Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfigurieren Ihres Classic Load Balancers
Nachdem Sie einen Classic Load Balancer erstellt haben, können Sie dessen Konfiguration ändern. Sie können beispielsweise die Attribute, Subnetze und Sicherheitsgruppen des Load Balancers aktualisieren.Load Balancer-Attribute
[Verbindung wird schwächer](config-conn-drain.md)
Wenn diese Option aktiviert ist, ermöglicht der Load Balancer das Abschließen vorhandener Anforderungen, bevor der Load Balancer den Datenverkehr weg von einer abgemeldeten oder fehlerhaften Instance leitet.
[Zonenübergreifendes Load Balancing](enable-disable-crosszone-lb.md)
Wenn diese Option aktiviert ist, leitet der Load Balancer den Anforderungsdatenverkehr gleichmäßig auf alle Instances unabhängig von den Availability Zones um.
[Desync-Migrationsmodus](config-desync-mitigation-mode.md)
Legt fest, wie der Load Balancer Anforderungen verarbeitet, die ein Sicherheitsrisiko für Ihre Anwendung darstellen könnten. Die möglichen Werte sind `monitor`, `defensive` und `strictest`. Der Standardwert ist `defensive`.
[Timeout im Leerlauf](config-idle-timeout.md)
Wenn diese Option aktiviert ist, lässt der Load Balancer zu, dass die Verbindungen für die angegebene Dauer im Leerlauf ausgeführt werden können (keine Daten werden über diese Verbindung gesendet). Standardmäßig ist ein Zeitraum von 60 Sekunden festgelegt.
[Sticky Sessions](elb-sticky-sessions.md)
Classic Load Balancer unterstützen sowohl die Dauer als auch die Anwendungsabhängigkeit von Sitzungen.Einzelheiten zum Load Balancer
[Sicherheitsgruppen](elb-vpc-security-groups.md)
Die Sicherheitsgruppen für Ihren Load Balancer müssen den Datenverkehr auf den Ports Listener und Health Check zulassen.
[Subnets](elb-manage-subnets.md)
Sie können die Fähigkeiten Ihres Load Balancers auf zusätzliche Subnetze erweitern.
[Proxy-Protokoll](enable-proxy-protocol.md)
Wenn diese Option aktiviert ist, fügen wir einen Header mit Verbindungsinformationen hinzu, die an die Instance gesendet werden.
[Tags](add-remove-tags.md)
Sie können Tags hinzufügen, um Ihre Load Balances zu kategorisieren.
# Konfigurieren des Leerlaufverbindungszeitlimits für Ihren Classic Load Balancer
Für jede Anforderung, die ein Client über einen Classic Load Balancer sendet, hält der Load Balancer zwei Verbindungen aufrecht. Es besteht eine Front-End-Verbindung zwischen dem Client und dem Load Balancer. Es besteht eine Back-End-Verbindung besteht zwischen dem Load Balancer und einer registrierten EC2-Instance. Der Load Balancer verfügt über ein konfiguriertes Leerlauf-Timeout, das für seine Verbindungen gilt. Wenn bis zum Ablauf des Leerlaufzeitlimits keine Daten versandt oder empfangen wurden, schließt der Load Balancer die Verbindung. Um sicherzustellen, dass langwierige Vorgänge wie z. B. Datei-Uploads genügend Zeit haben, senden Sie mindestens 1 Datenbyte vor Ablauf jeder Leerlaufzeitüberschreitung und erhöhen Sie die Länge des Timeoutlimits bei Bedarf.
Wenn Sie HTTP- und HTTPS-Listener verwenden, sollten Sie die HTTP-Keepalive-Option für Ihre Instances aktivieren. Sie können Keepalive in den Webserver-Einstellungen für Ihre Instances aktivieren. Wenn Keep-Alive aktiviert ist, kann der Load Balancer Back-End-Verbindungen erneut verwenden, bis das Keep-Alive-Timeout abläuft. Stellen Sie die HTTP-Keep-Alive-Zeit höher als das für den Load Balancer konfigurierte Leerlaufzeitlimit ein, um sicherzustellen, dass der Load Balancer für das Schließen von Verbindungen mit Ihrer Instance zuständig ist.
Beachten Sie, dass TCP-Keepalive-Prüfpunkte das Schließen von Verbindungen durch den Load Balancer nicht verhindern, da sie keine Nutzlastdaten senden.
**Topics**
+ [Konfigurieren des Leerlaufzeitlimits mithilfe der Konsole](#config-idle-timeout-console)
+ [Konfigurieren Sie das Timeout für den Leerlauf mithilfe der AWS CLI](#config-idle-timeout-awscli)
## Konfigurieren des Leerlaufzeitlimits mithilfe der Konsole
Elastic Load Balancing setzt das Leerlaufzeitlimit für Ihren Load Balancer standardmäßig auf 60 Sekunden. Gehen Sie folgendermaßen vor, um einen anderen Wert für das Leerlaufzeitlimit festzulegen.
**Um die Einstellung für das Leerlauf-Timeout für Ihren Load Balancer mithilfe der Konsole zu konfigurieren**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Klicken Sie in der Registerkarte **Attributes** (Attribute) auf **Edit** (Bearbeiten).
1. Geben Sie auf der Seite **Edit load balancer attributes** (Attribute des Load Balancer bearbeiten) im Abschnitt **Traffic configuration** (Konfiguration des Datenverkehrs) einen Wert für **Idle Timeout** (Timeout-Leerlauf) ein. Der Bereich für das Leerlaufzeitlimit ist 1 bis 4,000 Sekunden.
1. Wählen Sie **Änderungen speichern ** aus.
## Konfigurieren Sie das Timeout für den Leerlauf mithilfe der AWS CLI
Verwenden Sie den folgenden [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html)Befehl, um das Leerlauf-Timeout für Ihren Load Balancer festzulegen:
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"ConnectionSettings\":{\"IdleTimeout\":30}}"
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"LoadBalancerAttributes": {
"ConnectionSettings": {
"IdleTimeout": 30
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
# Konfigurieren des zonenübergreifenden Load Balancing für Ihren Classic Load Balancer
Wenn *zonenübergreifendes Load Balancing* aktiviert ist, verteilt jeder Load Balancer-Knoten für Ihren Classic Load Balancer Anfragen gleichmäßig auf die registrierten Instances in allen aktivierten Availability Zones. Wenn zonenübergreifendes Load Balancing deaktiviert ist, verteilt jeder Load Balancer-Knoten Anfragen gleichmäßig nur auf die registrierten Instances in seiner aktivierten Availability Zone. Weitere Informationen finden Sie unter [Zonenübergreifender Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) im *Benutzerhandbuch für Elastic Load Balancing*.
Beim zonenübergreifenden Load Balancing muss nicht mehr die gleiche Anzahl von Instances in jeder aktivierten Availability Zone vorhanden sein, und die Anwendung kann den Verlust von einer oder mehreren Instances besser bewältigen. Für eine bessere Fehlertoleranz sollte allerdings dennoch etwa die gleiche Anzahl von Instances in jeder aktivierten Availability Zone vorhanden sein.
In Umgebungen, in denen Clients DNS-Suchvorgänge zwischenspeichern, können eingehende Anforderungen eine der Availability Zones bevorzugen. Wenn Sie zonenübergreifendes Load Balancing verwenden, wird dieses Ungleichgewicht der Anforderungslast auf alle verfügbaren Instances in der Region verteilt, sodass die Auswirkungen durch fehlerhafte Clients reduziert werden.
Wenn Sie einen Classic Load Balancer erstellen, hängt die Voreinstellung für zonenübergreifendes Load Balancing davon ab, wie Sie den Load Balancer erstellen. Mit der API oder CLI wird das zonenübergreifende Load Balancing standardmäßig deaktiviert. Bei der ist die AWS-Managementkonsole Option zur Aktivierung des zonenübergreifenden Lastenausgleichs standardmäßig ausgewählt. Nachdem Sie einen Classic Load Balancer erstellt haben, können Sie zonenübergreifendes Load Balancing jederzeit aktivieren oder deaktivieren.
**Topics**
+ [Aktivieren von zonenübergreifendem Load Balancing](#enable-cross-zone)
+ [Deaktivieren des zonenübergreifenden Load Balancing](#disable-cross-zone)
## Aktivieren von zonenübergreifendem Load Balancing
Sie können das zonenübergreifende Load Balancing jederzeit für Ihren Classic Load Balancer aktivieren.
**Aktivieren des zonenübergreifenden Load Balancing mithilfe der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Klicken Sie in der Registerkarte **Attributes** (Attribute) auf **Edit** (Bearbeiten).
1. Aktivieren Sie auf der Seite **Edit load balancer attributes** (Load-Balancer-Attribute bearbeiten) im Abschnitt **Availability Zone Routing configuration** (Routing-Konfiguration der Availability Zone) die Option **Cross-zone load balancing** (Zonenübergreifendes Load Balancing).
