Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pendengar untuk Penyeimbang Beban Jaringan Anda
Listener adalah proses yang memeriksa permintaan koneksi, menggunakan protokol dan port yang Anda konfigurasikan. Sebelum Anda mulai menggunakan Network Load Balancer, Anda harus menambahkan setidaknya satu pendengar. Jika penyeimbang beban Anda tidak memiliki pendengar, ia tidak dapat menerima lalu lintas dari klien. Aturan yang Anda tentukan untuk pendengar menentukan cara penyeimbang beban merutekan permintaan ke target yang Anda daftarkan, seperti EC2 instance.
Daftar Isi
Konfigurasi listener
Listener mendukung protokol dan port berikut ini:
-
Protokol:TCP,,TLS, _ UDP TCP UDP
-
Port: 1-65535
Anda dapat menggunakan TLS pendengar untuk menurunkan pekerjaan enkripsi dan dekripsi ke penyeimbang beban Anda sehingga aplikasi Anda dapat fokus pada logika bisnis mereka. Jika protokol listenerTLS, Anda harus menerapkan tepat satu sertifikat SSL server pada listener. Untuk informasi selengkapnya, lihat Sertifikat server.
Jika Anda harus memastikan bahwa target mendekripsi TLS lalu lintas alih-alih penyeimbang beban, Anda dapat membuat TCP pendengar di port 443 alih-alih membuat pendengar. TLS Dengan TCP pendengar, penyeimbang beban meneruskan lalu lintas terenkripsi ke target tanpa mendekripsi.
Untuk mendukung keduanya TCP dan UDP pada port yang sama, buat TCP _ UDP listener. Grup target untuk UDP pendengar TCP _ harus menggunakan UDP protokol TCP _.
UDPPendengar untuk penyeimbang beban dualstack membutuhkan grup target. IPv6
Anda dapat menggunakan WebSockets dengan pendengar Anda.
Semua lalu lintas jaringan yang dikirim ke pendengar yang dikonfigurasi diklasifikasikan sebagai lalu lintas yang dimaksudkan. Lalu lintas jaringan yang tidak cocok pendengar yang dikonfigurasi diklasifikasikan sebagai lalu lintas yang tidak diinginkan. ICMPPermintaan selain Tipe 3 juga dianggap sebagai lalu lintas yang tidak diinginkan. Penyeimbang Beban Jaringan menjatuhkan lalu lintas yang tidak diinginkan tanpa meneruskannya ke target apa pun. TCPpaket data yang dikirim ke port listener untuk pendengar yang dikonfigurasi yang bukan koneksi baru atau bagian dari TCP koneksi aktif ditolak dengan reset (). TCP RST
Untuk informasi lebih lanjut, lihat Perutean permintaan di Panduan Pengguna Elastic Load Balancing.
Atribut pendengar
Berikut ini adalah atribut listener untuk Network Load Balancers:
tcp.idle_timeout.seconds-
Nilai batas waktu idle tcp, dalam hitungan detik. Kisaran yang valid adalah 60-6000 detik. Defaultnya adalah 350 detik.
Untuk informasi selengkapnya, lihat Perbarui batas waktu idle.
Aturan pendengar
Saat membuat pendengar, Anda menentukan aturan untuk merutekan permintaan. Aturan ini meneruskan permintaan ke grup target yang ditentukan. Untuk memperbarui aturan ini, lihat Untuk memperbarui Penyeimbang Beban Jaringan Anda.
Pendengar yang aman
Untuk menggunakan TLS listener, Anda harus menerapkan setidaknya satu sertifikat server pada penyeimbang beban Anda. Penyeimbang beban menggunakan sertifikat server untuk mengakhiri koneksi front-end dan kemudian mendekripsi permintaan dari klien sebelum mengirim mereka ke target. Perhatikan bahwa jika Anda perlu meneruskan lalu lintas terenkripsi ke target tanpa penyeimbang beban mendekripsi, buat TCP pendengar di port 443 alih-alih membuat pendengar. TLS Penyeimbang beban meneruskan permintaan ke target apa adanya, tanpa mendekripsi.
Elastic Load Balancing menggunakan konfigurasi TLS negosiasi, yang dikenal sebagai kebijakan keamanan, untuk menegosiasikan TLS koneksi antara klien dan penyeimbang beban. Kebijakan keamanan adalah kombinasi dari protokol dan sandi. Protokol membuat koneksi aman antara klien dan server dan memastikan bahwa semua data yang diteruskan antara klien dan penyeimbang beban Anda bersifat pribadi. Sandi adalah algoritme enkripsi yang menggunakan kunci enkripsi untuk membuat pesan kode. Protokol menggunakan beberapa sandi untuk mengenkripsi data melalui internet. Selama proses negosiasi koneksi, klien dan penyeimbang beban menyajikan daftar cipher dan protokol yang masing-masing mendukung, dalam urutan preferensi. Cipher pertama pada daftar server yang cocok salah satu klien cipher dipilih untuk koneksi aman.
Network Load Balancer tidak mendukung TLS renegosiasi atau otentikasi timbal balik TLS (m). TLS Untuk TLS dukungan m, buat TCP pendengar alih-alih TLS pendengar. Penyeimbang beban melewati permintaan apa adanya, sehingga Anda dapat menerapkan m TLS pada target.
Untuk demo terkait, lihat TLSSupport on Network Load Balancer dan SNI Support pada Network Load
ALPNkebijakan
Application-Layer Protocol Negotiation (ALPN) adalah TLS ekstensi yang dikirim pada pesan halo TLS jabat tangan awal. ALPNmemungkinkan lapisan aplikasi untuk menegosiasikan protokol mana yang harus digunakan melalui koneksi aman, seperti/1 dan /2. HTTP HTTP
Saat klien memulai ALPN koneksi, penyeimbang beban membandingkan daftar ALPN preferensi klien dengan kebijakannya. ALPN Jika klien mendukung protokol dari ALPN kebijakan, penyeimbang beban menetapkan koneksi berdasarkan daftar preferensi kebijakan. ALPN Jika tidak, penyeimbang beban tidak digunakanALPN.
ALPNKebijakan yang Didukung
Berikut ini adalah ALPN kebijakan yang didukung:
HTTP1Only-
Negosiasi HTTP saja/1. *. Daftar ALPN preferensi adalah http/1.1, http/1.0.
HTTP2Only-
Negosiasi saja/2. HTTP Daftar ALPN preferensi adalah h2.
HTTP2Optional-
Lebih suka HTTP /1. * lebih HTTP /2 (yang dapat berguna untuk pengujian HTTP /2). Daftar ALPN preferensi adalah http/1.1, http/1.0, h2.
HTTP2Preferred-
Lebih suka HTTP /2 di atas HTTP /1. *. Daftar ALPN preferensi adalah h2, http/1.1, http/1.0.
None-
Jangan bernegosiasi. ALPN Ini adalah opsi default.
Aktifkan ALPN Koneksi
Anda dapat mengaktifkan ALPN koneksi saat membuat atau memodifikasi TLS pendengar. Untuk informasi selengkapnya, silakan lihat Tambahkan pendengar dan Perbarui ALPN kebijakan.
