Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configurer votre Classic Load Balancer
Après avoir créé un Classic Load Balancer, vous pouvez modifier sa configuration. Par exemple, vous pouvez mettre à jour les attributs, les sous-réseaux et les groupes de sécurité de l'équilibreur de charge.Attributs de l'équilibreur de charge
[Drainage des connexions](config-conn-drain.md)
Si cette option est activée, l'équilibreur de charge autorise les demandes existantes à se terminer avant de détourner le trafic d'une instance non saine ou dont l'enregistrement est annulé.
[Equilibrage de charge entre zones](enable-disable-crosszone-lb.md)
Si cette option est activée, l'équilibreur de charge répartit le trafic des demandes uniformément entre toutes les instances, quelles que soient les zones de disponibilité.
[Mode de migration désynchronisé](config-desync-mitigation-mode.md)
Détermine la manière dont l'équilibreur de charge gère les demandes susceptibles de présenter un risque pour la sécurité de votre application. Les valeurs possibles sont `monitor`, `defensive` et `strictest`. La valeur par défaut est `defensive`.
[Délai d'inactivité](config-idle-timeout.md)
Si cette option est activée, l'équilibreur de charge autorise les connexions à rester inactives (aucune donnée n'est envoyée via la connexion) pendant la durée spécifiée. Le durée par défaut est de 60 secondes.
[Sessions permanentes](elb-sticky-sessions.md)
Les équilibreurs de charge classiques prennent en charge la stabilité des sessions basée à la fois sur la durée et sur l'application.Informations sur l'équilibreur de charge
[Groupes de sécurité](elb-vpc-security-groups.md)
Les groupes de sécurité de votre équilibreur de charge doivent autoriser le trafic sur les ports d'écoute et de contrôle de santé.
[Sous-réseaux](elb-manage-subnets.md)
Vous pouvez étendre la capacité de votre équilibreur de charge à des sous-réseaux supplémentaires.
[Protocole proxy](enable-proxy-protocol.md)
Si cette option est activée, nous ajoutons un en-tête contenant les informations de connexion qui sont envoyées à l'instance.
[Balises](add-remove-tags.md)
Vous pouvez ajouter des balises pour classer vos équilibres de charge.
# Configurer le délai d'inactivité des connexions de votre Classic Load Balancer
Pour chaque demande effectuée par un client via un Classic Load Balancer, l'équilibreur de charge gère deux connexions. La connexion frontale est placée entre le client et l'équilibreur de charge. La connexion principale est placée entre l'équilibreur de charge et une instance EC2 enregistrée. L'équilibreur de charge dispose d'un délai d'inactivité configuré qui s'applique à ses connexions. Si aucune donnée n'a été envoyée ou reçue avant que la période d'inactivité soit écoulée, l'équilibreur de charge ferme la connexion. Pour vous assurer que opérations longues comme les chargements de fichiers ont le temps de se terminer, envoyez au moins 1 octet de données avant la fin de chaque période d'inactivité, et augmentez la durée du délai d'inactivité si nécessaire.
Si vous utilisez les écouteurs HTTP et HTTPS, nous vous recommandons d'activer l'option HTTP keep-alive pour vos instances. Vous pouvez activer keep-alive dans les paramètres de serveur Web pour vos instances Keep-alive, lorsqu'il est activé, permet à l'équilibreur de charge de réutiliser les connexions principales jusqu'à ce que le délai d'expiration Keep-alive expire. Pour vous assurer que l'équilibreur de charge est responsable de la fermeture des connexions à votre instance, vérifiez que la valeur que vous définissez pour le délai HTTP keep-alive est supérieure à celle du paramètre de délai d'inactivité sur votre équilibreur de charge.
Notez que les sondes TCP keep-alive n'empêchent pas l'équilibreur de charge de mettre fin à la connexion, car elles n'envoient pas des données dans la charge utile.
**Topics**
+ [Configurer le délai d'inactivité à l'aide de la console](#config-idle-timeout-console)
+ [Configurez le délai d'inactivité à l'aide du AWS CLI](#config-idle-timeout-awscli)
## Configurer le délai d'inactivité à l'aide de la console
Par défaut, Elastic Load Balancing définit le délai d'inactivité de votre équilibreur de charge à 60 secondes. Utilisez la procédure suivante pour définir une valeur de délai d'inactivité différente.
**Pour configurer le paramètre de délai d'inactivité de votre équilibreur de charge à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Dans l'onglet **Attributes**, choisissez **Edit**.
1. Sur la page **Edit load balancer attributes**, dans la section **Traffic configuration**, tapez une valeur pour **Idle timeout**. La plage pour le délai d'inactivité est de 1 à 4 000 secondes.
1. Sélectionnez **Enregistrer les modifications**.
## Configurez le délai d'inactivité à l'aide du AWS CLI
Utilisez la [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html)commande suivante pour définir le délai d'inactivité de votre équilibreur de charge :
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"ConnectionSettings\":{\"IdleTimeout\":30}}"
```
Voici un exemple de réponse :
```
{
"LoadBalancerAttributes": {
"ConnectionSettings": {
"IdleTimeout": 30
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
# Configurer la répartition de charge entre zones pour votre Classic Load Balancer
Avec l'*équilibrage de charge entre zones*, chaque nœud de l'équilibreur de charge pour votre Classic Load Balancer répartit les demandes uniformément entre les instances enregistrées dans toutes les zones de disponibilité activées. Si l'équilibrage de charge entre zones est désactivé, chaque nœud de l'équilibreur de charge répartit les demandes uniformément entre les instances enregistrées dans sa zone de disponibilité uniquement. Pour de plus amples informations, consultez [Répartition de charge entre zones](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) dans le *Guide de l'utilisateur Elastic Load Balancing*.
L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée et améliore la capacité de votre application à gérer la perte d'une ou plusieurs instances. Cependant, nous vous recommandons de conserver des nombres approximativement équivalents d'instances dans chaque zone de disponibilité activée pour une tolérance aux pannes accrue.
Pour les environnements où les clients mettent en cache les recherches DNS, des demandes entrantes peuvent favoriser une des zones de disponibilité. Avec la répartition de charge entre zones, ce déséquilibre dans la charge de demandes est réparti entre toutes les instances disponibles dans la Région, ce qui réduit l'impact du comportement anormal de clients.
Lorsque vous créez un Classic Load Balancer, les valeurs par défaut pour la répartition de charge entre zones dépend de la manière dont vous créez l'équilibreur de charge. Avec l'API ou l'interface de ligne de commande, l'équilibrage de charge entre zones est désactivé par défaut. Avec le AWS Management Console, l'option permettant d'activer l'équilibrage de charge entre zones est sélectionnée par défaut. Après avoir créé un Classic Load Balancer, vous pouvez activer ou désactiver la répartition de charge entre zones à tout moment.
**Topics**
+ [Activer la répartition de charge entre zones](#enable-cross-zone)
+ [Désactiver la répartition de charge entre zones](#disable-cross-zone)
## Activer la répartition de charge entre zones
Vous pouvez activer la répartition de charge entre zones à tout moment pour votre Classic Load Balancer.
**Pour activer l'équilibrage de charge entre zones à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Dans l'onglet **Attributes**, choisissez **Edit**.
1. Sur la page **Edit load balancer attributes**, dans la section **Availability Zone routing configuration**, activer **Cross-zone load balancing**.
1. Sélectionnez **Enregistrer les modifications**.
**Pour activer l'équilibrage de charge entre zones à l'aide du AWS CLI**
1. Utilisez la [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html)commande suivante pour définir l'`CrossZoneLoadBalancing`attribut de votre équilibreur de charge sur `true` :
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"CrossZoneLoadBalancing\":{\"Enabled\":true}}"
```
Voici un exemple de réponse :
```
{
"LoadBalancerAttributes": {
"CrossZoneLoadBalancing": {
"Enabled": true
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
1. (Facultatif) Utilisez la [describe-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-attributes.html)commande suivante pour vérifier que l'équilibrage de charge entre zones est activé pour votre équilibreur de charge :
```
aws elb describe-load-balancer-attributes --load-balancer-name my-loadbalancer
```
Voici un exemple de réponse :
```
{
"LoadBalancerAttributes": {
"ConnectionDraining": {
"Enabled": false,
"Timeout": 300
},
"CrossZoneLoadBalancing": {
"Enabled": true
},
"ConnectionSettings": {
"IdleTimeout": 60
},
"AccessLog": {
"Enabled": false
}
}
}
```
## Désactiver la répartition de charge entre zones
Vous pouvez désactiver l'option d'équilibrage de charge entre zones à tout moment pour votre équilibreur de charge.
