ブログの前段にさくらのクラウド エンハンスドロードバランサーを設定してみた

本日、さくらのクラウドではプロキシ型ロードバランサーサービスである「エンハンスドロードバランサー」において、Let’s Encryptの終端・自動更新機能 + 350円(税別)から利用できる下位プランの提供を開始しました。

非常に機能豊富なアプライアンスになっています。

■さくらのクラウドニュース|エンハンスドロードバランサがLet’s Encryptの発行・自動更新に対応しました

エンハンスドロードバランサ (プロキシ型ロードバランサ)

提供機能
・最大40サーバのバランシング
・DDoS攻撃対策
・HTTPS(SSL)終端
・Let’s Encrypt自動SSL証明書更新
・HTTP/2対応
・無停止プラン変更
・ソーリーサーバ設定

今回のLet’s Encrypt対応でSSL証明書の終端および自動発行・自動更新という便利な機能が使えるようになったので早速このブログの前段に設定してみました。

  1. エンハンスドロードバランサーを作成する
    今回はVIPフェイルオーバーを有効にしてFQDNを発行しました
  2. ドメインの設定よりCNAMEを発行されたFQDNに変更する
  3. エンハンスドロードバランサーの実サーバの設定として、ブログのサーバIPアドレスを指定する
  4. 待受ポートの設定を行う
    HTTPできたアクセスを自動でHTTPSに振り替えたり、HTTP/2での接続に対応したりとGUIの簡単そうでできるので便利です!
  5. 証明書の設定からLet’s Encryptの設定を行う
待受ポートの設定
Let’s Encryptの設定

実際に設定する際にはもう少し細かいプロセスが必要となりますが、ざっくりこのくらいの手順で利用可能です。

Let’s Encryptの更新管理などはエンハンスドロードバランサー側にオフロードできるので、90日更新を意識することはありません(万が一更新に失敗した場合にはメールで通知されます)

面倒なLet’s Encryptの発行・自動更新を管理してくれるというだけでも導入の価値があると思います。
詳細はエンハンスドロードバランサーのマニュアルをご参照ください。


このブログのように、もともとLet’s EncryptでSSL化(KUSANAGI)をしていたサイトの前段にエンハンスドロードバランサーを挟み、エンハンスドロードバランサー側でSSLを終端させると管理画面に正しくアクセスできない事象が発生するかもしれません。

原因はエンハンスドロードバランサーから実サーバまでの通信はHTTPで、KUSANAGI側でHTTPの通信を受けた際に自動でHTTPSへのリダイレクトが発生するが、エンハンスドロードバランサーからはHTTPで通信がきて・・・という無限ループが発生するためです。

wp-config.php を見直すことで対応可能です。

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')
    $_SERVER['HTTPS'] = 'on';

詳細はFunction Reference/is ssl « WordPress Codexとなります。
以上で無事管理画面にもアクセスできるようになりました!

Leave a comment

Your email address will not be published. Required fields are marked *