1. Wählen Sie **Änderungen speichern ** aus.
**Um den zonenübergreifenden Lastenausgleich mit dem zu aktivieren AWS CLI**
1. Verwenden Sie den folgenden [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html)Befehl, um das `CrossZoneLoadBalancing` Attribut Ihres Load Balancers auf festzulegen: `true`
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"CrossZoneLoadBalancing\":{\"Enabled\":true}}"
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"LoadBalancerAttributes": {
"CrossZoneLoadBalancing": {
"Enabled": true
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
1. (Optional) Verwenden Sie den folgenden [describe-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-attributes.html)Befehl, um zu überprüfen, ob der zonenübergreifende Load Balancing für Ihren Load Balancer aktiviert ist:
```
aws elb describe-load-balancer-attributes --load-balancer-name my-loadbalancer
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"LoadBalancerAttributes": {
"ConnectionDraining": {
"Enabled": false,
"Timeout": 300
},
"CrossZoneLoadBalancing": {
"Enabled": true
},
"ConnectionSettings": {
"IdleTimeout": 60
},
"AccessLog": {
"Enabled": false
}
}
}
```
## Deaktivieren des zonenübergreifenden Load Balancing
Sie können die Option zonenübergreifendes Load Balancing jederzeit für Ihren Load Balancer deaktivieren.
**Deaktivieren des zonenübergreifenden Load Balancing mithilfe der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Klicken Sie in der Registerkarte **Attributes** (Attribute) auf **Edit** (Bearbeiten).
1. Deaktivieren Sie auf der Seite **Edit load balancer attributes** (Load-Balancer-Attribute bearbeiten) im Abschnitt **Availability Zone Routing configuration** (Routing-Konfiguration der Availability Zone) die Option **Cross-zone load balancing** (Zonenübergreifendes Load Balancing).
1. Wählen Sie **Änderungen speichern ** aus.
Um das zonenübergreifende Load Balancing zu deaktivieren, setzen Sie das Attribut `CrossZoneLoadBalancing` Ihres Load Balancer auf `false`.
**Um den zonenübergreifenden Load Balancing zu deaktivieren, verwenden Sie den AWS CLI**
1. Verwenden Sie den folgenden [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html)-Befehl:
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"CrossZoneLoadBalancing\":{\"Enabled\":false}}"
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"LoadBalancerAttributes": {
"CrossZoneLoadBalancing": {
"Enabled": false
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
1. (Optional) Verwenden Sie den folgenden [describe-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-attributes.html)Befehl, um zu überprüfen, ob der zonenübergreifende Lastenausgleich für Ihren Load Balancer deaktiviert ist:
```
aws elb describe-load-balancer-attributes --load-balancer-name my-loadbalancer
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"LoadBalancerAttributes": {
"ConnectionDraining": {
"Enabled": false,
"Timeout": 300
},
"CrossZoneLoadBalancing": {
"Enabled": false
},
"ConnectionSettings": {
"IdleTimeout": 60
},
"AccessLog": {
"Enabled": false
}
}
}
```
# Konfigurieren des Connection Draining für Ihren Classic Load Balancer
Verwenden Sie den *Connection Draining*, um sicherzustellen, dass der Classic Load Balancer aufhört, Anforderungen an Instances zu senden, deren Registrierung aufgehoben werden soll oder die fehlerhafte sind, und vorhandene Verbindungen bestehen bleiben. Auf diese Weise kann der Load Balancer aktive Anforderungen an Instances mit aufgehobener Registrierung oder fehlerhafte Instances abschließen.
Wenn Sie den Connection Draining aktivieren, können Sie eine maximale Zeitspanne angeben, während der der Load Balancer die Verbindungen aufrecht erhält, bevor er die Registrierung der Instance als aufgehoben meldet. Die maximale Timeout-Wert kann zwischen 1 und 3.600 Sekunden liegen (der Standardwert beträgt 300 Sekunden). Wenn das maximale Zeitlimit überschritten wird, schließt der Load Balancer die Verbindungen zu der Instance, deren Registrierung aufgehoben werden soll.
Wenn eine Instance, deren Registrierung aufgehoben wird, keine laufenden Anfragen und keine aktiven Verbindungen hat, schließt Elastic Load Balancing den Abmeldevorgang sofort ab.
Während aktive Anforderungen bearbeitet werden, gibt der Load Balancer den Status einer Instance, deren Registrierung aufgehoben werden soll, als `InService: Instance deregistration currently in progress` aus. Wenn die Instance, deren Registrierung aufgehoben werden soll, alle aktiven Anforderungen bearbeitet hat oder das maximale Zeitlimit erreicht wurde, gibt der Load Balancer den Status der Instance als `OutOfService: Instance is not currently registered with the LoadBalancer` aus.
Wenn eine Instance fehlerhaft wird, gibt der Load Balancer den Status der Instance als `OutOfService` aus. Wenn laufende Anforderungen an die fehlerhafte Instance vorliegen, werden diese abgeschlossen. Das maximale Zeitlimit gilt nicht für Verbindungen zu fehlerhaften Instances.
Wenn Ihre Instances zu einer Auto-Scaling-Gruppe gehören und der Connection Draining für Ihren Load Balancer aktiviert ist, wartet Auto Scaling, bis die laufenden Anforderungen abgeschlossen werden oder das maximale Zeitlimit abgelaufen ist, bevor die Instances aufgrund eines Skalierungsereignisses oder einer Ersatzzustandsprüfung beendet werden.
Sie können den Connection Draining deaktivieren, wenn Sie möchten, dass Ihr Load Balancer sofort Verbindungen zu den Instances schließt, deren Registrierung aufgehoben werden soll oder die fehlerhaft geworden sind. Wenn der Connection Draining deaktiviert ist, werden alle laufenden Anforderungen an die Instances, deren Registrierung aufgehoben werden soll oder die fehlerhaft sind, nicht abgeschlossen.
**Topics**
+ [Aktivieren von Connection Draining](#enable-conn-drain)
+ [Deaktivieren von Connection Draining](#disable-conn-drain)
## Aktivieren von Connection Draining
Sie können den Connection Draining für Ihren Load Balancer jederzeit aktivieren.
**Aktivieren von Connection Draining mithilfe der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Klicken Sie in der Registerkarte **Attributes** (Attribute) auf **Edit** (Bearbeiten).
1. Wählen Sie auf der Seite **Edit load balancer attributes** (Load-Balancer-Attribute bearbeiten) im Abschnitt **Traffic configuration** (Konfiguration des Datenverkehrs) die Option **Enable connection draining** (Connection Draining aktivieren) aus.
1. (Optional) Geben Sie für **Timeout (draining interval)** (Timeout (Draining-Intervall)) einen Wert zwischen 1 und 3 600 Sekunden ein. Andernfalls wird der Standardwert von 300 Sekunden verwendet.
1. Wählen Sie **Änderungen speichern ** aus.
**Um den Verbindungsabbau zu aktivieren, verwenden Sie den AWS CLI**
Verwenden Sie den folgenden [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html)-Befehl:
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"ConnectionDraining\":{\"Enabled\":true,\"Timeout\":300}}"
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"LoadBalancerAttributes": {
"ConnectionDraining": {
"Enabled": true,
"Timeout": 300
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
## Deaktivieren von Connection Draining
Sie können den Connection Draining für Ihren Load Balancer jederzeit deaktivieren.
**Deaktivieren von Connection Draining mithilfe der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Klicken Sie in der Registerkarte **Attributes** (Attribute) auf **Edit** (Bearbeiten).
1. Deaktivieren Sie auf der Seite **Edit load balancer attributes** (Load-Balancer-Attribute bearbeiten) im Abschnitt **Traffic configuration** (Konfiguration des Datenverkehrs) die Option **Enable connection draining** (Connection Draining aktivieren).
1. Wählen Sie **Änderungen speichern ** aus.
**Um den Verbindungsabbau zu deaktivieren, verwenden Sie AWS CLI**
Verwenden Sie den folgenden [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html)-Befehl:
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"ConnectionDraining\":{\"Enabled\":false}}"
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"LoadBalancerAttributes": {
"ConnectionDraining": {
"Enabled": false,
"Timeout": 300
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
# Konfigurieren von Sticky Sessions für Ihren Classic Load Balancer
Standardmäßig leitet ein Classic Load Balancer jede Anforderung getrennt an die registrierte Instance mit der kleinsten Last weiter. Sie können jedoch das Feature *Sticky Session* (auch als *gebundene Sitzungen bezeichnet*) verwenden, damit der Load Balancer die Sitzung eines Benutzers an eine bestimmte Instance binden kann. So wird sichergestellt, dass alle Anforderungen, die während der Sitzung vom Benutzer gesendet werden, an dieselbe Instance weitergeleitet werden.
Bei der Verwaltung von Sticky Sessions ist es besonders wichtig festzulegen, wie lange der Load Balancer die Anforderung des Benutzers an die gleiche Instance leiten soll. Wenn Ihre Anwendung über ein eigenes Sitzungscookie verfügt, können Sie den Elastic Load Balancing so konfigurieren, dass das Sitzungscookie die durch das Sitzungscookie der Anwendung festgelegte Dauer einhält. Wenn Ihre Anwendung nicht über ein eigenes Sitzungscookie verfügt, können Sie den Elastic Load Balancing so konfigurieren, dass Sie selbst ein Sitzungscookie erstellen, indem Sie eine Dauer für die Sticky Sessions angeben.
Elastic Load Balancing erstellt ein Cookie mit dem Namen AWSELB, das verwendet wird, um die Sitzung der Instanz zuzuordnen.