**Pour désactiver l'équilibrage de charge entre zones à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Dans l'onglet **Attributes**, choisissez **Edit**.
1. Sur la page **Edit load balancer attributes**, dans la section **Availability Zone routing configuration**, désactiver **Cross-zone load balancing**.
1. Sélectionnez **Enregistrer les modifications**.
Pour désactiver l'équilibrage de charge entre zones, définissez l'attribut `CrossZoneLoadBalancing` de votre équilibreur de charge sur `false`.
**Pour désactiver l'équilibrage de charge entre zones à l'aide du AWS CLI**
1. Utilisez la commande [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html) suivante :
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"CrossZoneLoadBalancing\":{\"Enabled\":false}}"
```
Voici un exemple de réponse :
```
{
"LoadBalancerAttributes": {
"CrossZoneLoadBalancing": {
"Enabled": false
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
1. (Facultatif) Utilisez la [describe-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-attributes.html)commande suivante pour vérifier que l'équilibrage de charge entre zones est désactivé pour votre équilibreur de charge :
```
aws elb describe-load-balancer-attributes --load-balancer-name my-loadbalancer
```
Voici un exemple de réponse :
```
{
"LoadBalancerAttributes": {
"ConnectionDraining": {
"Enabled": false,
"Timeout": 300
},
"CrossZoneLoadBalancing": {
"Enabled": false
},
"ConnectionSettings": {
"IdleTimeout": 60
},
"AccessLog": {
"Enabled": false
}
}
}
```
# Configurer le drainage de la connexion pour votre Classic Load Balancer
Pour vous assurer qu'un Classic Load Balancer cesse d'envoyer des demandes aux instances dont l'enregistrement est en cours d'annulation ou qui sont défectueuses, tout en maintenant les connexions existantes ouvertes, utilisez le *drainage de la connexion*. Cela permet à l'équilibreur de charge de terminer les demandes en cours effectuées sur des instances dont l'enregistrement est en cours d'annulation ou qui sont défectueuses.
Lorsque vous activez le drainage de la connexion, vous pouvez spécifier une durée maximale pendant laquelle l'équilibreur de charge conserve des connexions actives avant de signaler que l'enregistrement de l'instance est en cours d'annulation. Le délai d'attente maximal peut être défini sur une valeur comprise entre 1 et 3 600 secondes (la valeur par défaut est de 300 secondes). Lorsque le délai d'attente maximal est atteint, l'équilibreur de charge force la fermeture des connexions vers l'instance dont l'enregistrement est en cours d'annulation.
Si une instance de désenregistrement ne reçoit aucune demande en cours ni aucune connexion active, Elastic Load Balancing termine immédiatement le processus de désenregistrement.
Pendant que les demandes en cours sont servies, l'équilibreur de charge indique que l'état d'une instance dont l'enregistrement est en cours d'annulation est `InService: Instance deregistration currently in progress`. Lorsque l'instance dont l'enregistrement est en cours d'annulation a fini de traiter toutes les demandes en cours, ou lorsque le délai d'attente maximal est atteint, l'équilibreur de charge indique que l'état de l'instance est `OutOfService: Instance is not currently registered with the LoadBalancer`.
Si une instance devient défectueuse, l'équilibreur de charge indique que l'état de l'instance est `OutOfService`. Si des demandes en cours sont effectuées vers l'instance défectueuse, elles sont achevées. Le délai d'attente maximal ne s'applique pas aux connexions vers des instances saines.
Si vos instances font partie d'un groupe Auto Scaling et que le drainage de la connexion est activé pour l'équilibreur de charge, Auto Scaling attend la fin des demandes en cours ou que le délai maximal expire (le premier des deux) avant de mettre fin aux instances à cause d'un événement de dimensionnement ou d'un remplacement des vérifications de l'état.
Vous pouvez désactiver le drainage de la connexion si vous voulez que votre équilibreur de charge ferme immédiatement les connexions vers les instances dont l'enregistrement est en cours d'annulation ou qui deviennent défectueuses. Lorsque le drainage de connexion est désactivé, les demandes en cours effectuées vers des instances dont l'enregistrement est en cours d'annulation ou qui sont défectueuses ne sont pas achevées.
**Topics**
+ [Activer le drainage de la connexion](#enable-conn-drain)
+ [Désactiver le drainage de la connexion](#disable-conn-drain)
## Activer le drainage de la connexion
Vous pouvez activer le drainage de la connexion à tout moment pour votre équilibreur de charge.
**Pour activer le drainage de la connexion à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Dans l'onglet **Attributes**, choisissez **Edit**.
1. Sur la page **Edit load balancer attributes**, dans la section **Traffic configuration**, sélectionnez**Enable connection draining**.
1. (Facultatif) Pour **Timeout (draining interval)**, saisissez une valeur comprise entre 1 et 3 600 secondes. Sinon, la valeur par défaut de 300 secondes est utilisée.
1. Sélectionnez **Enregistrer les modifications**.
**Pour activer le drainage des connexions à l'aide du AWS CLI**
Utilisez la commande [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html) suivante :
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"ConnectionDraining\":{\"Enabled\":true,\"Timeout\":300}}"
```
Voici un exemple de réponse :
```
{
"LoadBalancerAttributes": {
"ConnectionDraining": {
"Enabled": true,
"Timeout": 300
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
## Désactiver le drainage de la connexion
Vous pouvez désactiver le drainage de la connexion à tout moment pour votre équilibreur de charge.
**Pour désactiver le drainage de la connexion à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Dans l'onglet **Attributes**, choisissez **Edit**.
1. Sur la page **Edit load balancer attributes**, dans la section **Traffic configuration**, désélectionnez **Enable connection draining**.
1. Sélectionnez **Enregistrer les modifications**.
**Pour désactiver le drainage des connexions à l'aide du AWS CLI**
Utilisez la commande [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html) suivante :
```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"ConnectionDraining\":{\"Enabled\":false}}"
```
Voici un exemple de réponse :
```
{
"LoadBalancerAttributes": {
"ConnectionDraining": {
"Enabled": false,
"Timeout": 300
}
},
"LoadBalancerName": "my-loadbalancer"
}
```
# Configurer des sessions permanentes pour votre Classic Load Balancer
Par défaut, un Classic Load Balancer achemine chaque demande de façon indépendante vers l'instance enregistrée ayant la plus petite charge. Cependant, vous pouvez utiliser la fonction de *session permanente* (aussi appelée *affinité de session*), qui permet à l'équilibreur de charge de lier la session d'un utilisateur à une instance spécifique. Il est ainsi possible de garantir que toutes les demandes de l'utilisateur pendant la session sont adressées à la même instance.
La clé de la gestion des sessions permanentes consiste à déterminer combien de temps votre équilibreur de charge doit acheminer systématiquement les demandes de l'utilisateur vers la même instance. Si votre application a son propre cookie de session, vous pouvez configurer Elastic Load Balancing pour que le cookie de session suive la durée spécifiée par le cookie de session de l'application. Si votre application n'a pas son propre cookie de session, vous pouvez configurer Elastic Load Balancing pour créer un cookie de session en spécifiant votre propre durée de permanence.
Elastic Load Balancing crée un cookie AWSELB, nommé, qui est utilisé pour mapper la session à l'instance.
**Exigences**
+ Un équilibreur de HTTP/HTTPS charge.
+ Au moins une instance saine dans chaque zone de disponibilité.
