Fatal编程技术网

Amazon web services Amazon MQ上的自定义域

amazon-web-services

Amazon web services Amazon MQ上的自定义域,amazon-web-services,amazon-route53,amazon-mq,Amazon Web Services,Amazon Route53,Amazon Mq,我已经设置了一个Amazon MQ代理,您将生成一个域*.MQ.eu-west-2.amazonaws.com 生成的是一个很长的DN,我要做的是将其映射到我自己域的子域 因为所有的AWS服务都是通过SSL的,所以我也需要这个子域的证书,我通常只使用ACM 问题是,我不能只为生成域的CNAME命名,然后生成SSL证书,因为这不起作用。AWS在route53中提供了一个别名A记录,其他服务可以绕过这个问题,但它似乎不适用于Amazon MQ。您获得的选项不包括MQ服务 看看一些AWS文档,听起来我

我已经设置了一个Amazon MQ代理,您将生成一个域*.MQ.eu-west-2.amazonaws.com

生成的是一个很长的DN,我要做的是将其映射到我自己域的子域

因为所有的AWS服务都是通过SSL的,所以我也需要这个子域的证书,我通常只使用ACM

问题是,我不能只为生成域的CNAME命名,然后生成SSL证书,因为这不起作用。AWS在route53中提供了一个别名A记录,其他服务可以绕过这个问题,但它似乎不适用于Amazon MQ。您获得的选项不包括MQ服务

看看一些AWS文档,听起来我需要做以下工作(但似乎太过分了)

  • 创建私人经纪人
  • 创建网络负载平衡器
  • 将2个连接在一起(这相当困难,我无法让它工作)
  • 将我的子域命名为NLB
    • 其他人对如何最好地解决这个问题有什么建议吗?

    对于任何感兴趣的人,我想我已经找到了答案

    您不能只设置自定义域的原因是,该服务允许您拥有多个AZ配置,这意味着有多个代理。当存在多个故障时,处理故障转移的最佳方法是使用负载平衡器,因此我认为这就是您需要做的

    我发现你不需要私人经纪人,你也可以用公共经纪人。在Amazon MQ控制台中,您只能获得公共IP,但如果转到EC2和网络接口,您将发现该接口使用您拥有的公共IP,并从中获得私有IP

    您需要在EC2的网络接口部分执行完全相同的操作,以获得负载平衡器的专用IP(将是1-2个IP)。您需要这些专用IP来设置负载平衡器和安全组。这些是步骤

  • 创建Amazon MQ实例(公共或私有)
    • 我做过公共经纪人
    • 也是单实例而不是多实例
    • 已经创建了一个安全组,但如果没有,请在安装之前或安装期间创建一个
    • 我向安全组中添加了用于访问代理的2个端口的规则
      • 8162-用于仪表板(HTTPS)
      • 61617-经纪人(TLS)
  • 导航到EC2->Network Interfaces-获取MQ代理的私有IP(使用分配给实例的公共IP)。如果您创建了一个私有代理,则可以跳过此步骤
  • 在AWS的ACM服务中为您的子域创建证书。使用电子邮件或DNS验证它
  • 使用以下设置创建NLB(TCP):
    • 网络负载平衡器(TCP/TLS/UDP)
    • 选择一个名字
    • 面向互联网
    • 侦听器的TLS(安全TCP)协议
    • 端口61617
    • 可用性区域与代理相同(OBV也与VPC相同)
    • 从ACM选择认证
    • 查找在步骤3中创建的证书。在它显示在这里之前,您需要验证它
    • 安全政策-ELBSecurityPolicy-2016-08
    • ALPN政策:无
    • 新建目标组-选择一个名称
    • 目标类型-IP
    • 协议:TLS
    • 端口:61617
    • 健康检查:协议HTTPS
    • 运行状况检查:Path/index.html
    • 运行状况检查:(覆盖)端口:8162
    • 注册目标插入在步骤2中找到的代理的私有IP,单击添加到列表
    • 复习
    • 完成
  • 创建NLB后,导航到链接到代理的安全组,并将NLB专用IP添加到安全组(我完成了所有通信,但您可以将其限制为代理和健康检查所需的2个端口)、61617和8162
  • 最后,在route53中创建一个域记录(别名a记录),将您的子域映射到分配给NLB的域名
    • 这将为您提供使用SSL访问代理的子域。 您可以做完全相同的事情,但使用应用程序负载平衡器(HTTPS)访问控制台。我创建了第二个LB,一个新的子域和证书来让它工作,它工作得很好。2之间的唯一区别是侦听器通过HTTPS使用端口8162,配置时必须提供2个子网,否则其他所有内容都几乎相同(尤其是健康检查)

    希望这对任何人都有帮助,因为我找不到任何文档明确解释了如何以及为什么要这样做,亚马逊有一些文档,但他们遗漏了很多细节或理由,而我从他们那里找到的博文只谈到了与私人经纪人一起做这件事

    享受。

    对于任何感兴趣的人,我想我已经弄明白了这一点

    您不能只设置自定义域的原因是,该服务允许您拥有多个AZ配置,这意味着有多个代理。当存在多个故障时,处理故障转移的最佳方法是使用负载平衡器,因此我认为这就是您需要做的

    我发现你不需要私人经纪人,你也可以用公共经纪人。在Amazon MQ控制台中,您只能获得公共IP,但如果转到EC2和网络接口,您将发现该接口使用您拥有的公共IP,并从中获得私有IP

    您需要在EC2的网络接口部分执行完全相同的操作,以获得负载平衡器的专用IP(将是1-2个IP)。您需要这些专用IP来设置负载平衡器和安全组。这些是步骤

  • 创建Amazon MQ实例(公共或私有)
    • 我做过公共经纪人
    • 也是单实例而不是多实例
    • 已经创建了一个安全组,但如果没有,请在安装之前或安装期间创建一个
    • 我向安全组中添加了用于访问代理的2个端口的规则
      • 8162-fo