**Voraussetzungen**
+ Ein HTTP/HTTPS Load Balancer.
+ Mindestens eine funktionierende Instance in jeder Availability Zone.
**Kompatibilität**
+ Beim RFC für die Pfadeigenschaften eines Cookies sind Unterstriche erlaubt. Die Elastic-Load-Balancing-URI kodiert Unterstriche jedoch als `%5F`, da für einige Browser, wie zum Beispiel Internet Explorer 7, URI-kodierte Unterstriche wie `%5F` erforderlich sind. Da derzeit betriebsfähige Browser anderenfalls beeinträchtigt werden können, setzt der Elastic Load Balancing die URI-Kodierung von Unterstrichen fort. Besitzt ein Cookie beispielsweise die Eigenschaft `path=/my_path`, ändert der Elastic Load Balancing diese Eigenschaft in der weitergeleiteten Anforderungen zu `path=/my%5Fpath`.
+ Sie können das `secure`-Flag oder `HttpOnly`-Flag nicht für Cookies für Sticky Sessions auf Basis der Dauer festlegen. Diese Cookies enthalten jedoch keine sensiblen Daten. Beachten Sie, dass, wenn Sie das `secure` Flag oder das `HttpOnly` Flag für ein anwendungsgesteuertes Session-Stickiness-Cookie setzen, es auch für das Cookie gesetzt wird. AWSELB
+ Wenn sich im Bereich `Set-Cookie` eines Anwendungs-Cookies ein abschließendes Semikolon befindet, ignoriert der Load Balancer das Cookie.
**Topics**
+ [Sticky Sessions auf Basis der Dauer](#enable-sticky-sessions-duration)
+ [Anwendungsgesteuerte Sticky Sessions](#enable-sticky-sessions-application)
## Sticky Sessions auf Basis der Dauer
Der Load Balancer verwendet ein spezielles Cookie, AWSELB, um die Instanz für jede Anfrage an jeden Listener zu verfolgen. Wenn der Load Balancer eine Anforderung empfängt, prüft er zunächst, ob dieses Cookie in der Anforderung vorhanden ist. Wenn ja, wird die Anforderung an die im Cookie angegebene Instance gesendet. Wenn kein Cookie vorhanden ist, wählt der Load Balancer eine Instance basierend auf dem vorhandenen Load Balancing-Algorithmus aus. Ein Cookie wird in die Antwort eingefügt, um nachfolgende Anforderungen von demselben Benutzer an diese Instance zu binden. Mit der Konfiguration der Richtlinie für Sticky Sessions wird ein Cookie-Ablauf definiert, der die Dauer der Gültigkeit für jedes Cookie festlegt. Der Load Balancer aktualisiert die Ablaufzeit des Cookies nicht und überprüft nicht, ob das Cookie abgelaufen ist, bevor er es verwendet. Nachdem ein Cookie abgelaufen ist, ist die Sitzung nicht mehr gebunden. Der Client muss das Cookie nach Ablauf aus seinem Cookiespeicher entfernen.
Bei CORS (Cross-Origin Resource Sharing)-Anforderungen benötigen einige Browser `SameSite=None; Secure` zum Aktivieren von Stickiness. In diesem Fall erstellt Elastic Load Balancing ein zweites Stickiness-Cookie AWSELBCORS, das dieselben Informationen wie das ursprüngliche Stickiness-Cookie plus dieses `SameSite` Attribut enthält. Kunden erhalten beide Cookies.
Wenn eine Instance ausfällt oder fehlerhaft ist, leitet der Load Balancer keine Anforderungen mehr an diese Instance weiter und wählt basierend auf dem bestehenden Load Balancing-Algorithmus eine neue funktionierende Instance. Die Anforderung wird an die neue Instance geleitet, als ob kein Cookie vorhanden wäre, und die Sitzung ist nicht gebunden.
Wenn ein Client zu einem Listener mit einem anderen Backend-Port wechselt, ist die Sitzung nicht mehr gebunden.
**Aktivieren von Sticky Sessions auf Basis der Dauer für einen Load Balancer mithilfe der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Wählen Sie auf der Registerkarte **Listeners** (Listener) die Option **Manage listeners** (Listener verwalten) aus.
1. Suchen Sie auf der Seite **Manage listeners** (Listener verwalten) den Listener, der aktualisiert werden soll und wählen Sie unter **Cookie stickiness** (Cookie-Stickiness) die Option **Edit** (Bearbeiten) aus.
1. Wählen **Sie im Popup-Fenster „Cookie-Stickiness-Einstellung bearbeiten**“ die Option Vom Load **Balancer generiert** aus.
1. (Optional) Geben Sie für **Expiration Period** (Verfallsdatum) den Ablaufzeitraum für Cookies, in Sekunden, ein. Wenn Sie keinen Ablaufzeitraum angeben, dauert die Sticky Session solange wie die Browsersitzung.
1. Wählen Sie **Änderungen speichern**, um das Popup-Fenster zu schließen.
1. Wählen Sie **Änderungen speichern**, um zur Seite mit den Load Balancer-Details zurückzukehren.
**Um dauerabhängige Sticky-Sessions für einen Load Balancer zu aktivieren, verwenden Sie den AWS CLI**
1. Verwenden Sie den folgenden Befehl [create-lb-cookie-stickiness-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-lb-cookie-stickiness-policy.html), um eine vom Load Balancer generierte Cookie-Stickiness-Richtlinie mit einer Cookie-Ablaufzeit von 60 Sekunden zu erstellen:
```
aws elb create-lb-cookie-stickiness-policy --load-balancer-name my-loadbalancer --policy-name my-duration-cookie-policy --cookie-expiration-period 60
```
1. Verwenden Sie den folgenden Befehl [set-load-balancer-policies-of-listener, um Session Stickiness für den angegebenen Load](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) Balancer zu aktivieren:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-duration-cookie-policy
```
**Anmerkung**
Der Befehl `set-load-balancer-policies-of-listener` ersetzt die Richtlinien, die aktuell dem angegebenen Load Balancer-Port zugeordnet sind. Geben Sie jedes Mal, wenn Sie diesen Befehl verwenden, die Option `--policy-names` an, um alle Richtlinien für die Aktivierung aufzulisten.
1. (Optional) Verwenden Sie den folgenden [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)Befehl, um zu überprüfen, ob die Richtlinie aktiviert ist:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
Die Antwort umfasst die folgenden Informationen, was bedeutet, dass die Richtlinie für den Listener auf dem angegebenen Port aktiviert ist:
```
{
"LoadBalancerDescriptions": [
{
...
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "arn:aws:iam::123456789012:server-certificate/my-server-certificate",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-duration-cookie-policy",
"ELBSecurityPolicy-TLS-1-2-2017-01"
]
},
...
],
...
"Policies": {
"LBCookieStickinessPolicies": [
{
"PolicyName": "my-duration-cookie-policy",
"CookieExpirationPeriod": 60
}
],
"AppCookieStickinessPolicies": [],
"OtherPolicies": [
"ELBSecurityPolicy-TLS-1-2-2017-01"
]
},
...
}
]
}
```
## Anwendungsgesteuerte Sticky Sessions
Der Load Balancer verwendet ein spezielles Cookie, um die Sitzung mit der Instance zu verknüpfen, die die ursprüngliche Anforderung verarbeitet hat, folgt jedoch der Lebensdauer des in der Richtlinienkonfiguration angegebenen Anwendungs-Cookies. Der Load Balancer fügt nur eine neues Cookie für Sticky Sessions ein, wenn die Anwendungsantwort ein neues Anwendungs-Cookie enthält. Das Load Balancer-Cookie für Sticky Sessions wird nicht mit jeder Anforderung aktualisiert. Wenn das Anwendungs-Cookie explizit entfernt wird oder abläuft, ist die Sitzung nicht mehr gebunden, bis ein neues Anwendungs-Cookie ausgegeben wird.
Die folgenden Attribute, die von Back-End-Instances festgelegt werden, werden an Clients im Cookie gesendet:`path`, `port`, `domain`, `secure`, `httponly`, `discard`, `max-age`, `expires`, `version`, `comment`, `commenturl` und `samesite`.
Wenn eine Instance ausfällt oder fehlerhaft ist, leitet der Load Balancer keine Anforderungen mehr an diese Instance weiter und wählt basierend auf dem bestehenden Load Balancing-Algorithmus eine neue funktionierende Instance. Der Load Balancer behandelt die Sitzung jetzt als der neuen funktionierenden Instance „angeheftet“ und leitet Anforderungen auch dann an diese Instance, wenn die ausgefallene Instance wieder funktionsfähig ist.
**Aktivieren anwendungsgesteuerter Sticky Sessions mithilfe der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Wählen Sie auf der Registerkarte **Listeners** (Listener) die Option **Manage listeners** (Listener verwalten) aus.
1. Suchen Sie auf der Seite **Manage listeners** (Listener verwalten) den Listener, der aktualisiert werden soll und wählen Sie unter **Cookie stickiness** (Cookie-Stickiness) die Option **Edit** (Bearbeiten) aus.