**Compatibilité**
+ Le RFC pour la propriété path d'un cookie autorise les traits de soulignement. Cependant, l'URI Elastic Load Balancing encode les traits de soulignement en `%5F` car certains navigateurs, comme Internet Explorer 7, s'attendent à ce que les traits de soulignement soient encodés par l'URI en `%5F`. En raison de l'impact potentiel sur les navigateurs qui fonctionnent actuellement, Elastic Load Balancing continue à encoder les traits de soulignement dans l'URI. Par exemple, si le cookie a la propriété `path=/my_path`, Elastic Load Balancing change cette propriété dans la demande transmise en `path=/my%5Fpath`.
+ Vous ne pouvez pas définir l'indicateur `secure` ou `HttpOnly` sur vos cookies de permanence de sessions basée sur la durée. Toutefois, ces cookies ne contiennent pas des données sensibles. Notez que si vous définissez le `secure` drapeau ou le `HttpOnly` drapeau sur un cookie de persistance de session contrôlé par une application, il est également défini sur le cookie. AWSELB
+ Si le champ `Set-Cookie` d'un cookie d'application contient un point-virgule de fin, l'équilibreur de charge ignore le cookie.
**Topics**
+ [Permanence de session basée sur la durée](#enable-sticky-sessions-duration)
+ [Permanence des sessions contrôlées par application](#enable-sticky-sessions-application)
## Permanence de session basée sur la durée
L'équilibreur de charge utilise un cookie spécial pour suivre l'instance de chaque demande adressée à chaque auditeur. AWSELB Lorsque l'équilibreur de charge reçoit une demande, il vérifie d'abord si ce cookie est présent dans la demande. Si tel est le cas, la demande est envoyée à l'instance spécifiée dans le cookie. S'il n'y a pas de cookie, l'équilibreur de charge choisit une instance à partir de l'algorithme d'équilibrage de charge existant. Un cookie est inséré dans la réponse pour lier les demandes suivantes provenant du même utilisateur à cette instance. La configuration de la stratégie de permanence de session définit l'expiration d'un cookie, ce qui établit la durée de validité de chaque cookie. L'équilibreur de charge n'actualise pas le délai d'expiration du cookie et ne vérifie pas si le cookie a expiré avant de l'utiliser. Après l'expiration d'un cookie, la session n'est plus permanente. Le client doit supprimer le cookie de son magasin de cookies lorsque celui-ci est expiré.
Avec les demandes CORS (partage des ressources cross-origin), certains navigateurs nécessitent `SameSite=None; Secure` pour activer la permanence. Dans ce cas, Elastic Load Balancing crée un deuxième cookie d'adhérence AWSELBCORS, qui inclut les mêmes informations que le cookie d'adhérence d'origine, plus cet attribut. `SameSite` Les clients reçoivent les deux cookies.
Si une instance est défaillante ou devient défectueuse, l'équilibreur de charge s'arrête d'acheminer les demandes vers cette celle-ci et choisit une nouvelle instance saine en fonction de l'algorithme d'équilibrage de charge existant. La demande est acheminée vers la nouvelle instance comme s'il n'existait pas de cookie et que la session n'était plus permanente.
Si un client bascule vers un écouteur avec un port backend différent, la permanence est perdue.
**Pour activer des sessions permanentes basées sur la durée pour un équilibreur de charge à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Sous l'onglet **Listeners**, choisissez **Manage listeners**.
1. Sur la page **Manage listeners**, localisez l'écouteur à mettre à jour et choisissez **Edit** sous **Cookie stickiness**.
1. Dans la fenêtre contextuelle **Modifier le paramètre de persistance des cookies**, sélectionnez **Généré par l'équilibreur de charge**.
1. (Facultatif) Pour **Expiration period**, saisissez la période d'expiration du cookie, en secondes. Si vous ne spécifiez pas de période d'expiration, la session permanente dure pendant la durée de la session de navigateur.
1. Choisissez **Enregistrer les modifications** pour fermer la fenêtre contextuelle.
1. Choisissez **Enregistrer les modifications** pour revenir à la page des détails de l'équilibreur de charge.
**Pour activer les sessions permanentes basées sur la durée pour un équilibreur de charge à l'aide du AWS CLI**
1. Utilisez la commande [create-lb-cookie-stickiness-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-lb-cookie-stickiness-policy.html) suivante pour créer une politique de conservation des cookies générée par l'équilibreur de charge avec une période d'expiration des cookies de 60 secondes :
```
aws elb create-lb-cookie-stickiness-policy --load-balancer-name my-loadbalancer --policy-name my-duration-cookie-policy --cookie-expiration-period 60
```
1. Utilisez la commande [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) suivante pour activer le maintien de la session pour l'équilibreur de charge spécifié :
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-duration-cookie-policy
```
**Note**
La commande `set-load-balancer-policies-of-listener` remplace l'ensemble actuel de politiques associées au port de l'équilibreur de charge spécifié. Chaque fois que vous utilisez cette commande, spécifiez l'option `--policy-names` pour répertorier toutes les stratégies à activer.
1. (Facultatif) Utilisez la [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)commande suivante pour vérifier que la politique est activée :
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
La réponse inclut les informations suivantes qui montrent que la stratégie est activée pour l'écouteur sur le port spécifié :
```
{
"LoadBalancerDescriptions": [
{
...
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "arn:aws:iam::123456789012:server-certificate/my-server-certificate",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-duration-cookie-policy",
"ELBSecurityPolicy-TLS-1-2-2017-01"
]
},
...
],
...
"Policies": {
"LBCookieStickinessPolicies": [
{
"PolicyName": "my-duration-cookie-policy",
"CookieExpirationPeriod": 60
}
],
"AppCookieStickinessPolicies": [],
"OtherPolicies": [
"ELBSecurityPolicy-TLS-1-2-2017-01"
]
},
...
}
]
}
```
## Permanence des sessions contrôlées par application
L'équilibreur de charge utilise un cookie spécial pour associer la session à l'instance qui a traité la demande initiale, mais suit la durée de vie du cookie d'application spécifié dans la configuration de la stratégie. L'équilibreur de charge n'insère un nouveau cookie de permanence que si la réponse de l'application inclut un nouveau cookie d'application. Le cookie de permanence de l'équilibreur de charge n'est pas mis à jour à chaque demande. Si le cookie d'application est explicitement supprimé ou expire, la session cesse d'être permanente jusqu'à l'émission d'un nouveau cookie.
Les attributs suivants, définis par les instances principales, sont envoyés aux clients dans le cookie : `path`, `port`, `domain`, `secure`, `httponly`, `discard`, `max-age`, `expires`, `version`, `comment`, `commenturl` et `samesite`.
Si une instance est défaillante ou devient défectueuse, l'équilibreur de charge s'arrête d'acheminer les demandes vers cette celle-ci et choisit une nouvelle instance saine en fonction de l'algorithme d'équilibrage de charge existant. L'équilibreur de charge traite désormais la session comme étant liée à la nouvelle instance saine et continue d'acheminer les demandes vers cette instance, même si l'instance en échec est récupérée.
**Pour activer la permanence de session contrôlée par application à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Sous l'onglet **Listeners**, choisissez **Manage listeners**.
1. Sur la page **Manage listeners**, localisez l'écouteur à mettre à jour et choisissez **Edit** sous **Cookie stickiness**.
1. Sélectionnez **Generated by application**.
1. Pour **Cookie Name**, tapez le nom du cookie de votre application.
1. Sélectionnez **Enregistrer les modifications**.
**Pour activer le caractère permanent des sessions contrôlé par l'application à l'aide du AWS CLI**
1. Utilisez la commande [create-app-cookie-stickiness-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-app-cookie-stickiness-policy.html) suivante pour créer une politique de conservation des cookies générée par l'application :
```
aws elb create-app-cookie-stickiness-policy --load-balancer-name my-loadbalancer --policy-name my-app-cookie-policy --cookie-name my-app-cookie
```
1. Utilisez la commande [set-load-balancer-policies-of-listener](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-of-listener.html) suivante pour activer le maintien de la session pour un équilibreur de charge :
```
aws elb set-load-balancer-policies-of-listener --load-balancer-name my-loadbalancer --load-balancer-port 443 --policy-names my-app-cookie-policy
```
**Note**
La commande `set-load-balancer-policies-of-listener` remplace l'ensemble actuel de politiques associées au port de l'équilibreur de charge spécifié. Chaque fois que vous utilisez cette commande, spécifiez l'option `--policy-names` pour répertorier toutes les stratégies à activer.
