Pendengar HTTPS untuk layanan VPC Lattice - VPCKisi Amazon
Kebijakan keamananKebijakan ALPNMenambahkan pendengar HTTPS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pendengar HTTPS untuk layanan VPC Lattice

Listener adalah proses memeriksa permintaan koneksi. Anda menentukan pendengar ketika Anda membuat layanan Anda. Anda dapat menambahkan pendengar ke layanan Anda di VPC Lattice kapan saja.

Anda dapat membuat pendengar HTTPS, yang menggunakan TLS versi 1.2 untuk menghentikan koneksi HTTPS dengan VPC Lattice secara langsung. VPC Lattice akan menyediakan dan mengelola sertifikat TLS yang terkait dengan VPC Lattice generated Fully Qualified Domain Name (FQDN). VPC Lattice mendukung TLS pada HTTP/1.1 dan HTTP/2. Saat Anda mengonfigurasi layanan dengan pendengar HTTPS, VPC Lattice akan secara otomatis menentukan protokol HTTP melalui Application-Layer Protocol Negotiation (ALPN). Jika ALPN tidak ada, VPC Lattice default ke HTTP/1.1.

VPC Lattice menggunakan arsitektur multi-tenancy, yang berarti dapat meng-host beberapa layanan pada titik akhir yang sama. VPC Lattice menggunakan TLS dengan Server Name Indication (SNI) untuk setiap permintaan klien.

VPC Lattice dapat mendengarkan HTTP, HTTPS, HTTP/1.1, dan HTTP/2 dan berkomunikasi dengan target di salah satu protokol dan versi ini. Konfigurasi pendengar dan grup target ini tidak perlu dicocokkan. VPC Lattice mengelola seluruh proses upgrade dan downgrade antara protokol dan versi. Untuk informasi selengkapnya, lihat Versi protokol.

Untuk memastikan bahwa aplikasi Anda mendekripsi lalu lintas, buat pendengar TLS sebagai gantinya. Dengan passthrough TLS, VPC Lattice tidak mengakhiri TLS. Untuk informasi selengkapnya, lihat Pendengar TLS.

Kebijakan keamanan

VPC Lattice menggunakan kebijakan keamanan yang merupakan kombinasi dari protokol TLSv1.2 dan daftar cipher SSL/TLS. Protokol menetapkan koneksi aman antara klien dan server dan membantu memastikan bahwa semua data yang dilewatkan antara klien dan layanan Anda di VPC Lattice bersifat pribadi. Sandi adalah algoritme enkripsi yang menggunakan kunci enkripsi untuk membuat pesan kode. Protokol menggunakan beberapa cipher untuk mengenkripsi data. Selama proses negosiasi koneksi, klien dan VPC Lattice menyajikan daftar sandi dan protokol yang masing-masing mereka dukung, dalam urutan preferensi. Secara default, sandi pertama pada daftar server yang cocok salah satu sandi klien dipilih untuk sambungan aman.

VPC Lattice menggunakan protokol TLSv1.2 dan cipher SSL/TLS berikut dalam urutan preferensi ini:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

Kebijakan ALPN

Application-Layer Protocol Negotiation (ALPN) adalah ekstensi TLS yang dikirim pada pesan halo jabat tangan TLS awal. ALPN memungkinkan lapisan aplikasi untuk menegosiasikan protokol mana yang harus digunakan melalui koneksi aman, seperti HTTP/1 dan HTTP/2.

Ketika klien memulai koneksi ALPN, layanan VPC Lattice membandingkan daftar preferensi ALPN klien dengan kebijakan ALPN-nya. Jika klien mendukung protokol dari kebijakan ALPN, layanan VPC Lattice menetapkan koneksi berdasarkan daftar preferensi kebijakan ALPN. Jika tidak, layanan tidak menggunakan ALPN.

VPC Lattice mendukung kebijakan ALPN berikut:

HTTP2Preferred

Lebih suka HTTP/2 daripada HTTP/1.1. Daftar preferensi ALPN adalah h2, http/1.1.

Menambahkan pendengar HTTPS

Anda mengonfigurasi listener dengan protokol dan port untuk koneksi dari klien ke layanan, dan grup target untuk aturan pendengar default. Untuk informasi selengkapnya, lihat Konfigurasi listener.