1. Wählen Sie **Generated by application** (Von der Anwendung generiert) aus.
1. Geben Sie unter **Cookie Name** den Namen Ihres Anwendungscookies ein.
1. Wählen Sie **Änderungen speichern ** aus.
**Um die anwendungsgesteuerte Sitzungsabhängigkeit zu aktivieren, verwenden Sie den AWS CLI**
1. Verwenden Sie den folgenden Befehl [create-app-cookie-stickiness-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-app-cookie-stickiness-policy.html), um eine von der Anwendung generierte Cookie-Stickiness-Richtlinie zu erstellen:
```
aws elb create-app-cookie-stickiness-policy --load-balancer-name my-loadbalancer --policy-name my-app-cookie-policy --cookie-name my-app-cookie
```
1. Verwenden Sie den folgenden Befehl [set-load-balancer-policies-of-listener, um Session Stickiness für einen Load](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) Balancer zu aktivieren:
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-app-cookie-policy
```
**Anmerkung**
Der Befehl `set-load-balancer-policies-of-listener` ersetzt die Richtlinien, die aktuell dem angegebenen Load Balancer-Port zugeordnet sind. Geben Sie jedes Mal, wenn Sie diesen Befehl verwenden, die Option `--policy-names` an, um alle Richtlinien für die Aktivierung aufzulisten.
1. (Optional) Verwenden Sie den folgenden [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)Befehl, um zu überprüfen, ob die Sticky-Policy aktiviert ist:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
1. Die Antwort umfasst die folgenden Informationen, was bedeutet, dass die Richtlinie für den Listener auf dem angegebenen Port aktiviert ist:
```
{
"LoadBalancerDescriptions": [
{
...
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "arn:aws:iam::123456789012:server-certificate/my-server-certificate",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-app-cookie-policy",
"ELBSecurityPolicy-TLS-1-2-2017-01"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "TCP",
"InstanceProtocol": "TCP"
},
"PolicyNames": []
}
],
...
"Policies": {
"LBCookieStickinessPolicies": [],
"AppCookieStickinessPolicies": [
{
"PolicyName": "my-app-cookie-policy",
"CookieName": "my-app-cookie"
}
],
"OtherPolicies": [
"ELBSecurityPolicy-TLS-1-2-2017-01"
]
},
...
}
]
}
```
# Konfigurieren Sie den Desync-Mitigationsmodus für Ihren Classic Load Balancer
Der desynchrone Mitigationsmodus schützt Ihre Anwendung vor Problemen aufgrund von HTTP-Desync-Angriffen. Der Load Balancer klassifiziert jede Anforderung anhand ihrer Bedrohungsstufe, lässt sichere Anforderungen zu und mindert dann das Risiko gemäß dem von Ihnen angegebenen Mitigationsmodus. Die desynchronen Mitigationsmodi lauten „Überwachen“, „Defensiv“ und „Am strengsten“. Der Standardmodus ist „Defensiv“, der eine dauerhafte Abwehr gegen HTTP-Desync-Angriffe bietet und gleichzeitig die Verfügbarkeit Ihrer Anwendung gewährleistet. Sie können in den Modus „Am strengsten“ wechseln, um sicherzustellen, dass Ihre Anwendung nur Anforderungen empfängt, die RFC 7230 entsprechen.
Die Bibliothek „http\$1desync\$1guardian“ analysiert HTTP-Anforderungen, um HTTP-Desync-Angriffe zu verhindern. Weitere Informationen finden Sie unter [HTTP Desync Guardian](https://github.com/aws/http-desync-guardian) auf GitHub.
**Topics**
+ [Klassifizierungen](#desync-mitigation-classification)
+ [Modi](#desync-mitigation-modes)
+ [Desynchronen Mitigationsmodus ändern](#update-desync-mitigation-mode)
**Tipp**
Diese Konfiguration gilt nur für Classic Load Balancer. Informationen zu Application Load Balancer finden Sie unter [Desync-Minderungsmodus für Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode).
## Klassifizierungen
Diese Klassifizierungen lauten wie folgt:
+ Konform – Die Anforderung entspricht RFC 7230 und stellt keine bekannten Sicherheitsbedrohungen dar.
+ Akzeptabel – Die Anforderung entspricht nicht RFC 7230, stellt jedoch keine bekannten Sicherheitsbedrohungen dar.
+ Mehrdeutig – Die Anforderung entspricht nicht RFC 7230, stellt jedoch ein Risiko dar, da verschiedene Webserver und Proxys sie unterschiedlich behandeln könnten.
+ Schwerwiegend – Die Anforderung stellt ein hohes Sicherheitsrisiko dar. Der Load Balancer blockiert die Anforderung, sendet dem Client eine 400-Antwort und schließt die Client-Verbindung.
In den folgenden Listen werden die Probleme für jede Klassifizierung beschrieben.
**Akzeptabel**
+ Ein Header enthält ein Nicht-ASCII- oder Steuerzeichen.
+ Die Anforderungsversion enthält einen ungültigen Wert.
+ Es gibt einen Content-Length-Header mit dem Wert 0 für eine GET- oder HEAD-Anfrage.
+ Die Anforderungs-URI enthält ein Leerzeichen, das nicht URL-codiert ist.
**Mehrdeutig**
+ Die Anforderungs-URI enthält Steuerzeichen.
+ Die Anfrage enthält sowohl einen Transfer-Encoding-Header als auch einen Content-Length-Header.
+ Es gibt mehrere Content-Length-Header mit demselben Wert.
+ Eine Kopfzeile ist leer oder es gibt eine Zeile mit nur Leerzeichen.
+ Es gibt einen Header, der mithilfe gängiger Textnormalisierungstechniken auf Transfer-Encoding oder Content-Length normalisiert werden kann.
+ Es gibt einen Content-Length-Header für eine GET- oder HEAD-Anfrage.
+ Es gibt einen Transfer-Encoding-Header für eine GET- oder HEAD-Anfrage.
**Schwerwiegend**
+ Die Anforderungs-URI enthält ein Nullzeichen oder ein Zeilenumkehrzeichen.
+ Der Content-Length-Header enthält einen Wert, der nicht analysiert werden kann oder der keine gültige Zahl ist.
+ Ein Header enthält ein Nullzeichen oder ein Zeilenumkehrzeichen.
+ Der Transfer-Encoding-Header enthält einen ungültigen Wert.
+ Die Anforderungsmethode ist schlecht geformt.
+ Die Anforderungsversion ist schlecht geformt.
+ Es gibt mehrere Content-Length-Header mit verschiedenen Werten.
+ Es gibt mehrere Transfer-Encoding: chunked Header.
Wenn eine Anfrage nicht RFC 7230 entspricht, erhöht der Load Balancer die `DesyncMitigationMode_NonCompliant_Request_Count`-Metrik. Weitere Informationen finden Sie unter [Metriken zu Classic Load Balancer](elb-cloudwatch-metrics.md#loadbalancing-metrics-clb).
## Modi
In der folgenden Tabelle wird beschrieben, wie Classic Load Balancer Anfragen basierend auf Modus und Klassifizierung behandeln.
| Klassifizierung | Modus „Überwachen“ | Modus „Defensiv“ | Modus „Am strengsten“ |
| --- | --- | --- | --- |
| Konform | Zulässig | Zulässig | Zulässig |
| Akzeptabel | Zulässig | Zulässig | Blocked |
| Mehrdeutig | Zulässig | Zulässig¹ | Blocked |
| Schwerwiegend | Zulässig | Blocked | Blocked |
¹ Leitet die Anfragen weiter, schließt aber die Client- und Zielverbindungen.
## Desynchronen Mitigationsmodus ändern
**So aktualisieren Sie den Desync-Mitigation-Modus über die Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Klicken Sie in der Registerkarte **Attributes** (Attribute) auf **Edit** (Bearbeiten).
1. Wählen Sie auf der Seite **Edit load balancer attributes** (Load-Balancer-Attribute bearbeiten) unter **Traffic configuration** (Konfiguration des Datenverkehrs) die Optionen **Defensive - recommended** (Defensiv – empfohlen), **Strictest** (Strikteste) oder **Monitor** (Überwachen) aus.
1. Wählen Sie **Änderungen speichern ** aus.
**Um den Desync-Minimierungsmodus mit dem zu aktualisieren AWS CLI**
Verwenden Sie den [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html)Befehl, wobei das `elb.http.desyncmitigationmode` Attribut auf`monitor`, `defensive` oder gesetzt ist. `strictest`
```
aws elb modify-load-balancer-attributes --load-balancer-name my-load-balancer --load-balancer-attributes file://attribute.json
```
Im Folgenden sehen Sie den Inhalt von `attribute.json`.
```
{
"AdditionalAttributes": [
{
"Key": "elb.http.desyncmitigationmode",
"Value": "strictest"
}
]
}
```
# Konfigurieren Sie das Proxyprotokoll für Ihren Classic Load Balancer
Proxy-Protokoll ist ein Internetprotokoll, das verwendet wird, um Verbindungsinformationen von der Quelle, die die Verbindung anfragt, zum Ziel, für das die Verbindung angefragt wurde, überträgt. Elastic Load Balancing verwendet die Proxy-Protokoll-Version 1 in einem visuell lesbaren Header-Format.