1. (Facultatif) Utilisez la [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)commande suivante pour vérifier que la politique rémanente est activée :
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
1. La réponse inclut les informations suivantes qui montrent que la stratégie est activée pour l'écouteur sur le port spécifié :
```
{
"LoadBalancerDescriptions": [
{
...
"ListenerDescriptions": [
{
"Listener": {
"InstancePort": 443,
"SSLCertificateId": "arn:aws:iam::123456789012:server-certificate/my-server-certificate",
"LoadBalancerPort": 443,
"Protocol": "HTTPS",
"InstanceProtocol": "HTTPS"
},
"PolicyNames": [
"my-app-cookie-policy",
"ELBSecurityPolicy-TLS-1-2-2017-01"
]
},
{
"Listener": {
"InstancePort": 80,
"LoadBalancerPort": 80,
"Protocol": "TCP",
"InstanceProtocol": "TCP"
},
"PolicyNames": []
}
],
...
"Policies": {
"LBCookieStickinessPolicies": [],
"AppCookieStickinessPolicies": [
{
"PolicyName": "my-app-cookie-policy",
"CookieName": "my-app-cookie"
}
],
"OtherPolicies": [
"ELBSecurityPolicy-TLS-1-2-2017-01"
]
},
...
}
]
}
```
# Configurer le mode d'atténuation de désynchronisation pour votre Classic Load Balancer
Le mode d'atténuation de désynchronisation protège votre application contre les problèmes dus à HTTP Desync. L'équilibreur de charge classe chaque demande en fonction de son niveau de menace, autorise les demandes sécurisées, puis atténue les risques comme spécifié par le mode d'atténuation que vous spécifiez. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. La valeur par défaut est le mode Défensif, qui fournit une atténuation durable contre la désynchronisation HTTP tout en maintenant la disponibilité de votre application. Vous pouvez passer au mode Le plus strict pour vous assurer que votre application reçoit uniquement les requêtes conformes à la RFC 7230.
La bibliothèque http\$1desync\$1guardian analyse les requêtes HTTP pour empêcher les attaques HTTP Desync. Pour de plus amples informations, consultez [HTTP Desync Guardian](https://github.com/aws/http-desync-guardian) sur github.
**Topics**
+ [Classifications](#desync-mitigation-classification)
+ [Modes](#desync-mitigation-modes)
+ [Modifier le mode d'atténuation de désynchronisation](#update-desync-mitigation-mode)
**Astuce**
Cette configuration s'applique uniquement aux Classic Load Balancers. Pour plus d'informations s'appliquant aux Application Load Balancers, consultez [Mode d'atténuation de désynchronisation pour les Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode).
## Classifications
Les classifications sont les suivantes.
+ Conformité : la requête est conforme à la RFC 7230 et ne présente aucune menace de sécurité connue.
+ Acceptable : la requête n'est pas conforme à la RFC 7230 mais ne présente aucune menace de sécurité connue.
+ Ambiguë : la requête n'est pas conforme à la RFC 7230 mais présente un risque, car divers serveurs web et proxys pourraient la traiter différemment.
+ Sévère : la requête présente un risque de sécurité élevé. L'équilibreur de charge bloque la requête, sert une réponse 400 au client et ferme la connexion client.
Les listes suivantes décrivent les problèmes pour chaque classification.
**Acceptable**
+ Un en-tête contient un caractère non ASCII ou de contrôle.
+ La version de requête contient une valeur incorrecte.
+ Il existe un en-tête Content-Length avec une valeur de 0 pour une requête GET ou HEAD.
+ L'URI de la requête contient un espace qui n'est pas encodé par URL.
**Ambigu**
+ L'URI de requête contient des caractères de contrôle.
+ La requête contient à la fois un en-tête Transfer-Encoding et un en-tête Content-Length.
+ Il existe plusieurs en-têtes Content-Length avec la même valeur.
+ Un en-tête est vide ou il y a une ligne avec seulement des espaces.
+ Il existe un en-tête qui peut être normalisé en Transfer-Encoding ou Content-Length à l'aide de techniques de normalisation de texte courantes.
+ Il existe un en-tête Content-Length pour une requête GET ou HEAD.
+ Il existe un en-tête Transfer-Encoding pour une requête GET ou HEAD.
**Sévère**
+ L'URI de la requête contient un caractère nul ou un retour chariot.
+ L'en-tête Content-Length contient une valeur qui ne peut pas être analysée ou n'est pas un nombre valide.
+ Un en-tête contient un caractère nul ou un retour chariot.
+ L'en-tête Transfer-Encoding contient une valeur incorrecte.
+ La méthode de la requête est mal formée.
+ La version de la requête est mal formée.
+ Il existe plusieurs en-têtes Content-Length avec des valeurs différentes.
+ Il existe plusieurs en-têtes segmentés Transfer-Encoding:.
Si une requête n'est pas conforme à la RFC 7230, l'équilibreur de charge incrémente la métrique `DesyncMitigationMode_NonCompliant_Request_Count`. Pour de plus amples informations, veuillez consulter [Métriques Classic Load Balancer](elb-cloudwatch-metrics.md#loadbalancing-metrics-clb).
## Modes
Le tableau suivant décrit la façon dont les Classic Load Balancers traitent les requêtes en fonction du mode et de la classification.
| Classification | Mode Moniteur | Mode Défensif | Mode Le plus strict |
| --- | --- | --- | --- |
| Conforme | Autorisé | Autorisé | Autorisé |
| Acceptable | Autorisé | Autorisé | Bloqué |
| Ambigu | Autorisé | Autorisé¹ | Bloqué |
| Sévère | Autorisé | Bloqué | Bloqué |
¹ Achemine les requêtes mais ferme les connexions client et cible.
## Modifier le mode d'atténuation de désynchronisation
**Pour mettre à jour le mode d'atténuation de désynchronisation à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Dans l'onglet **Attributes**, choisissez **Edit**.
1. Sur la page **Edit load balancer attributes**, sous **Traffic configuration**, choisissez **Defensive - recommended**, **Strictest**, ou **Monitor**.
1. Sélectionnez **Enregistrer les modifications**.
**Pour mettre à jour le mode d'atténuation de la désynchronisation à l'aide du AWS CLI**
Utilisez la [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html)commande avec l'`elb.http.desyncmitigationmode`attribut défini sur `monitor``defensive`, ou`strictest`.
```
aws elb modify-load-balancer-attributes --load-balancer-name my-load-balancer --load-balancer-attributes file://attribute.json
```
Voici le contenu de `attribute.json`.
```
{
"AdditionalAttributes": [
{
"Key": "elb.http.desyncmitigationmode",
"Value": "strictest"
}
]
}
```
# Configurer le protocole proxy pour votre Classic Load Balancer
Le protocole proxy est un protocole Internet utilisé pour exécuter des informations de connexion de la source demandant la connexion à la destination pour laquelle la connexion a été demandée. Elastic Load Balancing utilise le protocole proxy version 1, qui utilise un format d'en-tête lisible par l'homme.
Par défaut, lorsque vous utilisez le protocole TCP (Transmission Control Protocol) ou SSL (Secure Sockets Layer) pour les connexions frontales et principales, votre Classic Load Balancer transfère les demandes aux instances sans modifier les en-têtes de demande. Si vous activez le protocole proxy, un en-tête compréhensible par les utilisateurs est ajouté à l'en-tête de demande avec des informations de connexion telles que l'adresse IP source, l'adresse IP de destination et les numéros de ports. L'en-tête est ensuite envoyé à l'instance dans le cadre de la demande.
**Note**
Le AWS Management Console ne prend pas en charge l'activation du protocole proxy.
