As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Adicione um balanceador de carga com o Elastic Load Balancing AWS CloudHSM para (opcional)
<a name="third-offload-add-lb"></a>

Depois SSL/TLS de configurar o offload com um servidor web, você pode criar mais servidores web e um balanceador de carga do Elastic Load Balancing que roteia o tráfego HTTPS para os servidores web. Um balanceador de carga pode reduzir a carga nos seus servidores Web individuais, equilibrando o tráfego em dois ou mais servidores. Ele também pode aumentar a disponibilidade do seu site, pois o balanceador de carga monitora a integridade dos seus servidores Web e roteia apenas o tráfego aos servidores íntegros. Se um servidor Web falhar, o balanceador de carga deixará automaticamente de rotear o tráfego para ele. 

**Topics**
+ [Etapa 1. Criar uma sub-rede para um segundo servidor Web](#ssl-offload-load-balancer-create-new-subnet)
+ [Etapa 2. Criar o segundo servidor Web](#ssl-offload-load-balancer-create-web-server)
+ [Etapa 3. Criar o balanceador de carga](#ssl-offload-load-balancer-create-load-balancer)

## Etapa 1. Criar uma sub-rede para um segundo servidor Web
<a name="ssl-offload-load-balancer-create-new-subnet"></a>

Antes de criar outro servidor web, você precisa criar uma nova sub-rede na mesma VPC que contém seu servidor AWS CloudHSM web e cluster existentes. 

**Para criar uma nova sub-rede**

1. Abra a [seção **Sub-redes** do console Amazon VPC](https://console.aws.amazon.com/vpc/home#subnets:).

1. Selecione **Create Subnet**.

1. Na caixa de diálogo **Criar sub-rede**, faça o seguinte:

   1. Em **Name tag** (Tag de nome), digite um nome para a sub-rede.

   1. Para **VPC**, escolha a AWS CloudHSM VPC que contém seu servidor web e cluster existentes. AWS CloudHSM 

   1. Para **Availability Zone**, escolha uma zona de disponibilidade diferente da que contém seu servidor Web existente. 

   1. Para **IPv4 Bloco CIDR**, digite o bloco CIDR para uso na sub-rede. Por exemplo, digite **10.0.10.0/24**.

   1. Escolha **Yes, Create** (Sim, criar).

1. Marque a caixa de seleção ao lado da sub-rede pública que contém seu servidor Web existente. Ela é diferente da sub-rede pública que você criou na etapa anterior. 

1. No painel conteúdo, escolha a guia **Tabela de rotas**. Em seguida, escolha o link para a tabela de rotas.   
![Escolha o link da tabela de rotas no console do Amazon VPC.](http://docs.aws.amazon.com/pt_br/cloudhsm/latest/userguide/images/console-vpc-choose-route-table.png)

1. Marque a caixa de seleção ao lado da tabela de rotas.

1. Escolha a guia **Associações de sub-redes**. Em seguida, escolha **Editar**.

1. Marque a caixa de seleção ao lado da sub-rede pública que você criou anteriormente neste procedimento. Em seguida, escolha **Salvar**. 

## Etapa 2. Criar o segundo servidor Web
<a name="ssl-offload-load-balancer-create-web-server"></a>

Complete as seguintes etapas para criar um segundo servidor Web com a mesma configuração que o seu servidor Web existente. 

**Para criar um segundo servidor Web**

1. Abra a seção [https://console.aws.amazon.com/ec2/v2/home#Instances:](https://console.aws.amazon.com/ec2/v2/home#Instances:) do console do Amazon EC2 em.

1. Marque a caixa de seleção ao lado da instância do servidor Web existente.

1. Escolha **Actions** (Ações), **Image** (Imagem) e, em seguida, **Create Image** (Criar imagem). 

1. Na caixa de diálogo **Create Image**, faça o seguinte:

   1. Em **Image name** (Nome de imagem), digite um nome para a imagem.

   1. Em **Image description** (Descrição da imagem), digite uma descrição para a imagem.

   1. Escolha **Create Image**. Essa ação reinicia seu servidor Web existente.

   1. Escolha o {{<AMI ID>}} link **Exibir imagem pendente**.  
![Escolha o link para visualizar a imagem pendente no console do Amazon EC2.](http://docs.aws.amazon.com/pt_br/cloudhsm/latest/userguide/images/console-ec2-choose-view-pending-image.png)

      Na coluna **Status**, anote o status da imagem. Quando o status da imagem for **disponível** (isso pode demorar vários minutos), vá para a próxima etapa. 