Wenn Sie Transmission Control Protocol (TCP) für Frontend- und Backend-Verbindungen verwenden, überträgt Ihr Classic Load Balancer standardmäßig Anforderungen an die Instances, ohne die Anforderungs-Header zu ändern. Wenn Sie Proxy-Protokoll aktivieren, wird ein visuell lesbarer Header mit Verbindungsinformationen, wie z. B. Quell-IP-Adresse, Ziel-IP-Adresse und Portnummern, zum Anforderungs-Header hinzugefügt. Der Header wird dann als Teil der Anforderung zu der Instance gesandt.
**Anmerkung**
Das AWS-Managementkonsole unterstützt die Aktivierung des Proxyprotokolls nicht.
**Topics**
+ [Proxy-Protokoll-Header](#proxy-protocol)
+ [Voraussetzungen für die Aktivierung des Proxy-Protokolls](#proxy-protocol-prerequisites)
+ [Aktivieren Sie das Proxyprotokoll mit dem AWS CLI](#enable-proxy-protocol-cli)
+ [Deaktivieren Sie das Proxyprotokoll mit dem AWS CLI](#proxy-protocol-disable-policy-cli)
## Proxy-Protokoll-Header
Anhand des Proxy-Protokoll-Headers können Sie die IP-Adresse eines Clients identifizieren, wenn Sie über einen Load Balancer verfügen, der für Backend-Verbindungen TCP verwendet. Da Load Balancers Datenverkehr zwischen Clients und Ihren Backend-Instances abfangen, enthalten die Zugriffsprotokolle von Ihrer Backend-Instance die IP-Adresse des Load Balancer statt des ursprünglichen Clients. Sie können die erste Zeile der Anforderung parsen, um die IP-Adresse Ihres Clients und die Portnummer abzurufen.
Die Adresse des Proxys im Header für IPv6 ist die öffentliche IPv6 Adresse Ihres Load Balancers. Diese IPv6 Adresse entspricht der IP-Adresse, die aus dem DNS-Namen Ihres Load Balancers aufgelöst wird, der entweder mit oder `ipv6` beginnt. `dualstack` Wenn der Client eine Verbindung herstellt IPv4, ist die Adresse des Proxys im Header die private IPv4 Adresse des Load Balancers, die nicht durch eine DNS-Suche aufgelöst werden kann.
Die Proxy-Protokoll-Zeile ist eine einzelne Zeile, die mit einem Wagenrücklauf und Zeilenvorschub endet (`"\r\n"`) und in der folgenden Form vorliegt:
```
PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + "\r\n"
```
**Beispiel: IPv4**
Das Folgende ist ein Beispiel für die Proxy-Protokollzeile für. IPv4
```
PROXY TCP4 198.51.100.22 203.0.113.7 35646 80\r\n
```
## Voraussetzungen für die Aktivierung des Proxy-Protokolls
Bevor Sie beginnen, führen Sie die folgenden Schritte aus:
+ Vergewissern Sie sich, dass Ihr Load Balancer sich nicht hinter einem Proxy-Server mit aktiviertem Proxy-Protokoll befindet. Wenn Proxy-Protokoll sowohl für den Proxy-Server als auch den Load Balancer aktiviert ist, fügt der Load Balancer einen weiteren Header zu der Anforderung hinzu, die bereits über einen Header vom Proxy-Server verfügt. Abhängig von der Konfiguration Ihrer Instance kann diese Duplikation zu Fehlern führen.
+ Vergewissern Sie sich, dass Ihre Instances die Proxy-Protokoll-Informationen verarbeiten können.
+ Vergewissern Sie sich, dass Ihre Listener-Einstellungen Proxy-Protokoll unterstützen. Weitere Informationen finden Sie unter [Listener-Konfigurationen für Classic Load Balancer](using-elb-listenerconfig-quickref.md).
## Aktivieren Sie das Proxyprotokoll mit dem AWS CLI
Sie müssen eine Richtlinie des Typs `ProxyProtocolPolicyType` erstellen und diese Richtlinie dann auf dem Instance-Port aktivieren, um Proxy-Protokoll zu aktivieren.
Nutzen Sie die folgende Vorgehensweise, um eine neue Richtlinie für Ihren Load Balancer des Typs `ProxyProtocolPolicyType` zu erstellen. Legen Sie die neu erstellte Richtlinie für die Instance von Port `80` fest und stellen Sie sicher, dass die Richtlinie aktiviert ist.
**Aktivieren von Proxy-Protokoll für Ihren Load Balancer**
1. (Optional) Verwenden Sie den folgenden Befehl [describe-load-balancer-policy-types](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policy-types.html), um die von Elastic Load Balancing unterstützten Richtlinien aufzulisten:
```
aws elb describe-load-balancer-policy-types
```
Die Antwort enthält die Namen und Beschreibungen der unterstützten Richtlinientypen. Das folgende Beispiel zeigt die Ausgabe für den `ProxyProtocolPolicyType`-Typ:
```
{
"PolicyTypeDescriptions": [
...
{
"PolicyAttributeTypeDescriptions": [
{
"Cardinality": "ONE",
"AttributeName": "ProxyProtocol",
"AttributeType": "Boolean"
}
],
"PolicyTypeName": "ProxyProtocolPolicyType",
"Description": "Policy that controls whether to include the IP address and port of the originating
request for TCP messages. This policy operates on TCP/SSL listeners only"
},
...
]
}
```
1. Verwenden Sie den folgenden [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)Befehl, um eine Richtlinie zu erstellen, die das Proxy-Protokoll aktiviert:
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-ProxyProtocol-policy --policy-type-name ProxyProtocolPolicyType --policy-attributes AttributeName=ProxyProtocol,AttributeValue=true
```
1. Verwenden Sie den folgenden for-backend-server Befehl [set-load-balancer-policies-](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html), um die neu erstellte Richtlinie für den angegebenen Port zu aktivieren. Beachten Sie, dass dieser Befehl die aktuell aktivierten Richtlinien ersetzt. Daher müssen in der Option `--policy-names` sowohl die Richtlinie, die Sie zur Liste hinzufügen (zum Beispiel `my-ProxyProtocol-policy`) als auch alle Richtlinien, die aktuell aktiviert sind (zum Beispiel `my-existing-policy`) angegeben werden.
```
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 80 --policy-names my-ProxyProtocol-policy my-existing-policy
```
1. (Optional) Verwenden Sie den folgenden [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)Befehl, um zu überprüfen, ob das Proxyprotokoll aktiviert ist:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
Die Antwort enthält die folgenden Informationen, was bedeutet, dass die Richtlinie `my-ProxyProtocol-policy` Port `80` zugeordnet ist.
```
{
"LoadBalancerDescriptions": [
{
...
"BackendServerDescriptions": [
{
"InstancePort": 80,
"PolicyNames": [
"my-ProxyProtocol-policy"
]
}
],
...
}
]
}
```
## Deaktivieren Sie das Proxyprotokoll mit dem AWS CLI
Sie können die mit Ihrer Instance verknüpften Richtlinien deaktivieren und zu einem späteren Zeitpunkt wieder aktivieren.
**Deaktivieren der Proxy-Protokoll-Richtlinie**
1. Verwenden Sie den folgenden for-backend-server Befehl [set-load-balancer-policies-](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html), um die Proxyprotokollrichtlinie zu deaktivieren, indem Sie sie in der `--policy-names` Option weglassen, aber die anderen Richtlinien einbeziehen, die aktiviert bleiben sollen (z. B.). `my-existing-policy`
```
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 80 --policy-names my-existing-policy
```
Wenn keine anderen Richtlinien zum Aktivieren vorhanden sind, geben Sie mit der Option `--policy-names` eine leere Zeichenfolge an:
```
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 80 --policy-names "[]"
```
1. (Optional) Verwenden Sie den folgenden [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)Befehl, um zu überprüfen, ob die Richtlinie deaktiviert ist:
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
Die Antwort enthält die folgenden Informationen, was bedeutet, dass keine Ports mit der Richtlinie verknüpft sind.
```
{
"LoadBalancerDescriptions": [
{
...
"BackendServerDescriptions": [],
...
}
]
}
```
# Kennzeichnen Ihres Classic Load Balancer
Tags helfen Ihnen, Ihre Load Balancer auf unterschiedliche Weise zu kategorisieren, z. B. nach Zweck, Eigentümer oder Umgebung.
Sie können mehrere Tags für jeden Classic Load Balancer hinzufügen. Tag-Schlüssel müssen für jeden Load Balancer eindeutig sein. Wenn Sie ein Tag mit einem Schlüssel hinzufügen, der dem Load Balancer bereits zugeordnet ist, ändert sich der Wert dieses Tags.
Wenn Sie ein Tag nicht mehr benötigen, können Sie es von Ihrem Load Balancer entfernen.
**Topics**
+ [Tag-Einschränkungen](#tag-restrictions)
+ [Fügen Sie einen Tag hinzu](#add-tags)
+ [Entfernen eines Tags](#remove-tags)
## Tag-Einschränkungen
Die folgenden grundlegenden Einschränkungen gelten für Tags (Markierungen):
+ Maximale Anzahl von Tags pro Ressource: 50
+ Maximale Schlüssellänge: 127 Unicode-Zeichen
+ Maximale Wertlänge: 255 Unicode-Zeichen
+ Bei Tag-Schlüsseln und -Werten muss die Groß- und Kleinschreibung beachtet werden. Erlaubte Zeichen sind Buchstaben, Leerzeichen und Zahlen, die in UTF-8 darstellbar sind, sowie die folgenden Sonderzeichen: \$1 - = \$1 : / @. Verwenden Sie keine führenden oder nachgestellten Leerzeichen.
