Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Ajoutez un équilibreur de charge avec Elastic Load Balancing pour AWS CloudHSM(facultatif)
<a name="third-offload-add-lb"></a>

Après avoir configuré le SSL/TLS déchargement avec un serveur Web, vous pouvez créer d'autres serveurs Web et un équilibreur de charge Elastic Load Balancing qui achemine le trafic HTTPS vers les serveurs Web. Un équilibreur de charge peut réduire la charge sur vos serveurs web individuels en équilibrant le trafic entre deux serveurs ou plus. Il peut également augmenter la disponibilité de votre site web, car l'équilibreur de charge surveille l'état de vos serveurs web et achemine uniquement le trafic vers les serveurs sains. Si un serveur web échoue, l'équilibreur de charge arrête automatiquement l'acheminement du trafic vers le serveur. 

**Topics**
+ [Étape 1. Créer un sous-réseau pour le deuxième serveur web](#ssl-offload-load-balancer-create-new-subnet)
+ [Étape 2. Création du deuxième serveur web](#ssl-offload-load-balancer-create-web-server)
+ [Étape 3. Créer l'équilibreur de charge](#ssl-offload-load-balancer-create-load-balancer)

## Étape 1. Créer un sous-réseau pour le deuxième serveur web
<a name="ssl-offload-load-balancer-create-new-subnet"></a>

Avant de créer un autre serveur Web, vous devez créer un nouveau sous-réseau dans le même VPC qui contient votre serveur AWS CloudHSM Web et votre cluster existants. 

**Pour créer un sous-réseau**

1. Ouvrez la [section **Sous-réseaux** de la console Amazon VPC](https://console.aws.amazon.com/vpc/home#subnets:).

1. Choisissez **Create Subnet**.

1. Dans la boîte de dialogue **Créer le sous-réseau (subnet)**, procédez comme suit :

   1. Pour **Balise Nom**, saisissez un nom pour votre sous-réseau.

   1. Pour le **VPC**, choisissez le AWS CloudHSM VPC qui contient votre serveur Web et votre cluster existants. AWS CloudHSM 

   1. Pour **Zone de disponibilité**, choisissez une zone de disponibilité différente de celle qui contient votre serveur web existant. 

   1. Pour **IPv4 Bloc d'adresse CIDR**, tapez le bloc d'adresse CIDR à utiliser pour le sous-réseau. Par exemple, saisissez **10.0.10.0/24**.

   1. Choisissez **Yes, Create**.

1. Cochez la case située en regard du sous-réseau public qui contient votre serveur web existant. Ce sous-réseau est différent du sous-réseau public que vous avez créé à l'étape précédente. 

1. Dans le volet de contenu, sélectionnez l'onglet **Table de routage**. Ensuite, cliquez sur le lien de la table de routage.   
![Sélectionnez le lien de la table de routage dans la console Amazon VPC.](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/console-vpc-choose-route-table.png)

1. Cochez la case en regard de la table de routage.

1. Sélectionnez l'onglet **Associations de sous-réseau**. Puis, choisissez **Modifier**.

1. Cochez la case située en regard du sous-réseau public que vous avez créé précédemment dans cette procédure. Ensuite, choisissez **Save** (Enregistrer). 

## Étape 2. Création du deuxième serveur web
<a name="ssl-offload-load-balancer-create-web-server"></a>

Effectuez les étapes suivantes pour créer un deuxième serveur web avec la même configuration que votre serveur web existant. 

**Pour créer un deuxième serveur web**

1. Ouvrez la [section **Instances**](https://console.aws.amazon.com/ec2/v2/home#Instances:) de la console Amazon EC2.

1. Cochez la case située en regard de votre instance existante de serveur web.

1. Sélectionnez **Actions**, **Image**, puis **Créer une image**. 

1. Dans la boîte de dialogue **Créer une image**, procédez comme suit :

   1. Dans **Nom de l'image**, tapez un nom pour l'image.

   1. Pour **Description de l'image**, tapez une description pour l'image.

   1. Choisissez **Créer une image**. Cette action redémarre votre serveur web existant.

   1. Choisissez l'**ami « Afficher l'image en attente {{<AMI ID>}}** ».  
![Choisissez le lien d'affichage de l'image en attente dans la console Amazon EC2.](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/console-ec2-choose-view-pending-image.png)

      Dans la colonne **Statut**, notez le statut de votre image. Lorsque votre image a pour statut **available** (cela peut prendre plusieurs minutes), passez à l'étape suivante. 

1. Dans le panneau de navigation, choisissez **Instances**.

1. Cochez la case située en regard de votre serveur web existant.

1. Choisissez **Actions**, puis **En lancer plus comme ceci**.

1. Choisissez **Modifier l'AMI**.  
![Sélectionnez le lien de modification de l'AMI dans la console Amazon EC2.](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/console-ec2-choose-edit-ami.png)

1. Dans le volet de navigation de gauche, choisissez **My AMIs**. Ensuite, effacez le texte dans la zone de recherche. 

1. À côté de l'image de votre serveur web, choisissez **Sélectionner**.