Prasyarat

  • Untuk menambahkan tindakan penerusan ke aturan pendengar default, Anda harus menentukan grup target VPC Lattice yang tersedia. Untuk informasi selengkapnya, lihat Buat grup target VPC Lattice.

  • Anda dapat menentukan grup target yang sama di beberapa pendengar, tetapi pendengar ini harus termasuk dalam layanan VPC Lattice yang sama. Untuk menggunakan grup target dengan layanan VPC Lattice, Anda harus memverifikasi bahwa grup tersebut tidak digunakan oleh pendengar untuk layanan VPC Lattice lainnya.

  • Anda dapat menggunakan sertifikat yang disediakan oleh VPC Lattice atau mengimpor sertifikat Anda sendiri ke. AWS Certificate Manager Untuk informasi selengkapnya, lihat Bawa Sertifikat Anda Sendiri (BYOC) untuk Kisi VPC.

Untuk menambahkan listener HTTPS menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, di bawah VPC Lattice, pilih Layanan.

  3. Pilih nama layanan untuk membuka halaman detailnya.

  4. Pada tab Routing, pilih Add listener.

  5. Untuk nama Listener, Anda dapat memberikan nama pendengar kustom atau menggunakan protokol dan port listener Anda sebagai nama listener. Nama kustom yang Anda tentukan dapat memiliki hingga 63 karakter, dan itu harus unik untuk setiap layanan di akun Anda. Karakter yang valid adalah a-z, 0-9, dan tanda hubung (-). Anda tidak dapat menggunakan tanda hubung sebagai karakter pertama atau terakhir, atau segera setelah tanda hubung lainnya. Anda tidak dapat mengubah nama pendengar setelah Anda membuatnya.

  6. Untuk Protokol: port, pilih HTTPS dan masukkan nomor port.

  7. Untuk tindakan Default, pilih grup target VPC Lattice untuk menerima lalu lintas dan pilih bobot yang akan ditetapkan ke grup target ini. Bobot yang Anda tetapkan ke grup sasaran menetapkan prioritasnya untuk menerima lalu lintas. Misalnya, jika dua kelompok sasaran memiliki bobot yang sama, masing-masing kelompok sasaran menerima setengah dari lalu lintas. Jika Anda telah menentukan hanya satu kelompok target, maka 100 persen dari lalu lintas dikirim ke satu kelompok target.

    Anda dapat menambahkan grup target lain secara opsional untuk tindakan default. Pilih Tambah tindakan dan kemudian pilih grup target dan tentukan bobotnya.

  8. (Opsional) Untuk menambahkan aturan lain, pilih Tambahkan aturan lalu masukkan nama, prioritas, kondisi, dan tindakan untuk aturan tersebut.

    Anda dapat memberikan setiap aturan nomor prioritas antara 1 dan 100. Listener tidak bisa memiliki beberapa aturan dengan prioritas yang sama. Peraturan dievaluasi dalam urutan prioritas, dari nilai terendah ke nilai tertinggi. Peraturan default dievaluasi terakhir. Untuk informasi selengkapnya, lihat Aturan pendengar.

  9. (Opsional) Untuk menambahkan tag, perluas tag Listener, pilih Tambahkan tag baru, dan masukkan kunci tag dan nilai tag.

  10. Untuk pengaturan sertifikat pendengar HTTPS, jika Anda tidak menentukan nama domain kustom saat membuat layanan, VPC Lattice secara otomatis menghasilkan sertifikat TLS untuk mengamankan lalu lintas yang mengalir melalui pendengar.

    Jika Anda membuat layanan dengan nama domain kustom, tetapi tidak menentukan sertifikat yang cocok, Anda dapat melakukannya sekarang dengan memilih sertifikat dari sertifikat SSL/TLS Kustom. Jika tidak, sertifikat yang Anda tentukan saat Anda membuat layanan sudah dipilih.

  11. Tinjau konfigurasi Anda, lalu pilih Tambah.

Untuk menambahkan pendengar HTTPS menggunakan AWS CLI

Gunakan perintah create-listener untuk membuat listener dengan aturan default, dan perintah create-rule untuk membuat aturan listener tambahan.