**Topics**
+ [En-tête du protocole proxy](#proxy-protocol)
+ [Prérequis pour l'activation du protocole proxy](#proxy-protocol-prerequisites)
+ [Activez le protocole proxy à l'aide du AWS CLI](#enable-proxy-protocol-cli)
+ [Désactivez le protocole proxy à l'aide du AWS CLI](#proxy-protocol-disable-policy-cli)
## En-tête du protocole proxy
L'en-tête du protocole proxy vous aide à identifier l'adresse IP d'un client lorsque votre équilibreur de charge utilise TCP pour les connexions principales. Comme des équilibreurs de charge interceptent le trafic entre les clients et vos instances, les journaux d'accès de votre instance contiennent l'adresse IP de l'équilibreur de charge, et non celle du client d'origine. Vous pouvez analyser la première ligne de la demande pour extraire l'adresse IP et le numéro de port de votre client.
L'adresse du proxy dans l'en-tête de IPv6 est l' IPv6 adresse publique de votre équilibreur de charge. Cette IPv6 adresse correspond à l'adresse IP résolue à partir du nom DNS de votre équilibreur de charge, qui commence par `ipv6` ou`dualstack`. Si le client se connecte à IPv4, l'adresse du proxy dans l'en-tête est l' IPv4 adresse privée de l'équilibreur de charge, qui ne peut pas être résolue par une recherche DNS.
La ligne du protocole proxy est une ligne unique qui se termine par un retour chariot et un saut de ligne (`"\r\n"`), au format suivant :
```
PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + "\r\n"
```
**Exemple : IPv4**
Voici un exemple de ligne de protocole proxy pour IPv4.
```
PROXY TCP4 198.51.100.22 203.0.113.7 35646 80\r\n
```
## Prérequis pour l'activation du protocole proxy
Avant de commencer, vous devez exécuter les actions suivantes :
+ Vérifiez que votre équilibreur de charge n'est pas situé derrière un serveur proxy avec le protocole proxy activé. Si le protocole proxy est activé sur le serveur proxy et l'équilibreur de charge, l'équilibreur de charge ajoute un autre en-tête à la demande, qui a déjà un en-tête du serveur proxy. En fonction de la configuration de votre instance, cette duplication peut entraîner des erreurs.
+ Vérifiez que vos instances peuvent traiter les informations du protocole proxy.
+ Vérifiez que les paramètres de votre Écouteur prennent en charge le protocole proxy. Pour de plus amples informations, veuillez consulter [Configurations d'Écouteur pour Classic Load Balancers](using-elb-listenerconfig-quickref.md).
## Activez le protocole proxy à l'aide du AWS CLI
Pour activer le protocole proxy, vous devez créer une politique de type `ProxyProtocolPolicyType`, puis activer la stratégie sur le port d'instance.
Utilisez la procédure suivante pour créer une nouvelle stratégie pour votre équilibreur de charge de type `ProxyProtocolPolicyType`, définissez la stratégie nouvellement créée sur l'instance sur le port `80` et vérifiez que la stratégie est activée.
**Pour activer le protocole proxy pour votre équilibreur de charge**
1. (Facultatif) Utilisez la commande [describe-load-balancer-policy-types](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancer-policy-types.html) suivante pour répertorier les politiques prises en charge par Elastic Load Balancing :
```
aws elb describe-load-balancer-policy-types
```
La réponse inclut les noms et les descriptions des types de stratégie pris en charge. Voici la sortie affichée pour le type `ProxyProtocolPolicyType` :
```
{
"PolicyTypeDescriptions": [
...
{
"PolicyAttributeTypeDescriptions": [
{
"Cardinality": "ONE",
"AttributeName": "ProxyProtocol",
"AttributeType": "Boolean"
}
],
"PolicyTypeName": "ProxyProtocolPolicyType",
"Description": "Policy that controls whether to include the IP address and port of the originating
request for TCP messages. This policy operates on TCP/SSL listeners only"
},
...
]
}
```
1. Utilisez la [create-load-balancer-policy](https://docs.aws.amazon.com/cli/latest/reference/elb/create-load-balancer-policy.html)commande suivante pour créer une politique qui active le protocole proxy :
```
aws elb create-load-balancer-policy --load-balancer-name my-loadbalancer --policy-name my-ProxyProtocol-policy --policy-type-name ProxyProtocolPolicyType --policy-attributes AttributeName=ProxyProtocol,AttributeValue=true
```
1. Utilisez la for-backend-server commande [set-load-balancer-policies-](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html) suivante pour activer la politique nouvellement créée sur le port spécifié. Notez que cette commande remplace l'ensemble actuel de stratégies activées. Par conséquent, l'option `--policy-names` doit spécifier la stratégie que vous ajoutez à la liste (par exemple, `my-ProxyProtocol-policy`) et les stratégies actuellement activées (par exemple, `my-existing-policy`).
```
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 80 --policy-names my-ProxyProtocol-policy my-existing-policy
```
1. (Facultatif) Utilisez la [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)commande suivante pour vérifier que le protocole proxy est activé :
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
La réponse inclut les informations suivantes qui montrent que la stratégie `my-ProxyProtocol-policy` est associée au port `80`.
```
{
"LoadBalancerDescriptions": [
{
...
"BackendServerDescriptions": [
{
"InstancePort": 80,
"PolicyNames": [
"my-ProxyProtocol-policy"
]
}
],
...
}
]
}
```
## Désactivez le protocole proxy à l'aide du AWS CLI
Vous pouvez désactiver les stratégies associées à votre instance, puis les activer ultérieurement.
**Pour désactiver la politique de protocole proxy**
1. Utilisez la for-backend-server commande [set-load-balancer-policies-](https://docs.aws.amazon.com/cli/latest/reference/elb/set-load-balancer-policies-for-backend-server.html) suivante pour désactiver la politique du protocole proxy en l'omettant dans l'`--policy-names`option, mais en incluant les autres politiques qui doivent rester activées (par exemple,`my-existing-policy`).
```
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 80 --policy-names my-existing-policy
```
S'il n'existe aucune autre stratégie à activer, spécifiez une chaîne vide avec l'option `--policy-names` comme suit :
```
aws elb set-load-balancer-policies-for-backend-server --load-balancer-name my-loadbalancer --instance-port 80 --policy-names "[]"
```
1. (Facultatif) Utilisez la [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elb/describe-load-balancers.html)commande suivante pour vérifier que la politique est désactivée :
```
aws elb describe-load-balancers --load-balancer-name my-loadbalancer
```
La réponse inclut les informations suivantes qui montrent qu'aucun port n'est associé à la stratégie .
```
{
"LoadBalancerDescriptions": [
{
...
"BackendServerDescriptions": [],
...
}
]
}
```
# Baliser votre Classic Load Balancer
Les balises vous aident à classer vos équilibreurs de charge de différentes manières, par exemple, par objectif, par propriétaire ou par environnement.
Vous pouvez ajouter plusieurs balises à chaque Classic Load Balancer. Les clés de balise doivent être uniques pour chaque équilibreur de charge. Si vous ajoutez une balise avec une clé qui est déjà associée à l'équilibreur de charge, cela met à jour la valeur de cette balise.
Lorsque vous avez fini avec une balise, vous pouvez la supprimer de votre équilibreur de charge.
**Topics**
+ [Restrictions liées aux étiquettes](#tag-restrictions)
+ [Ajouter un tag](#add-tags)
+ [Supprimer une balise](#remove-tags)
## Restrictions liées aux étiquettes
Les restrictions de base suivantes s’appliquent aux balises :
+ Nombre maximal de balises par ressource : 50
+ Longueur de clé maximale : 127 caractères Unicode
+ Longueur de valeur maximale – 255 caractères Unicode
+ Les clés et les valeurs des balises distinguent les majuscules et minuscules. Les caractères autorisés sont les lettres, les espaces et les chiffres représentables en UTF-8, ainsi que les caractères spéciaux suivants : \$1 - = . \$1 : / @. N'utilisez pas d'espaces de début ou de fin.
+ N'utilisez pas le `aws:` préfixe dans les noms ou les valeurs de vos balises, car il est réservé à AWS l'usage. Vous ne pouvez pas modifier ou supprimer des noms ou valeurs de balise ayant ce préfixe. Les balises avec ce préfixe ne sont pas comptabilisées comme vos balises pour la limite de ressources.