1. Choisissez **Oui, je souhaite continuer avec cette AMI ({{<image name>}}- ami-{{<AMI ID>}})**. 

1. Choisissez **Suivant**.

1. Sélectionnez un type d'instance, puis choisissez **Suivant : Configurer les détails de l'instance**. 

1. Pour **Etape 3 : Configurer les détails de l'instance**, procédez comme suit :

   1. Pour **Réseau**, choisissez le VPC qui contient votre serveur web existant.

   1. Pour **Sous-réseau**, choisissez le sous-réseau public que vous avez créé pour le deuxième serveur web. 

   1. Pour **Attribuer automatiquement l'adresse IP publique**, choisissez **Activer**.

   1. Modifiez les autres options des détails de l'instance comme vous le souhaitez. Puis choisissez **Suivant : Ajouter le stockage**.

1. Modifiez les paramètres de stockage comme souhaité. Choisissez ensuite **Suivant : Ajouter des balises**.

1. Ajoutez ou modifiez les balises comme souhaité. Choisissez ensuite **Suivant : Configurer le groupe de sécurité**.

1. Pour **Etape 6 : Configurer le groupe de sécurité**, procédez comme suit :

   1. Pour **Attribuer un groupe de sécurité**, choisissez **Select an existing security group (Sélectionner un groupe de sécurité existant)**. 

   1. Cochez la case à côté du groupe de sécurité nommé **cloudhsm- {{<cluster ID>}} -sg**. AWS CloudHSM a créé ce groupe de sécurité en votre nom lorsque vous avez [créé le cluster](create-cluster.md). Vous devez choisir ce groupe de sécurité pour permettre à l'instance du serveur Web de se connecter HSMs au cluster. 

   1. Cochez la case en regard du groupe de sécurité qui autorise le trafic HTTPS entrant. Vous [avez créé ce groupe de sécurité précédemment](ssl-offload-windows.md#ssl-offload-add-security-group-windows).

   1. (Facultatif) Activez la case à cocher en regard d'un groupe de sécurité qui autorise le trafic SSH entrant (pour Linux) ou RDP (pour Windows) depuis votre réseau. En d'autres termes, le groupe de sécurité doit autoriser le trafic TCP entrant sur le port 22 (pour SSH sous Linux) ou le port 3389 (pour RDP sous Windows). Sinon, vous ne pouvez pas vous connecter à votre instance client. Si vous n'avez pas de groupe de sécurité de ce type, vous devez en créer un, puis l'attribuer ultérieurement à votre instance client.

   Choisissez **Review and Launch**.

1. Vérifiez les détails de votre instance, puis choisissez **Lancement**.

1. Choisissez si vous souhaitez démarrer votre instance avec une paire de clés existante, créer une paire de clés ou lancer votre instance sans paire de clés. 
   + Pour utiliser une paire de clés existante, procédez comme suit :

     1. Choisissez **Choisir une paire de clés existante**.

     1. Pour **Sélectionner une paire de clés**, choisissez la paire de clés à utiliser.

     1. Cochez la case à côté de **Je confirme que j'ai accès au fichier de clé privée sélectionné ({{<private key file name>}}.pem) et que sans ce fichier, je ne pourrai pas me connecter à mon instance**.
   + Pour créer une paire de clés, procédez comme suit :

     1. Choisissez **Créer une nouvelle paire de clés**.

     1. Pour **Nom de la paire de clés**, saisissez un nom de paire de clés.

     1. Choisissez **Télécharger une paire de clés** et enregistrer le fichier de clé privée dans un endroit sûr et accessible. 
**Avertissement**  
Vous ne pouvez pas télécharger une nouvelle fois le fichier de clé privée après ce stade. Si vous ne téléchargez pas le fichier de clé privée maintenant, vous ne pourrez pas accéder à l'instance client. 
   + Pour démarrer votre instance sans une paire de clés, effectuez les opérations suivantes :

     1. Choisissez **Continuer sans paire de clés**.

     1. Cochez la case en regard de **Je reconnais ne pas être en mesure de me connecter à cette instance si je ne connais pas déjà le mot de passe intégré à cette AMI.** 

   Choisissez **Launch Instances** (Démarrer les instances).

## Étape 3. Créer l'équilibreur de charge
<a name="ssl-offload-load-balancer-create-load-balancer"></a>

Effectuez les étapes suivantes pour créer un équilibreur de charge Elastic Load Balancing qui achemine le trafic HTTPS vers vos serveurs web. 

**Pour créer un équilibreur de charge**

1. Ouvrez la [page des **équilibreurs de charge**]( https://console.aws.amazon.com/ec2/v2/home#LoadBalancers:) de la console Amazon EC2.

