Định cấu hình phiên bản EC2 làm tường lửa của Cân bằng tải ứng dụng

Cơ sở hạ tầng hiện tại của tôi về cơ bản là DNS (Tuyến 53) -> WAF -> ALB. WAF nằm trước bộ cân bằng tải với một số bộ lọc do AWS quản lý. Ứng dụng của tôi là một trang web PHP và một API.

Bây giờ tôi đang cố gắng cải thiện bảo mật và đã thử dùng Wallarm. Tôi đã nâng cấp phiên bản và định cấu hình nó như một nút mới, nhưng hiện tại tôi đang gặp khó khăn trong việc đặt trước ALB của mình. Bộ cân bằng tải chỉ lắng nghe cổng 443.

Những gì tôi đã làm là thay đổi DNS để trỏ đến IP công khai của phiên bản Wallarm (trước đây nó được đặt thành bí danh ALB) và đặt /etc/nginx/conf.d/default.conf như sau:

người phục vụ {
  nghe 80;
  nghe 443 ssl;

  # miền mà lưu lượng truy cập được xử lý
  server_name mydomain.com;
  server_name www.mydomain.com;

  # bật chế độ giám sát xử lý lưu lượng
  giám sát wallarm_mode;
  wallarm_instance 1;

  địa điểm / {
    # thiết lập địa chỉ để chuyển tiếp yêu cầu
    proxy_pass https://alb-dns-name.region.elb.amazonaws.com;
    proxy_set_header Máy chủ lưu trữ $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
}

Với cấu hình này, phản hồi là SSL đã nhận được bản ghi vượt quá độ dài tối đa cho phép

Tôi đang làm gì sai trong đó? Tôi khá có kinh nghiệm với Apache nhưng khá mới với Nginx.

Khi định cấu hình ProxyPass trong các phiên bản Apache cũ hơn, tên ALB đầy đủ đôi khi quá dài. Như một giải pháp thay thế, chúng tôi phải tạo một tên ngắn hơn dưới dạng ALIAS trong miền Route53, ví dụ:

alb.mydomain.com. MỘT BÍ MẬT alb-dns-name.region.elb.amazonaws.com.

Và sau đó làm ProxyPass https://alb.mydomain.com. Tôi tự hỏi nếu điều này có thể là cùng một vấn đề?

Đã nói rằng, bạn cần ALB để làm gì? Bây giờ bạn đã ném proxy ngược Nginx vào hỗn hợp, có lẽ bạn có thể định cấu hình nó để giao tiếp trực tiếp với chương trình phụ trợ của mình?