HTTPS VPC Lattice 서비스의 리스너 - Amazon VPC Lattice
보안 정책ALPN 정책HTTPS 리스너 추가

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

HTTPS VPC Lattice 서비스의 리스너

리스너는 연결 요청을 확인하는 프로세스입니다. 리스너는 서비스를 생성할 때 정의합니다. 언제든지 VPC Lattice의 서비스에 리스너를 추가할 수 있습니다.

TLS 버전 1.2를 사용하여 VPC Lattice와의 HTTPS 연결을 직접 종료하는 HTTPS리스너를 생성할 수 있습니다. VPC Lattice는 VPC Lattice에서 생성한 정규화된 도메인 이름()과 연결된 TLS 인증서를 프로비저닝하고 관리합니다FQDN. VPC Lattice는 HTTP/1.1 및 HTTP/2TLS에서 를 지원합니다. HTTPS 리스너로 서비스를 구성하면 VPC Lattice는 Application-Layer HTTP 프로토콜 협상()을 통해 프로토콜을 자동으로 결정합니다ALPN. ALPN 이 없는 경우 VPC Lattice는 기본적으로 HTTP/1.1로 설정됩니다.

VPC Lattice는 다중 테넌시 아키텍처를 사용하므로 동일한 엔드포인트에서 여러 서비스를 호스팅할 수 있습니다. VPC Lattice는 모든 클라이언트 요청에 대해 서버 이름 표시(SNI)와 TLS 함께 를 사용합니다.

VPC Lattice는 HTTP, HTTPS, HTTP/1.1 및 HTTP/2에서 수신 대기하고 이러한 프로토콜 및 버전의 대상과 통신할 수 있습니다. 이러한 리스너와 대상 그룹 구성은 일치하지 않아도 됩니다. VPC Lattice는 프로토콜과 버전 간의 업그레이드 및 다운그레이드의 전체 프로세스를 관리합니다. 자세한 내용은 프로토콜 버전 단원을 참조하십시오.

애플리케이션이 트래픽을 복호화하도록 하려면 대신 TLS리스너를 생성합니다. TLS 패스스루를 사용하면 VPC Lattice는 를 종료하지 않습니다TLS. 자세한 내용은 TLS 리스너 단원을 참조하십시오.

보안 정책

VPC Lattice는 TLSv1.2 프로토콜과 SSL/TLS 암호 목록이 결합된 보안 정책을 사용합니다. 프로토콜은 클라이언트와 서버 간에 보안 연결을 설정하고 VPC Lattice에서 클라이언트와 서비스 간에 전달되는 모든 데이터가 비공개인지 확인하는 데 도움이 됩니다. 암호는 코딩된 메시지를 생성하기 위해 암호화 키를 사용하는 암호화 알고리즘입니다. 프로토콜은 여러 개의 암호를 사용해 데이터를 암호화합니다. 연결 협상 프로세스 중에 클라이언트와 VPC Lattice는 각각 지원하는 암호 및 프로토콜 목록을 기본 설정 순서대로 제공합니다. 기본적으로 서버의 목록에서 클라이언트의 암호 중 하나와 일치하는 첫 번째 암호가 보안 연결을 위해 선택됩니다.

VPC Lattice는 TLSv1.2 프로토콜과 다음 SSL/TLS 암호를 이 선호도 순서로 사용합니다.

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

ALPN 정책

Application-Layer 프로토콜 협상(ALPN)은 초기 TLS 핸드셰이크 인사 메시지로 전송되는 TLS 확장입니다. ALPN 를 사용하면 애플리케이션 계층이 HTTP/1 및 HTTP/2와 같은 보안 연결을 통해 사용해야 하는 프로토콜을 협상할 수 있습니다.

클라이언트가 ALPN 연결을 시작하면 VPC Lattice 서비스는 클라이언트 ALPN 기본 설정 목록을 ALPN 정책과 비교합니다. 클라이언트가 ALPN 정책의 프로토콜을 지원하는 경우 VPC Lattice 서비스는 ALPN 정책의 기본 설정 목록을 기반으로 연결을 설정합니다. 그렇지 않으면 서비스는 를 사용하지 않습니다ALPN.

VPC Lattice는 다음 ALPN 정책을 지원합니다.

HTTP2Preferred

HTTP/1.1보다 HTTP/2를 선호합니다. ALPN 기본 설정 목록은 h2, http/1.1입니다.

HTTPS 리스너 추가

리스너에서 클라이언트에서 서비스로의 연결을 위한 프로토콜 및 포트 번호와 기본 리스너 규칙에 대한 대상 그룹을 구성합니다. 자세한 내용은 리스너 구성 단원을 참조하십시오.

