HTTPSpendengar untuk layanan Lattice VPC - VPCKisi Amazon
Kebijakan keamananALPNkebijakanTambahkan HTTPS pendengar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

HTTPSpendengar untuk layanan Lattice VPC

Listener adalah proses memeriksa permintaan koneksi. Anda menentukan pendengar ketika Anda membuat layanan Anda. Anda dapat menambahkan pendengar ke layanan Anda di VPC Lattice kapan saja.

Anda dapat membuat HTTPS listener, yang menggunakan TLS versi 1.2 untuk menghentikan HTTPS koneksi dengan VPC Lattice secara langsung. VPCLattice akan menyediakan dan mengelola TLS sertifikat yang terkait dengan VPC Lattice yang dihasilkan Fully Qualified Domain Name ()FQDN. VPCLattice mendukung TLS pada HTTP /1.1 dan /2. HTTP Saat Anda mengonfigurasi layanan dengan HTTPS pendengar, VPC Lattice akan secara otomatis menentukan HTTP protokol melalui Application-Layer Protocol Negotiation (). ALPN Jika tidak ALPN ada, VPC Lattice default ke /1.1. HTTP

VPCLattice menggunakan arsitektur multi-tenancy, yang berarti dapat meng-host beberapa layanan pada titik akhir yang sama. VPCLattice menggunakan TLS Indikasi Nama Server (SNI) untuk setiap permintaan klien.

VPCLattice dapat mendengarkanHTTP,, HTTP /1.1HTTPS, dan HTTP /2 dan berkomunikasi dengan target di salah satu protokol dan versi ini. Konfigurasi pendengar dan grup target ini tidak perlu dicocokkan. VPCLattice mengelola seluruh proses upgrade dan downgrade antara protokol dan versi. Untuk informasi selengkapnya, lihat Versi protokol.

Untuk memastikan bahwa aplikasi Anda mendekripsi lalu lintas, buat TLS pendengar sebagai gantinya. Dengan TLS passthrough, VPC Lattice tidak berakhir. TLS Untuk informasi selengkapnya, lihat TLSpendengar.

Kebijakan keamanan

VPCLattice menggunakan kebijakan keamanan yang merupakan kombinasi dari protokol TLSv1 .2 dan SSL TLS daftar/cipher. Protokol menetapkan koneksi aman antara klien dan server dan membantu memastikan bahwa semua data yang dilewatkan antara klien dan layanan Anda di VPC Lattice bersifat pribadi. Sandi adalah algoritme enkripsi yang menggunakan kunci enkripsi untuk membuat pesan kode. Protokol menggunakan beberapa cipher untuk mengenkripsi data. Selama proses negosiasi koneksi, klien dan VPC Lattice menyajikan daftar sandi dan protokol yang masing-masing mereka dukung, sesuai urutan preferensi. Secara default, sandi pertama pada daftar server yang cocok salah satu sandi klien dipilih untuk sambungan aman.

VPCLattice menggunakan protokol TLSv1 .2 dan berikutSSL/TLScipher dalam urutan preferensi ini:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

ALPNkebijakan

Application-Layer Protocol Negotiation (ALPN) adalah TLS ekstensi yang dikirim pada pesan halo TLS jabat tangan awal. ALPNmemungkinkan lapisan aplikasi untuk menegosiasikan protokol mana yang harus digunakan melalui koneksi aman, seperti/1 dan /2. HTTP HTTP

Saat klien memulai ALPN koneksi, layanan VPC Lattice membandingkan daftar ALPN preferensi klien dengan kebijakannya. ALPN Jika klien mendukung protokol dari ALPN kebijakan, layanan VPC Lattice membuat sambungan berdasarkan daftar preferensi kebijakan. ALPN Jika tidak, layanan tidak digunakanALPN.

VPCLattice mendukung ALPN kebijakan berikut:

HTTP2Preferred

Lebih suka HTTP /2 di atas HTTP /1.1. Daftar ALPN preferensi adalah h2, http/1.1.

Tambahkan HTTPS pendengar

Anda mengonfigurasi listener dengan protokol dan port untuk koneksi dari klien ke layanan, dan grup target untuk aturan pendengar default. Untuk informasi selengkapnya, lihat Konfigurasi listener.

