Oyentes para los equilibradores de carga de red

Un oyente es un proceso que comprueba las solicitudes de conexión mediante el protocolo y el puerto configurados. Antes de comenzar a utilizar el equilibrador de carga de red, debe agregar al menos un oyente. Si su equilibrador de carga no cuenta con oyentes, no puede recibir tráfico de los clientes. Las reglas que defina para un oyente determinan cómo el equilibrador de carga direcciona las solicitudes a sus destinos registrados, como instancias de EC2.

Configuración del oyente

Los oyentes son compatibles con los siguientes protocolos y puertos:

Puede utilizar un agente de escucha TLS para trasladar la carga de cifrado y descifrado al balanceador de carga con el fin de que las aplicaciones puedan concentrarse en la lógica de negocio. Si el protocolo del agente de escucha es TLS, debe implementar un único certificado de servidor SSL en el agente de escucha. Para obtener más información, consulte Certificados de servidor.

Si se debe asegurar de que los destinos descifren el tráfico de TLS en lugar del equilibrador de carga, puede crear un oyente de TCP en el puerto 443 en lugar de crear un oyente de TLS. Con un oyente de TCP, el equilibrador de carga transfiere el tráfico cifrado a los destinos sin descifrarlo.

Para admitir TCP y UDP en el mismo puerto, cree un agente de escucha TCP_UDP. Los grupos de destino de un agente de escucha TCP_UDP deben utilizar el protocolo TCP_UDP.

En el caso de los equilibradores de carga de red de pila doble, solo se admiten los protocolos TCP y TLS.

Puede utilizar WebSockets con los agentes de escucha.

Todo el tráfico de red enviado a un agente de escucha configurado se clasifica como tráfico deseado. El tráfico de red que no coincide con un agente de escucha configurado se clasifica como tráfico no deseado. Las solicitudes de ICMP distintas del tipo 3 también se consideran tráfico no deseado. Los equilibradores de carga de red eliminan el tráfico no deseado sin reenviarlo a un destino. Los paquetes de datos TCP enviados al puerto de los agentes de escucha configurados que no sean conexiones nuevas ni formen parte de una conexión TCP activa se rechazan con un restablecimiento TCP (RST).

Para obtener más información, consulte Enrutamiento de solicitudes en la Guía del usuario de Elastic Load Balancing.

Atributos del oyente

A continuación se indican los atributos del oyente de los equilibradores de carga de red:

Para obtener más información, consulte Actualización del tiempo de inactividad.

Reglas del oyente

Al crear un oyente, debe especificar una regla para las solicitudes de redirección. Esta regla reenvíe las solicitudes al grupo de destino especificado. Para actualizar esta regla, consulte Actualizar un oyente para el equilibrador de carga de red.

Oyentes seguros

Para utilizar un agente de escucha TLS, debe implementar al menos un certificado de servidor en el balanceador de carga. El balanceador de carga utiliza un certificado de servidor para terminar la conexión frontend y descifrar las solicitudes de los clientes antes de enviarlas a los destinos. Tenga en cuenta que si necesita transferir tráfico cifrado a los destinos sin que el equilibrador de carga lo descifre, debe crear un oyente de TCP en el puerto 443 en lugar de crear un oyente de TLS. El equilibrador de carga transfiere la solicitud al destino tal cual, sin descifrarla.

Elastic Load Balancing utiliza una configuración de negociación de TLS, lo que se conoce como política de seguridad, para negociar las conexiones de TLS entre un cliente y el equilibrador de carga. Una política de seguridad es una combinación de protocolos y cifrados. El protocolo establece una conexión segura entre un cliente y un servidor, y garantiza que todos los datos transferidos entre el cliente y el equilibrador de carga son privados. Un cifrado es un algoritmo de cifrado que usa claves de cifrado para crear un mensaje codificado. Los protocolos usan diversos cifrados para cifrar los datos a través de Internet. Durante el proceso de negociación de conexiones, el cliente y el equilibrador de carga presentan una lista con los cifrados y protocolos que admite cada uno por orden de preferencia. El primer cifrado de la lista del servidor que coincide con uno de los cifrados del cliente se selecciona para la conexión segura.

Los equilibradores de carga de red no admiten la renegociación de TLS ni la autenticación de TLS mutuo (mTLS). En el caso de la compatibilidad con mTLS, cree un oyente de TCP en lugar de uno de TLS. El equilibrador de carga transmite la solicitud tal cual, de modo que puede implementar mTLS en el destino.

Para ver demostraciones relacionadas, consulte la Compatibilidad con TLS en el equilibrador de carga de red y la Compatibilidad con SNI en el equilibrador de carga de red.

Políticas de ALPN

La negociación de protocolo de capa de aplicación (ALPN) es una extensión TLS que se envía en los mensajes de saludo iniciales de TLS. ALPN permite a la capa de aplicación negociar qué protocolos deben utilizarse a través de una conexión segura, como HTTP/1 y HTTP/2.

Cuando el cliente inicia una conexión de ALPN, el balanceador de carga compara la lista de preferencias de ALPN del cliente con su política de ALPN. Si el cliente admite un protocolo de la política de ALPN, el balanceador de carga establece la conexión en función de la lista de preferencias de la política de ALPN. De lo contrario, el balanceador de carga no utiliza ALPN.

Habilitar conexiones de ALPN

Puede habilitar conexiones de ALPN cuando cree o modifique un agente de escucha TLS. Para obtener más información, consulte Añadir un agente de escucha y Actualizar la política de ALPN.