连接 Control Room AWS 账户 和 API 任务 AWS 账户

来自 AWS Certificate Manager (ACM) 的公有证书可验证两个 AWS 账户的域名之间的连接,并使负载均衡器能够根据传入流量处理容量。 该证书允许您通过 HTTPS 访问域。

必须在 Control Room AWS 账户中创建一个公有托管区域,然后使用 ACM 创建证书,并将该证书添加到之前创建的私有托管区域中。

过程

  1. 以管理员身份登录 Control Room AWS 账户的控制台。
  2. 转到 AWS 控制台中的 Route 53 控制台并执行以下步骤。
    1. 选择托管区域 > 创建托管区域
      将显示创建托管区域页面。
    2. 输入您在域名中创建私有托管区域时输入的域名。
    3. 类型中选择公有托管区域
    4. 可选: 单击添加标签,为托管区域应用标签,以便进行组织和识别。
    5. 单击创建托管区域以创建公有托管区域。
      新的公有托管区域会显示在 Route 53 仪表板上。 此公有托管区域允许您通过公共 DNS 记录验证证书。
  3. 前往 Control Room AWS 账户控制台中的 AWS Certificate Manager 门户并执行以下步骤。
    1. 单击申请证书,以从 Amazon 申请证书。
    2. 选择申请公有证书,然后单击下一步
    3. 输入 API 任务 AWS 账户在完全限定域名中的 FQDN。
    4. 可选: 单击为此证书添加另一个名称,然后输入该域的备用名称。
      此选项允许您从两个域名访问证书。
    5. 允许导出中选择禁用导出
    6. 验证方法中选择 DNS 验证
    7. 密钥算法中选择 RSA 2048 作为加密算法。
    8. 可选: 单击添加标签,为证书应用标签,以便进行组织和识别。
    9. 单击请求以申请公有证书
      处理请求后,ACM 控制台会在证书列表中显示新的证书。 ACM 控制台还会显示证书的 CNAME 记录。 必须在您的域的 DNS 配置中使用此 CNAME。 如果您申请一个包含名称和附加名称的证书,ACM 会为此证书创建两个 CNAME
      注: 如果证书显示失败验证超时,请删除证书并重试。 有关排查证书请求问题的更多信息,请参阅在 ACM 中排查证书请求问题
  4. 转到 控制台中的 Route 53AWS 控制台并执行以下步骤。
    1. 选择先前创建的私有托管区域,并单击创建记录
    2. 记录名称中输入之前在 ACM 中生成的 CNAME。
    3. 记录类型中选择 CNAME 作为类型。
    4. 中输入之前在 ACM 中生成的 CNAME 值
    5. TTL 中输入适当的超时值(秒)。
    6. 路由策略中选择简单
    7. 单击创建记录
      Route 53 控制台会创建记录并验证证书。 证书验证完成后,可以删除公有托管区域。 这可以避免与私有托管区域发生冲突。
  5. 转到 Control Room AWS 控制台中的EC2 > 负载均衡器并执行以下步骤:
    1. 选择您的负载均衡器。
    2. 转到监听器和规则选项卡,并选择添加监听器
    3. 协议中选择 HTTPS,并将端口设置为 443
    4. 选择默认操作 > 转发到目标组,并选择附加到您的负载均衡器的目标组。
    5. 选择默认 SSL/TLS 证书 > 证书(来自 ACM),然后选择之前创建的公有证书。
    6. 可选: 单击添加新标签,以向监听器应用标签。
    7. 单击添加监听器,以将监听器添加到控制台。
      监听器处于活动状态,并连接这两个 AWS 账户。

后续步骤

Control Room AWSAWS CLI 或 CloudShell 中运行以下命令,以验证连接:curl https://<API_TASK_AWS_ACCOUNT>,其中 <API_TASK_AWS_ACCOUNT> 是您的 API 任务 AWS 账户的 FQDN。