northeast-1a,ap-northeast-1b \
    --listener "protocol=HTTP, lb-port=80, instance-port=80" \
    --listener "protocol=TCP, lb-port=443, instance-port=443"
  
  DNS_NAME  test-lb-274673121.ap-northeast-1.elb.amazonaws.com

• テスト用 ec2作成

  AZ=ap-northeast-1a
  HOST=test-ec2
  SG=test-sg
  
  ec2-run-instances \
    ami-786fdd79 \
    -g $SG \
    -z $AZ \
    -k test-key \
    -t t1.micro \
    -b "/dev/sdb=ephemeral0" \
    -b "/dev/sdc=ephemeral1"
  
  
  ec2-create-tags i-9bf6e99b --tag "Name=$HOST"

• ec2にapache, mod_rpafをインストール

  ssh -i test-key.pem root@ec2-54-248-59-203.ap-northeast-1.compute.amazonaws.com
  
  yum install httpd -y
  
  yum -y install gcc httpd-devel
  cd /tmp/
  git clone https://github.com/ttkzw/mod_rpaf-0.6.git
  cd mod_rpaf-0.6/
  make
  make install
  cp mod_rpaf.conf /etc/httpd/conf.d/rpaf.conf
  vi /etc/httpd/conf.d/rpaf.conf
  ----
  RPAFenable On
  RPAFsethostname Off
  RPAFproxy_ips 127.0.0.1 10.
  ----
  service httpd restart
  
  service iptables stop
  chkconfig iptables off

• ELBにEC2を追加

  elb-register-instances-with-lb $LB_NAME \
    --instances i-9bf6e99b
  
  INSTANCE_ID  i-9bf6e99b

• phpでHTTP ヘッダー出力

  yum -y install php php-mbstring
  
  vi /etc/php.ini
  ----
  date.timezone = "Asia/Tokyo"
  ----
  service httpd restart
  
  cd /var/www/html
  
  cat >> index.php << 'EOS'
  <html>
  <head>
  <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
  <pre>
  <?php var_export(getallheaders()); ?>
  </pre>
  </body>
  </html>
  EOS

• テスト。80をフル解放して、ブラウザからアクセスできるか？

  ec2-authorize test-sg -P tcp -p 80
  
  # アクセスを確認したら削除
  ec2-revoke test-sg -P tcp -p 80

• この状態ではELBからEC2へアクセスできない。セキュリティグループ test-sg にELBからのアクセスを許可

  # httpのみ許可
  ec2-authorize test-sg -P tcp -p 80 -o amazon-elb-sg -u amazon-elb
  
  # 全許可
  ec2-authorize test-sg -o amazon-elb-sg -u amazon-elb

• ELBのアドレス http://test-lb-274673121.ap-northeast-1.elb.amazonaws.com/ をブラウザで開いて "X-Forwarded-For" 等のヘッダを確認。元のIPアドレスがアクセスログに記録されているかも確認。

  tail -f /var/log/httpd/access_log

• テスト終了後の後始末

  # ELBから外す
  elb-deregister-instances-from-lb test-lb --instances i-9bf6e99b
  
  # EC2インスタンス削除
  ec2-terminate-instances i-9bf6e99b
  
  # ELB削除
  elb-delete-lb test-lb
  
  # セキュリティグループ削除
  ec2-delete-group test-sg