为 AWS Elastic Load Balancer (ELB) 背后的资源提供静态 IP

最后，我实现了小伙伴的需求，如下：

• 在 AWS 中启动一个实例
• 为其分配并附加一个弹性 IP (EIP)
• 安装的阿帕奇
• （在我们的例子中，安装了我们的 SSL 证书）
• 将 Apache 配置为反向代理服务器，转发到指向我们 ELB 的 CNAME

下面是 Apache 虚拟主机配置示例。我关闭 NameVirtualHost并指定了我们 EIP 的地址。我还禁用了默认主机。如果合作伙伴需要，我将添加一个<Directory>块，该块只接受来自其IP 范围的请求。

<IfModule mod_ssl.c>
# Catch non-SSL requests and redirect to SSL
<VirtualHost 12.34.567.890:80>
  ServerName our-static-ip-a-record.example.com
  Redirect / https://our-elb-cname.example.com       
</VirtualHost>
# Handle SSL requests on the static IP
<VirtualHost 12.34.567.890:443>
  ServerAdmin [email protected]
  ServerName our-static-ip-a-record.example.com

  # SSL Configuration
  SSLEngine on
  SSLProxyEngine on
  SSLProxyCACertificateFile /etc/apache2/ssl/gd_bundle.crt
  SSLCertificateFile    /etc/apache2/ssl/example.com.crt    
  SSLCertificateKeyFile /etc/apache2/ssl/private.key
  # Additional defaults, e.g. ciphers, defined in apache's ssl.conf

  # Where the magic happens
  ProxyPass / https://our-elb-cname.example.com/
  ProxyPassReverse / https://our-elb-cname.example.com/

  # Might want this on; sets X-Forwarded-For and other useful headers
  ProxyVia off

  # This came from an example I found online, handles broken connections from IE
  BrowserMatch "MSIE [2-6]" \
    nokeepalive ssl-unclean-shutdown \
    downgrade-1.0 force-response-1.0
  # MSIE 7 and newer should be able to use keepalive
  BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
</IfModule>

希望这可以在将来为其他人节省一些时间:-)

您不需要“静态”IP 地址来实施 SSL；您确实需要 DNS 中的名称，将为其颁发 SSL 证书。

典型的解决方案是在 DNS 中创建一个名称，然后将其作为为 Elastic Load Balancer 提供的 DNS 名称的 CNAME。