1. No painel de navegação, escolha **Instâncias**.

1. Marque a caixa de seleção ao lado do seu servidor Web existente.

1. Selecione **Actions** (Ações) e selecione **Launch More Like This** (Iniciar mais como este).

1. Escolha **Edit AMI**.  
![Escolha o link para editar o link AMI no console do Amazon EC2.](http://docs.aws.amazon.com/pt_br/cloudhsm/latest/userguide/images/console-ec2-choose-edit-ami.png)

1. No painel de navegação esquerdo, escolha **Meu AMIs**. Em seguida, limpe o texto na caixa de pesquisa. 

1. Ao lado de sua imagem do servidor Web, escolha **Select**.

1. Escolha **Sim, eu quero continuar com essa AMI ({{<image name>}}- ami-{{<AMI ID>}})**. 

1. Escolha **Próximo**.

1. Selecione um tipo de instância e, a seguir, escolha **Próximo: Configurar detalhes da instância**. 

1. Na **Etapa 3: Configurar os detalhes da instância**, faça o seguinte:

   1. Para **Network**, escolha a VPC que contém seu servidor Web existente.

   1. Para **Subnet**, escolha a sub-rede pública que você criou para o segundo servidor Web. 

   1. Para **Atribuir IP público automaticamente**, selecione **Permitir**.

   1. Altere os detalhes restantes da instância conforme preferir. Em seguida, selecione **Next: Add Storage (Próximo: adicionar armazenamento)**.

1. Altere as configurações de armazenamento conforme preferir. Depois, selecione **Next: Add Tags (Próximo: adicionar tags)**.

1. Adicione ou edite tags como preferir. Em seguida, escolha **Next: Configure Security Group**.

1. Para **Etapa 6: Configurar security group**, faça o seguinte:

   1. Em **Assign a security group (Atribuir um grupo de segurança)**, escolha **Select an existing security group (Selecionar um security group existente)**. 

   1. Marque a caixa de seleção ao lado do grupo de segurança chamado **cloudhsm- {{<cluster ID>}} -sg**. AWS CloudHSM criou esse grupo de segurança em seu nome quando você [criou o cluster](create-cluster.md). Você deve escolher esse grupo de segurança para permitir que a instância do servidor web se conecte ao HSMs no cluster. 

   1. Marque a caixa de seleção ao lado do grupo de segurança que permite o tráfego HTTPS de entrada. Você [criou esse grupo de segurança anteriormente](ssl-offload-windows.md#ssl-offload-add-security-group-windows).

   1. (Opcional) Marque a caixa de seleção ao lado de um grupo de segurança que permite a entrada de tráfego SSH (para Linux) ou RDP (para Windows) da rede. Ou seja, o grupo de segurança deve permitir tráfego TCP de entrada na porta 22 (para SSH no Linux) ou na porta 3389 (para RDP no Windows). Caso contrário, não será possível se conectar à instância do cliente. Caso não tenha um grupo de segurança como esse, crie um e, em seguida, atribua-o para a instância do cliente mais tarde. 

   Escolha **revisar e iniciar**.

1. Verifique os detalhes da instância e, em seguida, selecione **Iniciar**.

1. Escolha se deseja iniciar a instância com um par de chaves existente, criar um novo par de chaves ou executar sua instância sem um par de chaves. 
   + Para usar um par de chaves existente, faça o seguinte:

     1. Escolha **Selecionar um par de chaves existente**.

     1. Para **Selecionar um par de chaves**, selecione o par de chaves a ser usado.

     1. Marque a caixa de seleção ao lado de **Eu reconheço que tenho acesso ao arquivo de chave privada selecionado ({{<private key file name>}}.pem) e que, sem esse arquivo, não conseguirei fazer login na minha instância**.
   + Para criar um novo par de chaves, faça o seguinte:

     1. Selecione **Criar um novo par de chaves**.

     1. Em **Key pair name** (Nome do par de chaves), digite um nome para o par de chaves.

     1. Selecione **Fazer o download do par de chaves** e salve o arquivo da chave privada em um local seguro e acessível. 
**Atenção**  
Não será possível fazer o download do arquivo de chave privada novamente a partir desse momento. Se você não fizer o download do arquivo de chave privada agora, não será possível acessar a instância do cliente. 
   + Para iniciar sua instância sem um par de chaves, faça o seguinte:

     1. Escolha **Proceed without a key pair**.

     1. Marque a caixa de seleção ao lado de **I acknowledge that I will not be able to connect to this instance unless I already know the password built into this AMI.** 

   Selecione **Launch Instances**.

## Etapa 3. Criar o balanceador de carga
<a name="ssl-offload-load-balancer-create-load-balancer"></a>

Conclua as seguintes etapas para criar um balanceador de carga no Elastic Load Balancing que roteia o tráfego HTTPS aos seus servidores Web. 