사전 조건

  • 기본 리스너 규칙에 전달 작업을 추가하려면 사용 가능한 VPC Lattice 대상 그룹을 지정해야 합니다. 자세한 내용은 VPC Lattice 대상 그룹 생성 단원을 참조하십시오.

  • 여러 리스너에서 동일한 대상 그룹을 지정할 수 있지만 이러한 리스너는 동일한 VPC Lattice 서비스에 속해야 합니다. 대상 그룹을 VPC Lattice 서비스와 함께 사용하려면 리스너가 다른 VPC Lattice 서비스에 사용하지 않는지 확인해야 합니다.

  • VPC Lattice에서 제공하는 인증서를 사용하거나 자체 인증서를 로 가져올 수 있습니다 AWS Certificate Manager. 자세한 내용은 VPC Lattice용 자체 인증서 가져오기(BYOC) 단원을 참조하십시오.

콘솔을 사용하여 HTTPS 리스너를 추가하려면

  1. 에서 Amazon VPC 콘솔을 엽니다https://console.aws.amazon.com/vpc/.

  2. 탐색 창의 VPC Lattice에서 서비스 를 선택합니다.

  3. 서비스 이름을 선택하여 세부 정보 페이지를 엽니다.

  4. 라우팅 탭에서 리스너 추가를 선택합니다.

  5. 리스너 이름에서 사용자 지정 리스너 이름을 제공하거나 리스너의 프로토콜과 포트를 리스너 이름으로 사용할 수 있습니다. 지정할 사용자 지정 이름은 최대 63자까지 가능하며 계정의 모든 서비스마다 고유해야 합니다. 유효한 문자는 a~z, 0~9, 하이픈(–)입니다. 하이픈은 첫 문자 또는 마지막 문자로 사용할 수도 없고 다른 하이픈 바로 뒤에 사용할 수도 없습니다. 리스너를 생성한 후에는 리스너의 이름을 변경할 수 없습니다.

  6. 프로토콜 : 포트 에서 를 HTTPS 선택하고 포트 번호를 입력합니다.

  7. 기본 작업 에서 트래픽을 수신할 VPC Lattice 대상 그룹을 선택하고 이 대상 그룹에 할당할 가중치를 선택합니다. 대상 그룹에 할당하는 가중치는 트래픽을 수신할 우선 순위를 설정합니다. 예를 들어, 두 대상 그룹의 가중치가 같으면 각 대상 그룹은 트래픽의 절반을 수신합니다. 대상 그룹을 하나만 지정한 경우에는 트래픽의 100%가 하나의 대상 그룹으로 전송됩니다.

    필요한 경우 기본 작업에 다른 대상 그룹을 추가할 수 있습니다. 작업 추가를 선택한 다음 대상 그룹을 선택하고 가중치를 지정합니다.

  8. (선택 사항) 다른 규칙을 추가하려면 규칙 추가를 선택한 다음, 규칙의 이름, 우선 순위, 조건 및 작업을 입력합니다.

    각 규칙에 1에서 100 사이의 우선 순위 번호를 부여할 수 있습니다. 리스너는 우선 순위가 동일한 규칙을 여러 개 자질 수 없습니다. 규칙은 가장 낮은 값에서 가장 높은 값에 이르기까지 우선 순위에 따라 평가됩니다. 기본 규칙은 마지막에 평가됩니다. 자세한 내용은 리스너 규칙 단원을 참조하십시오.

  9. (선택 사항) 태그를 추가하려면 리스너 태그를 확장하고 새 태그 추가를 선택하여 태그 키와 태그 값을 입력합니다.

  10. HTTPS 리스너 인증서 설정의 경우 서비스를 생성할 때 사용자 지정 도메인 이름을 지정하지 않은 경우 VPC Lattice는 리스너를 통해 흐르는 트래픽을 보호하기 위해 TLS 인증서를 자동으로 생성합니다.

    사용자 지정 도메인 이름으로 서비스를 생성했지만 일치하는 인증서를 지정하지 않은 경우 사용자 지정 SSL/TLS 인증서에서 인증서를 선택하여 지금 만들 수 있습니다. 그렇지 않으면 서비스를 생성할 때 지정한 인증서가 이미 선택되어 있습니다.

  11. 구성을 검토하고 추가를 선택합니다.

를 사용하여 HTTPS 리스너를 추가하려면 AWS CLI

기본 규칙으로 리스너를 생성하려면 create-listener 명령을, 추가 리스너 규칙을 생성하려면 create-rule 명령을 사용합니다.