## Ajouter un tag
Vous pouvez ajouter des balises à votre équilibreur de charge à tout moment.
**Pour ajouter une balise avec la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Dans l'onglet **Balises**, choisissez **Gérer les balises**.
1. Sur la page **Manage tags**, pour chaque balise, choisissez **Add new tag**, puis spécifiez une clé et une valeur.
1. Une fois que vous avez terminé d'ajouter des balises, choisissez **Save changes**.
**Pour ajouter un tag à l'aide du AWS CLI**
Utilisez la commande [add-tags](https://docs.aws.amazon.com/cli/latest/reference/elb/add-tags.html) suivante pour ajouter la balise spécifiée :
```
aws elb add-tags --load-balancer-name my-loadbalancer --tag "Key=project,Value=lima"
```
## Supprimer une balise
Vous pouvez supprimer des balises de votre équilibreur de charge lorsque que vous avez fini de les utiliser.
**Pour supprimer une balise avec la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Dans l'onglet **Balises**, choisissez **Gérer les balises**.
1. Sur la page **Manage tags**, choisissez **Remove** en regard de chaque balise à supprimer.
1. Une fois que vous avez terminé de supprimer des balises, choisissez **Save changes**.
**Pour supprimer une étiquette à l'aide du AWS CLI**
Utilisez la commande [remove-tags](https://docs.aws.amazon.com/cli/latest/reference/elb/remove-tags.html) suivante pour supprimer la balise avec la clé spécifiée :
```
aws elb remove-tags --load-balancer-name my-loadbalancer --tag project
```
# Configurer des sous-réseaux pour votre Classic Load Balancer
Lorsque vous ajoutez un sous-réseau à votre équilibreur de charge, Elastic Load Balancer crée un nœud d'équilibreur de charge dans la zone de disponibilité. Les nœuds d'équilibreur de charge acceptent le trafic des clients et transmettent les demandes entrantes aux instances saines enregistrées dans une ou plusieurs zones de disponibilité. Nous vous recommandons d'ajouter un sous-réseau par zone de disponibilité pour au moins deux zones de disponibilité. Cela permet d'améliorer la disponibilité de votre équilibreur de charge. Notez que vous pouvez modifier à tout moment les sous-réseaux pour votre équilibreur de charge.
Sélectionnez des sous-réseaux dans les mêmes zones de disponibilité que vos instances. Si votre équilibreur de charge est accessible sur Internet, vous devez sélectionner des sous-réseaux publics pour que vos instances principales reçoivent le trafic à partir de l'équilibreur de charge (même si les instances principales sont dans des sous-réseaux privés). Si votre équilibreur de charge est un équilibreur de charge interne, nous vous recommandons de sélectionner des sous-réseaux privés. Pour plus d'informations sur les sous-réseaux pour votre équilibreur de charge, consultez [Recommandations pour votre VPC](elb-backend-instances.md#set-up-ec2).
Pour ajouter un sous-réseau, enregistrez les instances dans la zone de disponibilité auprès de l'équilibreur de charge, puis attachez un sous-réseau de cette zone de disponibilité à l'équilibreur de charge. Pour de plus amples informations, veuillez consulter [Enregistrez des instances avec votre Classic Load Balancer](elb-deregister-register-instances.md).
Une fois que vous avez ajouté un sous-réseau, l'équilibreur de charge commence à acheminer les demandes vers les instances enregistrées de la zone de disponibilité correspondante. Par défaut, l'équilibreur de charge achemine les demandes de façon uniforme dans les zones de disponibilité pour ses sous-réseaux. Pour acheminer les demandes de manière uniforme vers les instances enregistrées dans les zones de disponibilité pour ses sous-réseaux, activez l'équilibrage de charge entre zones. Pour de plus amples informations, veuillez consulter [Configurer la répartition de charge entre zones pour votre Classic Load Balancer](enable-disable-crosszone-lb.md).
Vous pouvez souhaiter enlever temporairement un sous-réseau de votre équilibreur de charge lorsque sa zone de disponibilité n'a pas d'instances saines enregistrées ou lorsque vous voulez dépanner ou mettre à jour les instances enregistrées. Une fois que vous avez retiré un sous-réseau, l'équilibreur de charge arrête d'acheminer les demandes vers les instances enregistrées de sa zone de disponibilité mais continue de les acheminer vers les instances enregistrées des zones de disponibilité des autres sous-réseaux. Notez qu'après avoir supprimé un sous-réseau, les instances de ce sous-réseau restent enregistrées auprès de l'équilibreur de charge, mais vous pouvez les désenregistrer si vous le souhaitez. Pour de plus amples informations, veuillez consulter [Enregistrez des instances avec votre Classic Load Balancer](elb-deregister-register-instances.md).
**Topics**
+ [Exigences](#elb-subnet-requirements)
+ [Configuration de sous-réseaux à l'aide de la console](#add-remove-subnets-console)
+ [Configuration de sous-réseaux à l'aide de la CLI](#add-remove-subnets-cli)
## Exigences
Lorsque vous mettez à jour les sous-réseaux pour votre équilibreur de charge, vous devez respecter les exigences suivantes :
+ L'équilibreur de charge doit avoir au moins un sous-réseau en permanence.
+ Vous pouvez ajouter au plus un seul sous-réseau par zone de disponibilité.
+ Vous ne pouvez pas ajouter de sous-réseau Zone locale.
Comme il existe des sous-réseaux distincts APIs permettant d'ajouter et de supprimer des sous-réseaux dans un équilibreur de charge, vous devez examiner attentivement l'ordre des opérations lorsque vous remplacez les sous-réseaux actuels par de nouveaux sous-réseaux afin de répondre à ces exigences. En outre, vous devez ajouter temporairement un sous-réseau d'une autre zone de disponibilité si vous avez besoin de remplacer tous les sous-réseaux pour votre équilibreur de charge. Par exemple, si votre équilibreur de charge a une seule zone de disponibilité et que vous avez besoin de remplacer son sous-réseau par un autre sous-réseau, vous devez d'abord ajouter un sous-réseau depuis une deuxième zone de disponibilité. Ensuite, vous pouvez supprimer le sous-réseau de la zone de disponibilité d'origine (en gardant toujours au moins un sous-réseau), ajouter un nouveau sous-réseau depuis la zone de disponibilité d'origine (sans dépasser un sous-réseau par zone de disponibilité), puis supprimer le sous-réseau de la deuxième zone de disponibilité (si celle-ci est uniquement nécessaire pour effectuer l'échange).
## Configuration de sous-réseaux à l'aide de la console
Suivez la procédure ci-dessous pour ajouter ou supprimer des sous-réseaux à l'aide de la console.
**Pour configurer des sous-réseaux à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Sous l'onglet**Network mapping**, choisissez **Edit subnets**.
1. Sur la page **Modifier les sous-réseaux**, dans la section **Cartographie du réseau**, ajoutez et supprimez des sous-réseaux selon vos besoins.
1. Lorsque vous avez terminé, choisissez **Save changes** (Enregistrer les modifications).
## Configuration de sous-réseaux à l'aide de la CLI
Utilisez les exemples suivants pour ajouter ou supprimer des sous-réseaux à l'aide du AWS CLI.
