기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
VPC 래티스 서비스를 위한 TLS 리스너
리스너는 연결 요청을 확인하는 프로세스입니다. VPC Lattice 서비스를 생성할 때 리스너를 정의할 수 있습니다. 언제라도 서비스에 리스너를 추가할 수 있습니다.
VPC Lattice가 암호화된 트래픽을 암호 해독하지 않고 애플리케이션으로 전달하도록 TLS 리스너를 생성할 수 있습니다.
VPC Lattice에서 암호화된 트래픽을 해독하고 암호화되지 않은 트래픽을 애플리케이션으로 보내도록 하려면 HTTPS 리스너를 대신 생성하십시오. 자세한 정보는 HTTPS 리스너을 참조하세요.
고려 사항
TLS 리스너에는 다음과 같은 고려 사항이 적용됩니다.
-
VPC Lattice 서비스에는 사용자 지정 도메인 이름이 있어야 합니다. 서비스 사용자 지정 도메인 이름은 SNI (서비스 이름 표시) 매칭으로 사용됩니다. 서비스를 생성할 때 인증서를 지정한 경우 해당 인증서는 사용되지 않습니다.
-
TLS 리스너에 허용되는 유일한 규칙은 기본 규칙입니다.
-
TLS 리스너의 기본 작업은 TCP 대상 그룹으로의 전달 작업이어야 합니다.
-
기본적으로 TCP 대상 그룹의 상태 확인은 사용하지 않도록 설정되어 있습니다. TCP 대상 그룹에 대한 상태 확인을 활성화하는 경우 프로토콜 및 프로토콜 버전을 지정해야 합니다.
-
TLS 수신기는 client-hello 메시지의 SNI 필드를 사용하여 요청을 라우팅합니다. 일치 조건이 client-hello와 정확히 일치하는 경우 대상에 와일드카드 및 SAN 인증서를 사용할 수 있습니다.
-
클라이언트에서 타겟으로 향하는 모든 트래픽은 암호화된 상태로 유지되므로 VPC Lattice는 HTTP 헤더를 읽을 수 없으며 HTTP 헤더를 삽입하거나 제거할 수 없습니다. 따라서 TLS 리스너에는 다음과 같은 제한이 있습니다.
연결 시간은 10분으로 제한됩니다.
인증 정책은 익명의 보안 주체로 제한됩니다.
Lambda 타겟은 지원되지 않습니다.
TLS 리스너 추가
리스너에서 클라이언트에서 서비스로의 연결을 위한 프로토콜 및 포트 번호와 기본 리스너 규칙에 대한 대상 그룹을 구성합니다. 자세한 정보는 리스너 구성을 참조하세요.
콘솔을 사용하여 TLS 리스너를 추가하려면
https://console.aws.amazon.com/vpc/
에서 Amazon VPC 콘솔을 여세요. -
탐색 창의 VPC Lattice에서 서비스를 선택합니다.
-
서비스 이름을 선택하여 세부 정보 페이지를 엽니다.
-
라우팅 탭에서 리스너 추가를 선택합니다.
-
리스너 이름에서 사용자 지정 리스너 이름을 제공하거나 리스너의 프로토콜과 포트를 리스너 이름으로 사용할 수 있습니다. 지정할 사용자 지정 이름은 최대 63자까지 가능하며 계정의 모든 서비스마다 고유해야 합니다. 유효한 문자는 a~z, 0~9, 하이픈(–)입니다. 하이픈은 첫 문자 또는 마지막 문자로 사용할 수도 없고 다른 하이픈 바로 뒤에 사용할 수도 없습니다. 리스너를 생성한 후에는 리스너의 이름을 변경할 수 없습니다.
-
프로토콜에서 TCP를 선택합니다. 포트에 포트 번호를 입력합니다.
-
대상 그룹 전달에서 TCP 프로토콜을 사용하여 트래픽을 수신하는 VPC Lattice 대상 그룹을 선택하고 이 대상 그룹에 할당할 가중치를 선택합니다. 선택적으로 다른 대상 그룹을 추가할 수 있습니다. 목표 그룹 추가를 선택한 다음 목표 그룹을 선택하고 가중치를 입력합니다.
-
(선택 사항) 태그를 추가하려면 리스너 태그를 확장하고 새 태그 추가를 선택하여 태그 키와 태그 값을 입력합니다.
-
구성을 검토하고 추가를 선택합니다.
를 사용하여 TLS 리스너를 추가하려면 AWS CLI
create-listener 명령을 사용하여 기본 규칙이 적용된 리스너를 생성합니다. TLS_PASSTHROUGH 프로토콜을 지정합니다.