+ Verwenden Sie das `aws:` Präfix nicht in Ihren Tag-Namen oder -Werten, da es für die AWS Verwendung reserviert ist. Sie können keine Tag-Namen oder Werte mit diesem Präfix bearbeiten oder löschen. Tags mit diesem Präfix werden nicht als Ihre Tags pro Ressourcenlimit angerechnet.
## Fügen Sie einen Tag hinzu
Sie können jederzeit Tags zu Ihrem Load Balancer hinzufügen.
**Hinzufügen eines Tags mithilfe der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Wählen Sie auf der Registerkarte **Tags** die Option **Manage tags (Tags verwalten)**.
1. Wählen Sie auf der Seite **Manage tags** (Tags verwalten) für jeden Tag die Option **Add new tag** (Neuen Tag hinzufügen) und geben Sie dann einen Schlüssel und einen Wert an.
1. Wenn Sie fertig mit dem Hinzufügen der Tags sind, wählen Sie **Save changes** (Änderungen speichern).
**Um ein Tag hinzuzufügen, verwenden Sie AWS CLI**
Verwenden Sie den folgenden Befehl [add-tags](https://docs.aws.amazon.com/cli/latest/reference/elb/add-tags.html), um das angegebene Tag hinzufügen:
```
aws elb add-tags --load-balancer-name my-loadbalancer --tag "Key=project,Value=lima"
```
## Entfernen eines Tags
Sie können Tags von Ihrem Load Balancer entfernen, wenn Sie sie nicht mehr benötigen.
**Entfernen eines Tags mithilfe der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Wählen Sie auf der Registerkarte **Tags** die Option **Manage tags (Tags verwalten)**.
1. Wählen Sie auf der Seite **Manage tags** (Tags verwalten) neben jedem Tag, den Sie entfernen möchten, **Remove** (Entfernen) aus.
1. Nachdem Sie alle Tags entfernt haben, wählen Sie **Save changes** (Änderungen speichern).
**Um ein Tag zu entfernen, verwenden Sie AWS CLI**
Verwenden Sie den folgenden Befehl [remove-tags](https://docs.aws.amazon.com/cli/latest/reference/elb/remove-tags.html), um das Tag mit dem angegebenen Schlüssel zu entfernen:
```
aws elb remove-tags --load-balancer-name my-loadbalancer --tag project
```
# Konfigurieren Sie Subnetze für Ihren Classic Load Balancer
Wenn Sie ein Subnetz zu Ihrem Load Balancer hinzufügen, erstellt Elastic Load Balancing einen Load-Balancer-Knoten in der Availability Zone. Load Balancer-Knoten akzeptieren Datenverkehr von Clients und leiten Anfragen an die fehlerfreien registrierten Instances in einer oder mehreren Availability Zones weiter. Wir empfehlen, dass Sie für mindestens zwei Availability Zones ein Subnetz pro Availability Zone hinzufügen. Auf diese Weise wird die Verfügbarkeit Ihres Load Balancer verbessert. Beachten Sie, dass Sie die Subnetze für Ihren Load Balancer jederzeit ändern können.
Wählen Sie Subnetze aus denselben Availability Zones wie Ihre Instances aus. Wenn es sich bei Ihrem Load Balancer um einen mit dem Internet verbundenen Load Balancer handelt, müssen Sie öffentliche Subnetze auswählen, damit Ihre Backend-Instances Datenverkehr vom Load Balancer erhalten (auch wenn sich die Backend-Instances in privaten Subnetzen befinden). Wenn es sich bei Ihrem Load Balancer um einen internen Load Balancer handelt, empfehlen wir, private Subnetze auszuwählen. Weitere Informationen zu Subnetzen für den Load Balancer finden Sie unter [Empfehlungen für Ihre VPC](elb-backend-instances.md#set-up-ec2).
Um ein Subnetz hinzuzufügen, registrieren Sie die Instances in der Availability Zone beim Load Balancer und fügen Sie dann ein Subnetz aus dieser Availability Zone mit dem Load Balancer hinzu. Weitere Informationen finden Sie unter [Registrieren Sie Instances mit Ihrem Classic Load Balancer](elb-deregister-register-instances.md).
Nachdem Sie ein Subnetz hinzugefügt haben, beginnt der Load Balancer mit der Weiterleitung von Anfragen an die registrierten Instances in der entsprechenden Availability Zone. Der Load Balancer leitet Anfragen standardmäßig gleichmäßig an die Availability Zones für deren Subnetze weiter. Um Anforderungen gleichmäßig an die registrierten Instances in den Availability Zones weiterzuleiten, aktivieren Sie für deren Subnetze zonenübergreifendes Load Balancing. Weitere Informationen finden Sie unter [Konfigurieren des zonenübergreifenden Load Balancing für Ihren Classic Load Balancer](enable-disable-crosszone-lb.md).
Sie können ein Subnetz aus Ihrem Load Balancer vorübergehend entfernen, wenn die entsprechende Availability Zone keine fehlerfreien registrierten Instances enthält oder wenn Sie Fehler bei den registrierten Instances beheben oder diese aktualisieren möchten. Nachdem Sie ein Subnetz entfernt haben, leitet der Load Balancer keine Anfragen mehr an die registrierten Instances in der entsprechenden Availability Zone weiter. Anfragen werden aber weiterhin an die registrierten Instances in den Availability Zones für die verbleibenden Subnetze weitergeleitet. Beachten Sie, dass nach dem Entfernen eines Subnetzes die Instances in diesem Subnetz weiterhin beim Load Balancer registriert sind. Sie können sie aber auch abmelden, wenn Sie möchten. Weitere Informationen finden Sie unter [Registrieren Sie Instances mit Ihrem Classic Load Balancer](elb-deregister-register-instances.md).
**Topics**
+ [Voraussetzungen](#elb-subnet-requirements)
+ [Konfigurieren Sie Subnetze mithilfe der Konsole](#add-remove-subnets-console)
+ [Konfigurieren Sie Subnetze mit der CLI](#add-remove-subnets-cli)
## Voraussetzungen
Wenn Sie die Subnetze für Ihren Load Balancer aktualisieren, müssen Sie die folgenden Anforderungen erfüllen:
+ Der Load Balancer muss ständig über mindestens ein Subnetz verfügen.
+ Sie können je Availability Zone höchstens ein Subnetz hinzufügen.
+ Sie können kein lokales Zonen-Subnetz hinzufügen.
Da es separate Subnetze gibt APIs , die einem Load Balancer hinzugefügt und daraus entfernt werden können, müssen Sie die Reihenfolge der Vorgänge sorgfältig abwägen, wenn Sie die aktuellen Subnetze gegen neue Subnetze austauschen, um diese Anforderungen zu erfüllen. Außerdem müssen Sie vorübergehend ein Subnetz aus einer anderen Availability Zone hinzufügen, wenn Sie alle Subnetze für Ihren Load Balancer austauschen müssen. Beispiel: Wenn Ihr Load Balancer eine einzige Availability Zone hat und Sie das Subnetz gegen ein anderes Subnetz austauschen müssen, müssen Sie zuerst ein Subnetz aus einer zweiten Availability Zone hinzufügen. Anschließend können Sie das Subnetz aus der ursprünglichen Availability Zone entfernen (ohne die Anforderung von einem Subnetz zu unterschreiten), neues Subnetz aus der ursprünglichen Availability Zone hinzufügen (ohne die Anforderung von einem Subnetz zu überschreiten), und dann das Subnetz aus der zweiten Availability Zone entfernen (wenn es benötigt wird, um den Tausch vorzunehmen).
## Konfigurieren Sie Subnetze mithilfe der Konsole
Gehen Sie wie folgt vor, um Subnetze mithilfe der Konsole hinzuzufügen oder zu entfernen.
**So konfigurieren Sie Subnetze mit der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Wählen Sie auf der Registerkarte **Network mapping** (Netzwerkzuordnung) die Option **Edit subnets** (Subnetze bearbeiten) aus.
1. Fügen Sie auf der Seite **Subnetze bearbeiten** im Abschnitt **Netzwerkzuordnung** nach Bedarf Subnetze hinzu oder entfernen Sie sie.