**Ajouter un sous-réseau à votre équilibreur de charge à l'aide de la CLI**
Utilisez la commande [attach-load-balancer-to-subnets](https://docs.aws.amazon.com/cli/latest/reference/elb/attach-load-balancer-to-subnets.html) suivante pour ajouter deux sous-réseaux à votre équilibreur de charge :
```
aws elb attach-load-balancer-to-subnets --load-balancer-name my-load-balancer --subnets subnet-dea770a9 subnet-fb14f6a2
```
La réponse répertorie tous les sous-réseaux pour l'équilibreur de charge. Par exemple :
```
{
"Subnets": [
"subnet-5c11033e",
"subnet-dea770a9",
"subnet-fb14f6a2"
]
}
```
**Pour supprimer un sous-réseau à l'aide du AWS CLI**
Utilisez la commande [detach-load-balancer-from-subnets](https://docs.aws.amazon.com/cli/latest/reference/elb/detach-load-balancer-from-subnets.html) suivante pour supprimer les sous-réseaux spécifiés de l'équilibreur de charge spécifié :
```
aws elb detach-load-balancer-from-subnets --load-balancer-name my-loadbalancer --subnets subnet-450f5127
```
La réponse répertorie les sous-réseaux restants pour l'équilibreur de charge. Par exemple :
```
{
"Subnets": [
"subnet-15aaab61"
]
}
```
# Configurez les groupes de sécurité pour votre Classic Load Balancer
Lorsque vous utilisez le AWS Management Console pour créer un équilibreur de charge, vous pouvez choisir un groupe de sécurité existant ou en créer un nouveau. Si vous sélectionnez un groupe de sécurité existant, celui-ci doit autoriser le trafic dans les deux sens vers les ports d'écoute et de vérification de l'état pour l'équilibreur de charge. Si vous choisissez de créer un groupe de sécurité, la console ajoute automatiquement des règles pour autoriser tout le trafic sur ces ports.
[VPC autre que celui par défaut] Si vous utilisez AWS CLI l'API ou créez un équilibreur de charge dans un VPC autre que celui par défaut, mais que vous ne spécifiez aucun groupe de sécurité, votre équilibreur de charge est automatiquement associé au groupe de sécurité par défaut du VPC.
[VPC par défaut] Si vous utilisez l'API AWS CLI or pour créer un équilibreur de charge dans votre VPC par défaut, vous ne pouvez pas choisir de groupe de sécurité existant pour votre équilibreur de charge. Au lieu de cela, Elastic Load Balancing fournit un groupe de sécurité avec des règles pour autoriser tout le trafic sur les ports spécifiés pour l'équilibreur de charge. Elastic Load Balancing crée un seul groupe de sécurité de ce type par AWS compte, avec un nom de la forme default\$1elb\$1 *id* (par exemple,). `default_elb_fc5fbed3-0405-3b7d-a328-ea290EXAMPLE` Les équilibreurs de charge suivants que vous créez dans le VPC par défaut utilisent également ce groupe de sécurité. Vérifiez les règles du groupe de sécurité pour vous assurer qu'elles autorisent le trafic sur les ports d'écoute et de vérification de l'état pour le nouvel équilibreur de charge. Lorsque vous supprimez votre équilibreur de charge, ce groupe de sécurité n'est pas supprimé automatiquement.
Si vous ajoutez un port d'écoute à un équilibreur de charge existant, vous devez vérifier vos groupes de sécurité pour vous assurer qu'ils autorisent le trafic sur le nouveau port d'écoute dans les deux sens.
**Topics**
+ [Règles recommandées pour les groupes de sécurité d'équilibreur de charge](#recommended-sg-rules)
+ [Attribuer des groupes de sécurité à l'aide de la console](#assign-sg-console)
+ [Attribuez des groupes de sécurité à l'aide du AWS CLI](#assign-sg-cli)
## Règles recommandées pour les groupes de sécurité d'équilibreur de charge
Les groupes de sécurité pour vos équilibreurs de charge doivent permettre à ces derniers de communiquer avec vos instances. Les règles recommandées dépendent du type d'équilibreur de charge, qu'il soit connecté à Internet ou interne.
**Équilibreur de charge connecté à Internet**
Le tableau suivant présente les règles d'entrée recommandées pour un équilibreur de charge connecté à Internet.
| Source | Protocole | Plage de ports | Comment |
| --- | --- | --- | --- |
| 0.0.0.0/0 | TCP | *listener* | Autoriser tout le trafic entrant sur le port d'écoute de l'équilibreur de charge |
Le tableau suivant présente les règles de sortie recommandées pour un équilibreur de charge connecté à Internet.
| Destination | Protocole | Plage de ports | Comment |
| --- | --- | --- | --- |
| *instance security group* | TCP | *instance listener* | Autoriser le trafic sortant vers les instances sur le port d'écoute des instances |
| *instance security group* | TCP | *health check* | Autoriser le trafic sortant vers les instances sur le port de vérification de l'état |
**Équilibreurs de charge internes**
Le tableau suivant présente les règles d'entrée recommandées pour un équilibreur de charge interne.
| Source | Protocole | Plage de ports | Comment |
| --- | --- | --- | --- |
| *VPC CIDR* | TCP | *listener* | Autoriser le trafic entrant à partir du CIDR VPC vers le port d'écoute de l'équilibreur de charge |
Le tableau suivant présente les règles de sortie recommandées pour un équilibreur de charge interne.
| Destination | Protocole | Plage de ports | Comment |
| --- | --- | --- | --- |
| *instance security group* | TCP | *instance listener* | Autoriser le trafic sortant vers les instances sur le port d'écoute des instances |
| *instance security group* | TCP | *health check* | Autoriser le trafic sortant vers les instances sur le port de vérification de l'état |
## Attribuer des groupes de sécurité à l'aide de la console
Utilisez la procédure suivante pour modifier les groupes de sécurité associés à votre équilibreur de charge.
**Pour mettre à jour un groupe de sécurité attribué à votre équilibreur de charge à l'aide de la console**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le panneau de navigation, sous **Load Balancing** (Équilibrage de charge), choisissez **Load Balancers** (Équilibreurs de charge).
1. Choisissez le nom de l'équilibreur de charge afin d'ouvrir sa page détaillée.
1. Dans l'onglet **Security**, choisissez **Edit**.
1. Sur la page **Modifier les groupes de sécurité**, sous **Groupes de sécurité**, ajoutez ou supprimez des groupes de sécurité selon vos besoins.
Vous pouvez ajouter jusqu'à cinq groupes de sécurité.
1. Lorsque vous avez terminé, choisissez **Save changes** (Enregistrer les modifications).
## Attribuez des groupes de sécurité à l'aide du AWS CLI
Utilisez la commande [apply-security-groups-to-load-balancer](https://docs.aws.amazon.com/cli/latest/reference/elb/apply-security-groups-to-load-balancer.html) suivante pour associer un groupe de sécurité à un équilibreur de charge. Les groupes de sécurité spécifiés remplacent les groupes de sécurité associés.
```
aws elb apply-security-groups-to-load-balancer --load-balancer-name my-loadbalancer --security-groups sg-53fae93f
```
Voici un exemple de réponse :
```
{
"SecurityGroups": [
"sg-53fae93f"
]
}
```
# Configuration du réseau ACLs pour votre Classic Load Balancer
La liste de contrôle des accès (ACL) réseau par défaut pour un VPC autorise tout le trafic entrant et sortant. Si vous créez un réseau personnalisé ACLs, vous devez ajouter des règles permettant à l'équilibreur de charge et aux instances de communiquer.
Les règles recommandées pour le sous-réseau de votre équilibreur de charge dépendent du type d'équilibreur de charge, qu'il soit connecté à Internet ou interne.