**Para criar um balanceador de carga**

1. Abra a seção [ https://console.aws.amazon.com/ec2/v2/home#LoadBalancers:]( https://console.aws.amazon.com/ec2/v2/home#LoadBalancers:) do console do Amazon EC2.

1. Selecione **Criar load balancer**.

1. Na seção **Network Load Balancer** section, escolha **Create**.

1. Para **Step 1: Configure Load Balancer**, faça o seguinte:

   1. Para **Name**, digite um nome para o load balancer que você está criando.

   1. Na seção **Receptores**, para **Porta do balanceador de carga**, altere o valor para **443**.

   1. Na seção **Availability Zones**, para **VPC**, escolha a VPC que contém seus servidores Web. 

   1. Na seção **Availability Zones**, escolha as sub-redes que contêm seus servidores Web. 

   1. Selecione **Next: Configure Routing (Próximo: Configurar roteamento)**.

1. Para **Step 2: Configure Routing**, faça o seguinte:

   1. Para **Name**, digite um nome para o grupo-alvo que você está criando.

   1. Para **Porta**, altere o valor para **443**.

   1. Selecione **Next: Register Targets (Próximo: Registrar destinos)**.

1. Para **Step 3: Register Targets**, faça o seguinte:

   1. Na seção **Instâncias**, marque as caixas de seleção ao lado das instâncias do servidor Web. Em seguida, escolha **Add to registered**. 

   1. Escolha **Próximo: revisar**.

1. Revise os detalhes do load balancer e escolha **Create**.

1. Quando o load balancer tiver sido criado com êxito, escolha **Close**.

Depois de concluir as etapas anteriores, o console do Amazon EC2 mostrará seu balanceador de carga no Elastic Load Balancing.

Quando o estado do balanceador de carga estiver ativo, você poderá verificar se ele está funcionando. Ou seja, você pode verificar se ele está enviando tráfego HTTPS para seus servidores web com SSL/TLS offload with. AWS CloudHSM Faça isso com um navegador da web ou com uma ferramenta como [OpenSSL s\_client](https://www.openssl.org/docs/manmaster/man1/s_client.html). 

**Para verificar se o seu load balancer está funcionando com um navegador da Web**

1. No console do Amazon EC2, encontre o **nome DNS** para o balanceador de carga que você acabou de criar. Em seguida, selecione o nome DNS e copie-o. 

1. Use um navegador da web, como o Mozilla Firefox ou o Google Chrome, para se conectar ao seu balanceador de carga usando o nome DNS do balanceador de carga. Certifique-se de que a URL na barra de endereços comece com https://. 
**dica**  
Você pode usar um serviço de DNS, como o Amazon Route 53, para rotear o nome de domínio do seu site (por exemplo, https://www.example.com/) para o seu servidor web. Para obter mais informações, consulte [Roteamento de tráfego para uma instância do Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html) no *Amazon Route 53* ou na documentação do seu serviço de DNS.

1. Use seu navegador da Web para ver o certificado do servidor Web. Para obter mais informações, consulte: 
   + Para o Mozilla Firefox, consulte o tópico sobre como [Visualizar um certificado](https://support.mozilla.org/en-US/kb/secure-website-certificate#w_view-a-certificate), no site de suporte da Mozilla.
   + Para o Google Chrome, consulte [Noções básicas de problemas de segurança](https://developers.google.com/web/tools/chrome-devtools/security), no site Google Tools for Web Developers.

   Outros navegadores da Web podem ter recursos semelhantes, que você pode usar para visualizar o certificado do servidor Web.

1. Garanta que o certificado é aquele para o qual você configurou o servidor Web para usar.

**Para verificar se o seu load balancer está funcionando com o OpenSSL s\_client**

1. Use o seguinte comando OpenSSL para se conectar ao seu balanceador de carga usando HTTPS. {{<DNS name>}}Substitua pelo nome DNS do seu balanceador de carga. 

   ```
   openssl s_client -connect {{<DNS name>}}:443
   ```
**dica**  
Você pode usar um serviço de DNS, como o Amazon Route 53, para rotear o nome de domínio do seu site (por exemplo, https://www.example.com/) para o seu servidor web. Para obter mais informações, consulte [Roteamento de tráfego para uma instância do Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html) no *Amazon Route 53* ou na documentação do seu serviço de DNS.

1. Garanta que o certificado é aquele para o qual você configurou o servidor Web para usar.

Agora você tem um site protegido com HTTPS, com a chave privada do servidor web armazenada em um HSM em seu AWS CloudHSM cluster. Seu site possui dois servidores Web e um load balancer para ajudar a melhorar a eficiência e a disponibilidade.