1. Klicken Sie auf **Save changes (Änderungen speichern)**, wenn Sie fertig sind.
## Konfigurieren Sie Subnetze mit der CLI
Verwenden Sie die folgenden Beispiele, um Subnetze mithilfe von hinzuzufügen oder zu entfernen. AWS CLI
**Hinzufügen eines Subnetzes zu Ihrem Load Balancer mithilfe der CLI**
Verwenden Sie den folgenden Befehl [attach-load-balancer-to-subnets](https://docs.aws.amazon.com/cli/latest/reference/elb/attach-load-balancer-to-subnets.html), um Ihrem Load Balancer zwei Subnetze hinzuzufügen:
```
aws elb attach-load-balancer-to-subnets --load-balancer-name my-load-balancer --subnets subnet-dea770a9 subnet-fb14f6a2
```
In der Antwort werden alle Subnetze für den Load Balancer aufgelistet. Beispiel:
```
{
"Subnets": [
"subnet-5c11033e",
"subnet-dea770a9",
"subnet-fb14f6a2"
]
}
```
**Um ein Subnetz zu entfernen, verwenden Sie AWS CLI**
Verwenden Sie den folgenden Befehl [detach-load-balancer-from-subnets](https://docs.aws.amazon.com/cli/latest/reference/elb/detach-load-balancer-from-subnets.html), um die angegebenen Subnetze aus dem angegebenen Load Balancer zu entfernen:
```
aws elb detach-load-balancer-from-subnets --load-balancer-name my-loadbalancer --subnets subnet-450f5127
```
In der Antwort werden die verbleibenden Subnetze für den Load Balancer aufgelistet. Beispiel:
```
{
"Subnets": [
"subnet-15aaab61"
]
}
```
# Konfigurieren von Sicherheitsgruppen für Ihren Classic Load Balancer
Wenn Sie den verwenden AWS-Managementkonsole , um einen Load Balancer zu erstellen, können Sie eine vorhandene Sicherheitsgruppe auswählen oder eine neue erstellen. Wenn Sie eine vorhandene Sicherheitsgruppe auswählen, muss sie für den Load Balancer in beide Richtungen zum Listener-Port und zum Zustandsprüfung-Port Datenverkehr zulassen. Wenn Sie eine Sicherheitsgruppe erstellen möchten, fügt die Konsole automatisch Regeln hinzu, um den gesamten Datenverkehr auf diesen Ports zuzulassen.
[Nicht standardmäßige VPC] Wenn Sie die AWS CLI oder -API verwenden, einen Load Balancer in einer nicht standardmäßigen VPC erstellen, aber keine Sicherheitsgruppe angeben, wird Ihr Load Balancer automatisch der Standardsicherheitsgruppe für die VPC zugeordnet.
[Standard-VPC] Wenn Sie die API AWS CLI oder verwenden, um einen Load Balancer in Ihrer Standard-VPC zu erstellen, können Sie keine bestehende Sicherheitsgruppe für Ihren Load Balancer auswählen. Stattdessen bietet Elastic Load Balancing eine Sicherheitsgruppe mit Regeln, um an den für den Load Balancer angegebenen Ports den gesamte Datenverkehr zuzulassen. Elastic Load Balancing erstellt nur eine solche Sicherheitsgruppe pro AWS Konto mit einem Namen in der Form default\$1elb\$1 *id* (z. B.). `default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE` Nachfolgende Load Balancer, die Sie in der Standard-VPC erstellen, verwenden auch diese Sicherheitsgruppe. Lesen Sie die Sicherheitsgruppenregeln, um sicherzustellen, dass sie für den neuen Load Balancer Datenverkehr auf dem Listener-Port und dem Zustandsprüfungs-Ports zulassen. Wenn Sie Ihren Load Balancer löschen, wird diese Sicherheitsgruppe nicht automatisch gelöscht.
Wenn Sie einen Listener zu einem bestehenden Load Balancer hinzufügen, müssen Sie Ihre Sicherheitsgruppen überprüfen, um sicherzustellen, dass sie am neuen Listener-Port Datenverkehr in beide Richtungen zulassen.
**Topics**
+ [Empfohlene Regeln für Load-Balancer-Sicherheitsgruppen](#recommended-sg-rules)
+ [Weisen Sie Sicherheitsgruppen mithilfe der Konsole zu](#assign-sg-console)
+ [Weisen Sie Sicherheitsgruppen zu, indem Sie AWS CLI](#assign-sg-cli)
## Empfohlene Regeln für Load-Balancer-Sicherheitsgruppen
Die Sicherheitsgruppen für Ihre Load Balancer müssen ihnen erlauben, mit Ihren Instances zu kommunizieren. Die empfohlenen Regeln hängen vom Typ des Load Balancers ab, ob mit dem Internet verbunden oder intern.
**Mit dem Internet verbundener Load Balancer**
Die folgende Tabelle zeigt die empfohlenen Regeln für eingehenden Datenverkehr für einen mit dem Internet verbundenen Load Balancer.
| Quelle | Protocol (Protokoll) | Port-Bereich | Comment |
| --- | --- | --- | --- |
| 0.0.0.0/0 | TCP | *listener* | Allen eingehenden Datenverkehr auf dem Load Balancer Listener-Port erlauben |
Die folgende Tabelle zeigt die empfohlenen Regeln für ausgehenden Datenverkehr für einen mit dem Internet verbundenen Load Balancer.
| Ziel | Protocol (Protokoll) | Port-Bereich | Comment |
| --- | --- | --- | --- |
| *instance security group* | TCP | *instance listener* | Ausgehenden Datenverkehr an Instances auf dem Instance-Listener-Port erlauben |
| *instance security group* | TCP | *health check* | Ausgehenden Datenverkehr an Instances auf dem Zustandsprüfungsport erlauben |
**Interne Load Balancer**
Die folgende Tabelle zeigt die empfohlenen Regeln für eingehenden Datenverkehr für einen internen Load Balancer.
| Quelle | Protocol (Protokoll) | Port-Bereich | Comment |
| --- | --- | --- | --- |
| *VPC CIDR* | TCP | *listener* | Eingehenden Datenverkehr aus dem VPC CIDR auf dem Load Balancer-Listener-Port erlauben |
Die folgende Tabelle zeigt die empfohlenen Regeln für ausgehenden Datenverkehr für einen internen Load Balancer.
| Ziel | Protocol (Protokoll) | Port-Bereich | Comment |
| --- | --- | --- | --- |
| *instance security group* | TCP | *instance listener* | Ausgehenden Datenverkehr an Instances auf dem Instance-Listener-Port erlauben |
| *instance security group* | TCP | *health check* | Ausgehenden Datenverkehr an Instances auf dem Zustandsprüfungsport erlauben |
## Weisen Sie Sicherheitsgruppen mithilfe der Konsole zu
Gehen Sie wie folgt vor, um die mit Ihrem Load Balancer verknüpften Sicherheitsgruppen zu ändern.
**So aktualisieren Sie eine Ihrem Load Balancer zugewiesene Sicherheitsgruppe mithilfe der Konsole**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich unter **LOAD BALANCING** die Option **Load Balancers** aus.
1. Wählen Sie den Namen des Load Balancers aus, um die Detailseite zu öffnen.
1. Wählen Sie auf der Registerkarte **Security** (Sicherheit) die Option **Edit** (Bearbeiten) aus.
1. Fügen Sie auf der Seite **Sicherheitsgruppen bearbeiten** unter **Sicherheitsgruppen** nach Bedarf Sicherheitsgruppen hinzu oder entfernen Sie sie.
Sie können bis zu 5 Sicherheitsgruppen hinzufügen.
1. Klicken Sie auf **Save changes (Änderungen speichern)**, wenn Sie fertig sind.
## Weisen Sie Sicherheitsgruppen zu, indem Sie AWS CLI
Verwenden Sie den folgenden Befehl [apply-security-groups-to-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/apply-security-groups-to-load-balancer.html), um eine Sicherheitsgruppe einem Load Balancer zuzuordnen. Die angegebenen Sicherheitsgruppen setzen die vorher zugewiesenen Sicherheitsgruppen außer Kraft.
```
aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f
```
Nachfolgend finden Sie eine Beispielantwort:
```
{
"SecurityGroups": [
"sg-53fae93f"
]
}
```
# Netzwerk ACLs für Ihren Classic Load Balancer konfigurieren
Die standardmäßige Netzwerkzugriffskontrollliste (ACL) für eine VPC erlaubt den gesamten ein- und ausgehenden Datenverkehr. Wenn Sie ein benutzerdefiniertes Netzwerk erstellen ACLs, müssen Sie Regeln hinzufügen, die die Kommunikation zwischen dem Load Balancer und den Instances ermöglichen.
Die empfohlenen Regeln für das Subnetz Ihres Load Balancers hängen vom Typ des Load Balancers ab, ob mit dem Internet verbunden oder intern.