**Équilibreur de charge connecté à Internet**
Les règles d'entrée recommandées pour un équilibreur de charge connecté à Internet sont les suivantes.
| Source | Protocole | Plage de ports | Comment |
| --- | --- | --- | --- |
| 0.0.0.0/0 | TCP | *listener* | Autoriser tout le trafic entrant sur le port d'écoute de l'équilibreur de charge |
| *VPC CIDR* | TCP | 1024-65535 | Autoriser le trafic entrant depuis le CIDR VPC sur les ports éphémères |
Les règles de sortie recommandées pour un équilibreur de charge connecté à Internet sont les suivantes.
| Destination | Protocole | Plage de ports | Comment |
| --- | --- | --- | --- |
| *VPC CIDR* | TCP | *instance listener* | Autoriser tout le trafic sortant sur le port d'écoute des instances |
| *VPC CIDR* | TCP | *health check* | Autoriser tout le trafic sortant sur le port de vérification de l'état |
| 0.0.0.0/0 | TCP | 1024-65535 | Autoriser tout le trafic sortant sur les ports éphémères |
**Équilibreur de charge interne**
Les règles d'entrée recommandées pour un équilibreur de charge interne sont les suivantes.
| Source | Protocole | Plage de ports | Comment |
| --- | --- | --- | --- |
| *VPC CIDR* | TCP | *listener* | Autoriser le trafic entrant à partir du CIDR VPC vers le port d'écoute de l'équilibreur de charge |
| *VPC CIDR* | TCP | 1024-65535 | Autoriser le trafic entrant depuis le CIDR VPC sur les ports éphémères |
Les règles de sortie recommandées pour un équilibreur de charge interne sont les suivantes.
| Destination | Protocole | Plage de ports | Comment |
| --- | --- | --- | --- |
| *VPC CIDR* | TCP | *instance listener* | Autoriser le trafic sortant vers le CIDR VPC sur le port d'écoute des instances |
| *VPC CIDR* | TCP | *health check* | Autoriser le trafic sortant vers le CIDR VPC sur le port de vérification de l'état |
| *VPC CIDR* | TCP | 1024-65535 | Autoriser le trafic sortant vers le CIDR VPC sur les ports éphémères |
# Configurer un nom de domaine personnalisé pour votre Classic Load Balancer
Chaque Classic Load Balancer reçoit un nom DNS (Domain Name System, système de noms de domaine) par défaut. Ce nom DNS inclut le nom de la AWS région dans laquelle l'équilibreur de charge est créé. Par exemple, si vous créez un équilibreur de charge nommé `my-loadbalancer` dans la Région USA Ouest (Oregon), celui-ci reçoit un nom DNS tel que `my-loadbalancer-1234567890.us-west-2.elb.amazonaws.com`. Pour accéder au site web sur vos instances, vous collez ce nom DNS dans le champ d'adresse d'un navigateur web. Toutefois, ce nom DNS n'est pas facile à mémoriser et à utiliser pour vos clients.
Si vous préférez utiliser un nom DNS convivial pour votre équilibreur de charge, comme `www.example.com`, plutôt que le nom DNS par défaut, vous pouvez créer un nom de domaine personnalisé et l'associer au nom DNS pour votre équilibreur de charge. Lorsqu'un client effectue une demande à l'aide de ce nom de domaine personnalisé, le serveur DNS résout le nom DNS pour votre équilibreur de charge.
**Topics**
+ [Associer votre nom de domaine personnalisé au nom de votre équilibreur de charge](#dns-associate-custom-elb)
+ [Utiliser le basculement DNS Route 53 pour votre équilibreur de charge](#configure-dns-failover)
+ [Dissocier votre nom de domaine personnalisé de votre équilibreur de charge](#dns-disassociate-custom-elb)
## Associer votre nom de domaine personnalisé au nom de votre équilibreur de charge
Tout d'abord, si vous ne l'avez pas déjà fait, enregistrez votre nom de domaine. L'ICANN (Internet Corporation for Assigned Names and Numbers) gère les noms de domaine sur Internet. Vous enregistrez un nom de domaine à l'aide d'un *serveur d'inscriptions de noms de domaine*, une organisation accréditée par l'ICANN qui gère le registre des noms de domaine. Le site Web pour votre serveur d'inscriptions vous fournira des instructions détaillées et des informations de tarification pour l'enregistrement de votre nom de domaine. Pour plus d’informations, consultez les ressources suivantes :
+ Pour utiliser Amazon Route 53 pour enregistrer un nom de domaine, consultez [Enregistrement de noms de domaines à l'aide de Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html) dans le *Guide du développeur Amazon Route 53*.
+ Pour une liste des bureaux d'enregistrement accrédités, consultez la [liste des bureaux d'enregistrement accrédités](https://www.icann.org/en/accredited-registrars).
Utilisez ensuite votre service DNS, par exemple, votre serveur d'inscriptions de domaine, pour créer un enregistrement CNAME afin d'acheminer les demandes vers votre équilibreur de charge. Pour plus d'informations, consultez la documentation de votre service DNS.
Vous pouvez également utiliser Route 53 comme service DNS. Vous créez une *zone hébergée*, qui contient des informations sur l'acheminement du trafic sur Internet pour votre domaine, et un *jeu d'enregistrements de ressources d'alias*, qui achemine les requêtes pour votre nom de domaine vers votre équilibreur de charge. Route 53 ne facture pas les requêtes DNS pour des jeux d'enregistrements d'alias, et vous pouvez utiliser des jeux d'enregistrements d'alias pour acheminer des requêtes DNS vers votre équilibreur de charge pour la zone apex de votre domaine (par exemple, `example.com`). Pour plus d'informations sur le transfert de services DNS pour des domaines existants vers Route 53, consultez [Configuration de Route 53 en tant que service DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring.html) dans le *Guide du développeur Amazon Route 53*.
Pour finir, créez une zone hébergée et un jeu d'enregistrements d'alias pour votre domaine à l'aide de Route 53. Pour de plus amples informations, consultez [Acheminement du trafic vers un équilibreur de charge](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-elb-load-balancer.html) dans le *Guide du développeur Amazon Route 53*.
## Utiliser le basculement DNS Route 53 pour votre équilibreur de charge
Si vous utilisez Route 53 pour acheminer des requêtes DNS vers votre équilibreur de charge, vous pouvez également configurer le basculement DNS pour ce dernier à l'aide de Route 53. Dans une configuration de basculement, Route 53 vérifie l'état de santé des instances EC2 enregistrées pour l'équilibreur de charge afin de déterminer si celles-ci sont disponibles. Si aucune instances EC2 saine n'est enregistrée auprès de l'équilibreur de charge, ou si l'équilibreur de charge lui-même est défectueux, Route 53 achemine le trafic vers une autre ressource disponible, par exemple, un équilibreur de charge sain ou un site web statique dans Amazon S3.
Par exemple, supposons que vous ayez une application web pour `www.example.com`, et que vous vouliez que des instances redondantes s'exécutent derrière deux équilibreurs de charge situés dans des Régions différentes. Vous souhaitez que le trafic soit principalement acheminé vers l'équilibreur de charge d'une Région, et vous voulez utiliser l'équilibreur de charge de l'autre Région en secours pendant les pannes. Si vous configurez le basculement DNS, vous pouvez spécifier vos équilibreurs de charge principal et secondaire (Backup). Route 53 dirige le trafic vers l'équilibreur de charge principal s'il est disponible ou, dans le cas contraire, vers l'équilibreur de charge secondaire.
**Utiliser Évaluer l'état de la cible**
+ Lorsque l'option Évaluer l'état de la cible est définie sur `Yes` sur un enregistrement d'alias pour un Classic Load Balancer, Route 53 évalue l'état de santé de la ressource spécifiée par la valeur `alias target`. Pour un Classic Load Balancer, Route 53 utilise les surveillances de l’état de l'instance associées à l'équilibreur de charge.
+ Tant que l'une des instances enregistrées dans un Classic Load Balancer est saine, Route 53 indique que l'enregistrement d'alias est sain. Route 53 renvoie ensuite les enregistrements conformément à votre stratégie de routage. Si la stratégie de routage de basculement est utilisée, Route 53 renvoie l'enregistrement principal.
+ Lorsque toutes les instances enregistrées dans un Classic Load Balancer sont défectueuses, Route 53 indique que l'enregistrement d'alias est défectueux. Route 53 renvoie ensuite les enregistrements conformément à votre stratégie de routage. Si la stratégie de routage de basculement est utilisée, Route 53 renvoie l'enregistrement secondaire.
Pour de plus amples informations, consultez [Configuration du basculement DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-configuring.html) dans le *Guide du développeur Amazon Route 53*.
## Dissocier votre nom de domaine personnalisé de votre équilibreur de charge
Vous pouvez dissocier votre nom de domaine personnalisé d'une instance d'équilibreur de charge en supprimant d'abord les jeux d'enregistrements de ressources de votre zone hébergée, puis en supprimant la zone hébergée. Pour de plus amples informations, consultez [Modification des enregistrements](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-editing.html) et [Suppression d'une zone hébergée publique](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DeleteHostedZone.html) dans le *Guide du développeur Amazon Route 53*.