1. Sélectionnez **Create Load Balancer** (Créer un équilibreur de charge).

1. Dans la section **Équilibreur de charge du réseau**, choisissez **Créer**.

1. Pour **Étape 1 : Configurer l'équilibreur de charge**, procédez comme suit :

   1. Pour **Nom**, entrez un nom pour l'équilibreur de charge que vous créez.

   1. Dans la section **Écouteurs**, pour **Port de l'équilibreur de charge**, modifiez la valeur en **443**.

   1. Dans la section **Zones de disponibilité**, pour **VPC**, choisissez le VPC qui contient vos serveurs web. 

   1. Dans la section **Zones de disponibilité**, choisissez les sous-réseaux qui contiennent vos serveurs web. 

   1. Choisissez **Next: Configure Routing** (Suivant :Configurer le routage).

1. Pour **Étape 2 : Configurer le routage**, procédez comme suit :

   1. Pour **Nom**, entrez le nom du groupe cible que vous créez.

   1. Pour **Port**, modifiez la valeur en **443**.

   1. Choisissez **Next: Register Targets** (Suivant : Enregistrer des cibles).

1. Pour **Étape 3 : Enregistrer les cibles**, procédez comme suit :

   1. Dans la **section** Instances, cochez les cases en regard de vos instances de serveur web. Ensuite, choisissez **Ajouter au membre**. 

   1. Choisissez **Suivant : Vérification**.

1. Passez en revue les détails de votre équilibreur de charge, puis cliquez sur **Créer**.

1. Lorsque l'équilibreur de charge a été créé avec succès, cliquez sur **Fermer**.

Une fois que vous avez terminé les étapes précédentes, la console Amazon EC2 affiche votre équilibreur de charge Elastic Load Balancing.

Lorsque l'état de votre équilibreur de charge est actif, vous pouvez vérifier que l'équilibreur de charge fonctionne. En d'autres termes, vous pouvez vérifier qu'il envoie du trafic HTTPS vers vos serveurs Web en le SSL/TLS déchargeant avec AWS CloudHSM. Vous pouvez pour cela utiliser un navigateur web ou un outil tel qu'[OpenSSL s\_client](https://www.openssl.org/docs/manmaster/man1/s_client.html). 

**Pour vérifier que votre équilibreur de charge fonctionne avec un navigateur web**

1. Dans la console Amazon EC2, trouvez le **nom DNS** de l'équilibreur de charge que vous venez de créer. Puis, sélectionnez le nom DNS et copiez-le. 

1. Utilisez un navigateur web tel que Mozilla Firefox ou Google Chrome pour vous connecter à votre équilibreur de charge en utilisant son nom DNS. Assurez-vous que l'URL dans la barre d'adresse commence par https://. 
**Astuce**  
Vous pouvez utiliser un service DNS tel qu'Amazon Route 53 pour acheminer le nom de domaine de votre site Web (par exemple, https://www.example.com/) vers votre serveur Web. Pour plus d'informations, consultez [Routage du trafic vers une instance Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)* dans le Guide du Développeur Amazon Route 53* ou dans la documentation de votre service DNS.

1. Utilisez votre navigateur web pour afficher le certificat de serveur web. Pour plus d’informations, consultez les ressources suivantes : 
   + Pour Mozilla Firefox, consultez [View a Certificate](https://support.mozilla.org/en-US/kb/secure-website-certificate#w_view-a-certificate) sur le site web de support Mozilla.
   + Pour Google Chrome, consultez [Understand Security Issues](https://developers.google.com/web/tools/chrome-devtools/security) sur les Outils Google pour site web des développeurs Google.

   D'autres navigateurs web peuvent avoir des fonctions similaires que vous pouvez utiliser pour afficher le certificat de serveur web.

1. Assurez-vous que le certificat est celui que vous avez configuré le serveur web à utiliser.

**Pour vérifier que votre équilibreur de charge fonctionne avec OpenSSL s\_client**

1. Utilisez la commande OpenSSL suivante pour vous connecter à votre équilibreur de charge en utilisant le protocole HTTPS. {{<DNS name>}}Remplacez-le par le nom DNS de votre équilibreur de charge. 

   ```
   openssl s_client -connect {{<DNS name>}}:443
   ```
**Astuce**  
Vous pouvez utiliser un service DNS tel qu'Amazon Route 53 pour acheminer le nom de domaine de votre site Web (par exemple, https://www.example.com/) vers votre serveur Web. Pour plus d'informations, consultez [Routage du trafic vers une instance Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)* dans le Guide du Développeur Amazon Route 53* ou dans la documentation de votre service DNS.

1. Assurez-vous que le certificat est celui que vous avez configuré le serveur web à utiliser.

Vous disposez désormais d'un site Web sécurisé par HTTPS, la clé privée du serveur Web étant stockée dans un HSM de votre AWS CloudHSM cluster. Votre site web dispose de deux serveurs web et d'un équilibreur de charge afin d'améliorer l'efficacité et la disponibilité.