**Mit dem Internet verbundener Load Balancer**
Im Folgenden finden Sie die empfohlenen Regeln für eingehende Nachrichten für einen mit dem Internet verbundenen Load Balancer.
| Quelle | Protocol (Protokoll) | Port-Bereich | Comment |
| --- | --- | --- | --- |
| 0.0.0.0/0 | TCP | *listener* | Allen eingehenden Datenverkehr auf dem Load Balancer Listener-Port erlauben |
| *VPC CIDR* | TCP | 1024 - 65535 | Eingehenden Datenverkehr vom VPC CIDR an den flüchtigen Ports zulassen |
Im Folgenden sind die empfohlenen Regeln für ausgehende Nachrichten für einen mit dem Internet verbundenen Load Balancer aufgeführt.
| Ziel | Protocol (Protokoll) | Port-Bereich | Comment |
| --- | --- | --- | --- |
| *VPC CIDR* | TCP | *instance listener* | Gesamten ausgehenden Datenverkehr am Listener-Port der Instance zulassen |
| *VPC CIDR* | TCP | *health check* | Gesamten ausgehenden Datenverkehr am Zustandsprüfungs-Port zulassen |
| 0.0.0.0/0 | TCP | 1024 - 65535 | Gesamten ausgehenden Datenverkehr an den flüchtigen Ports zulassen |
**Interner Load Balancer**
Im Folgenden sind die empfohlenen Regeln für eingehenden Datenverkehr für einen internen Load Balancer aufgeführt.
| Quelle | Protocol (Protokoll) | Port-Bereich | Comment |
| --- | --- | --- | --- |
| *VPC CIDR* | TCP | *listener* | Eingehenden Datenverkehr aus dem VPC CIDR auf dem Load Balancer-Listener-Port erlauben |
| *VPC CIDR* | TCP | 1024 - 65535 | Eingehenden Datenverkehr vom VPC CIDR an den flüchtigen Ports zulassen |
Im Folgenden sind die empfohlenen Regeln für ausgehenden Datenverkehr für einen internen Load Balancer aufgeführt.
| Ziel | Protocol (Protokoll) | Port-Bereich | Comment |
| --- | --- | --- | --- |
| *VPC CIDR* | TCP | *instance listener* | Ausgehenden Datenverkehr zu den VPC CIDR am Listener-Port der Instance zulassen |
| *VPC CIDR* | TCP | *health check* | Ausgehenden Datenverkehr zum VPC CIDR am Zustandsprüfungs-Port zulassen |
| *VPC CIDR* | TCP | 1024 - 65535 | Ausgehenden Datenverkehr zum VPC CIDR an den flüchtigen Ports zulassen |
# Konfigurieren eines benutzerdefinierten Domainnamens für Ihren Classic Load Balancer
Jeder Classic Load Balancer erhält einen Standard-DNS-Namen (Domain Name System). Dieser DNS-Name enthält den Namen der AWS Region, in der der Load Balancer erstellt wurde. Wenn Sie beispielsweise einen Load Balancer mit dem Namen `my-loadbalancer` in der Region USA West (Oregon) erstellen, erhält Ihr Load Balancer einen DNS-Namen wie `my-loadbalancer-1234567890.us-west-2.elb.amazonaws.com`. Fügen Sie diesen DNS-Namen in das Adressfeld von einem Webbrowser ein, um auf die Website auf Ihren Instances zuzugreifen. Diesen DNS-Name können Ihre Kunden jedoch nicht leicht behalten und verwenden.
Wenn Sie anstatt des Standard-DNS-Namen lieber einen praktischen DNS-Namen für Ihren Load Balancer verwenden möchten, wie zum Beispiel `www.example.com`, können Sie einen benutzerdefinierten Domainnamen erstellen und diesen mit dem DNS-Namen für Ihren Load Balancer verknüpfen. Wenn ein Client eine Anforderung mit diesem benutzerdefinierten Domainnamen sendet, löst der DNS-Server diesen Namen in den DNS-Namen für Ihren Load Balancer auf.
**Topics**
+ [Verknüpfen eines benutzerdefinierten Domainnamens mit Ihrem Load Balancer-Namen](#dns-associate-custom-elb)
+ [Verwenden des Route-53-DNS-Failover für Ihren Load Balancer](#configure-dns-failover)
+ [Trennen des benutzerdefinierten Domainnamens von Ihrem Load Balancer](#dns-disassociate-custom-elb)
## Verknüpfen eines benutzerdefinierten Domainnamens mit Ihrem Load Balancer-Namen
Registrieren Sie Ihren Domainnamen, falls noch nicht geschehen. Die ICANN (Internet Corporation for Assigned Names and Numbers) verwaltet Domain-Namen im Internet. Sie registrieren einen Domain-Namen über eine *Vergabestelle für Domain-Namen*, eine von der ICANN autorisierte Organisation, die die Registrierung von Domain-Namen verwaltet. Die Website für Ihre Vergabestelle enthält genaue Anweisungen und Preise für die Registrierung des Domain-Namens. Weitere Informationen finden Sie in den folgenden Ressourcen:
+ Um Amazon Route 53 zur Registrierung eines Domain-Namens zu verwenden, siehe [Registrieren von Domain-Namen mit Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html) im *Amazon Route 53-Entwicklerhandbuch*.
+ Eine Liste der akkreditierten Registrare finden Sie in der [Liste der akkreditierten Registrare](https://www.icann.org/en/accredited-registrars).
Verwenden Sie dann Ihren DNS-Service, wie zum Beispiel Ihre Domainvergabestelle, um einen CNAME-Datensatz zur Weiterleitung von Abfragen an Ihren Load Balancer zu erstellen. Weitere Informationen finden Sie in der Dokumentation zu Ihrem DNS-Service.
Alternativ dazu können Sie Route 53 als Ihren DNS-Service verwenden. Sie erstellen eine *gehostete Zone*, die Informationen darüber, wie Datenverkehr im Internet für Ihre Domain weitergeleitet wird, und einen *Aliasressourcendatensatz* enthält, der Abfragen für Ihren Domainnamen an Ihren Load Balancer weiterleitet. In Route 53 werden keine Kosten für die DNS-Abfragen für Aliasdatensätze erstattet, und Sie können Aliasdatensätze verwenden, um DNS-Abfragen für den Zone Apex Ihrer Domain an Ihren Load Balancer weiterzuleiten (zum Beispiel `example.com`). Weitere Informationen zum Übertragen von DNS-Services für vorhandene Domains in Route 53 finden Sie unter [Konfigurieren von Route 53 als DNS-Service](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring.html) im *Amazon-Route-53-Entwicklerhandbuch*.
Erstellen Sie schließlich eine gehostete Zone und einen Alias-Datensatz für Ihre Domain mit Route 53. Weitere Informationen finden Sie unter [Weiterleiten von Datenverkehr an einen Load Balancer](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-elb-load-balancer.html) im *Entwicklerhandbuch von Amazon Route 53*.
## Verwenden des Route-53-DNS-Failover für Ihren Load Balancer
Wenn Sie mithilfe von Route 53 DNS-Abfragen an Ihren Load Balancer leiten, können Sie mithilfe von Route 53 auch DNS-Failover für Ihren Load Balancer konfigurieren. In einer Failover-Konfiguration prüft Route 53 die Integrität der registrierten EC2-Instances für den Load Balancer, um zu ermitteln, ob diese verfügbar sind. Wenn keine funktionsfähigen EC2-Instances für den Load Balancer registriert sind oder der Load Balancer selbst fehlerhaft ist, leitet Route 53 den Datenverkehr an eine andere verfügbare Ressource, z. B. einen fehlerfreien Load Balancer oder eine statische Website in Amazon S3, weiter.
Beispiel: Sie haben eine Webanwendung `www.example.com` und möchten, dass redundante Instances hinter zwei Load Balancers in verschiedenen Regionen laufen. Sie möchten, dass der Datenverkehr in erster Linie auf den Load Balancer in einer Region weitergeleitet wird, und der Load Balancer in der anderen Region soll bei Ausfällen als Sicherung dienen. Wenn Sie DNS Failover konfigurieren, können Sie einen primären und einen sekundären (Sicherung) Load Balancer festlegen. Route 53 leitet den Datenverkehr direkt zum primären Load Balancer, und wenn dieser nicht verfügbar ist, wird der Datenverkehr zum sekundären Load Balancer geleitet.
**Verwenden von „Zielintegrität auswerten“**
+ Wenn die Option „Zielintegrität auswerten“ für einen Aliaseintrag für einen Classic Load Balancer auf `Yes` festgelegt ist, wertet Route 53 die Integrität der durch den `alias target`-Wert angegebenen Ressource aus. Für einen Classic Load Balancer verwendet Route 53 die mit dem Load Balancer verknüpften Zustandsprüfungen für Instances.
+ Wenn mindestens eine der registrierten Instances in einem Classic Load Balancer fehlerfrei ist, markiert Route 53 den Aliasdatensatz als fehlerfrei. Route 53 gibt dann Datensätze gemäß Ihrer Routing-Richtlinie zurück. Wenn die Failover-Routing-Richtlinie verwendet wird, gibt Route 53 den primären Datensatz zurück.
+ Wenn alle der registrierten Instances für einen Classic Load Balancer fehlerhaft sind, markiert Route 53 den Aliasdatensatz als fehlerhaft. Route 53 gibt dann Datensätze gemäß Ihrer Routing-Richtlinie zurück. Wenn die Failover-Routing-Richtlinie verwendet wird, gibt Route 53 dann den sekundären Datensatz zurück.
Weitere Informationen finden Sie unter [Konfigurieren von DNS-Failover](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-configuring.html) im *Entwicklerhandbuch für Amazon Route 53*.
## Trennen des benutzerdefinierten Domainnamens von Ihrem Load Balancer
Sie können den benutzerdefinierten Domainnamen von einer Load Balancer-Instance trennen, indem Sie zuerst die Ressourcendatensätze in Ihrer gehosteten Zone und dann die gehostete Zone löschen. Weitere Informationen finden Sie unter [Bearbeiten von Datensätzen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-editing.html) und [Löschen einer öffentlichen gehosteten Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html) im *Entwicklerhandbuch für Amazon Route 53*.