Prasyarat

  • Untuk menambahkan tindakan penerusan ke aturan pendengar default, Anda harus menentukan grup target VPC Lattice yang tersedia. Untuk informasi selengkapnya, lihat Buat grup target VPC Lattice.

  • Anda dapat menentukan grup target yang sama di beberapa pendengar, tetapi pendengar ini harus termasuk dalam layanan Lattice yang sama. VPC Untuk menggunakan grup target dengan layanan VPC Lattice, Anda harus memverifikasi bahwa grup tersebut tidak digunakan oleh pendengar untuk layanan VPC Lattice lainnya.

  • Anda dapat menggunakan sertifikat yang disediakan oleh VPC Lattice atau mengimpor sertifikat Anda sendiri ke AWS Certificate Manager. Untuk informasi selengkapnya, lihat Bawa Sertifikat Anda Sendiri (BYOC) untuk VPC Kisi.

Untuk menambahkan HTTPS listener menggunakan konsol

  1. Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, di bawah VPCKisi, pilih Layanan.

  3. Pilih nama layanan untuk membuka halaman detailnya.

  4. Pada tab Routing, pilih Add listener.

  5. Untuk nama Listener, Anda dapat memberikan nama pendengar kustom atau menggunakan protokol dan port listener Anda sebagai nama listener. Nama kustom yang Anda tentukan dapat memiliki hingga 63 karakter, dan itu harus unik untuk setiap layanan di akun Anda. Karakter yang valid adalah a-z, 0-9, dan tanda hubung (-). Anda tidak dapat menggunakan tanda hubung sebagai karakter pertama atau terakhir, atau segera setelah tanda hubung lainnya. Anda tidak dapat mengubah nama pendengar setelah Anda membuatnya.

  6. Untuk Protokol: port, pilih HTTPSdan masukkan nomor port.

  7. Untuk tindakan Default, pilih grup target VPC Lattice untuk menerima lalu lintas dan pilih bobot yang akan ditetapkan ke grup target ini. Bobot yang Anda tetapkan ke grup sasaran menetapkan prioritasnya untuk menerima lalu lintas. Misalnya, jika dua kelompok sasaran memiliki bobot yang sama, masing-masing kelompok sasaran menerima setengah dari lalu lintas. Jika Anda telah menentukan hanya satu kelompok target, maka 100 persen dari lalu lintas dikirim ke satu kelompok target.

    Anda dapat menambahkan grup target lain secara opsional untuk tindakan default. Pilih Tambah tindakan dan kemudian pilih grup target dan tentukan bobotnya.

  8. (Opsional) Untuk menambahkan aturan lain, pilih Tambahkan aturan lalu masukkan nama, prioritas, kondisi, dan tindakan untuk aturan tersebut.

    Anda dapat memberikan setiap aturan nomor prioritas antara 1 dan 100. Listener tidak bisa memiliki beberapa aturan dengan prioritas yang sama. Peraturan dievaluasi dalam urutan prioritas, dari nilai terendah ke nilai tertinggi. Peraturan default dievaluasi terakhir. Untuk informasi selengkapnya, lihat Aturan pendengar.

  9. (Opsional) Untuk menambahkan tag, perluas tag Listener, pilih Tambahkan tag baru, dan masukkan kunci tag dan nilai tag.

  10. Untuk setelan sertifikat HTTPS pendengar, jika Anda tidak menentukan nama domain kustom saat membuat layanan, VPC Lattice secara otomatis menghasilkan TLS sertifikat untuk mengamankan lalu lintas yang mengalir melalui pendengar.

    Jika Anda membuat layanan dengan nama domain kustom, tetapi tidak menentukan sertifikat yang cocok, Anda dapat melakukannya sekarang dengan memilih sertifikat dari SSLTLSCustom/certificate. Jika tidak, sertifikat yang Anda tentukan saat Anda membuat layanan sudah dipilih.

  11. Tinjau konfigurasi Anda, lalu pilih Tambah.

Untuk menambahkan HTTPS pendengar menggunakan AWS CLI

Gunakan perintah create-listener untuk membuat listener dengan aturan default, dan perintah create-rule untuk membuat aturan listener tambahan.