Receptores HTTPS para serviços VPC Lattice - Amazon VPC Lattice
Política de segurançaPolítica de ALPNAdicionar um receptor HTTPS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Receptores HTTPS para serviços VPC Lattice

Um listener é um processo que verifica se há solicitações de conexão. Você define um receptor ao criar seu serviço. Você pode adicionar receptores ao seu serviço no VPC Lattice a qualquer momento.

Você pode criar um receptor HTTPS, que usa o TLS versão 1.2 para encerrar conexões HTTPS diretamente com o VPC Lattice. O VPC Lattice provisionará e gerenciará um certificado TLS associado ao FQDN gerado pelo VPC Lattice. O VPC Lattice é compatível com TLS em HTTP/1.1 e HTTP/2. Quando você configurar um serviço com um receptor HTTPS, o VPC Lattice determinará automaticamente o protocolo HTTP com a Application-Layer Protocol Negotiation (ALPN). Se a ALPN estiver ausente, o VPC Lattice será padronizado para HTTP/1.1.

O VPC Lattice usa uma arquitetura de multilocação, o que significa que ele pode hospedar vários serviços no mesmo endpoint. O VPC Lattice usa TLS com Server Name Indication (SNI – Indicação de nome do servidor) para cada solicitação de cliente.

O VPC Lattice pode escutar em HTTP, HTTPS, HTTP/1.1 e HTTP/2 e se comunicar com destinos em qualquer um desses protocolos e versões. Essas configurações de receptor e grupo de destino não precisam ser correspondentes. O VPC Lattice gerencia todo o processo de upgrade e downgrade entre protocolos e versões. Para ter mais informações, consulte Versão do protocolo.

Para garantir que seu aplicativo decodifique o tráfego, crie um ouvinte TLS em vez disso. Com a passagem TLS, o VPC Lattice não encerra o TLS. Para ter mais informações, consulte ouvintes TLS.

Política de segurança

O VPC Lattice usa uma política de segurança que é uma combinação do protocolo TLSv1.2 e uma lista de cifras SSL/TLS. O protocolo estabelece uma conexão segura entre um cliente e o servidor, ajudando a garantir que todos os dados transmitidos entre o cliente e seu serviço no VPC Lattice sejam privados. A cifra é um algoritmo de criptografia que usa chaves de criptografia para criar uma mensagem codificada. Os protocolos usam várias cifras para criptografar dados. Durante o processo de negociação de conexão, o cliente e o VPC Lattice apresentam uma lista de cifras e protocolos que cada um suporta, em ordem de preferência. Por padrão, a primeira cifra na lista do servidor que corresponder a qualquer uma das cifras do cliente é selecionada para a conexão segura.

O VPC Lattice usa o protocolo TLSv1.2 e as seguintes cifras SSL/TLS nesta ordem de preferência:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

Política de ALPN

A Application-Layer Protocol Negotiation (ALPN) é uma extensão TLS que é enviada nas mensagens Hello iniciais de handshake de TLS. ALPN permite que a camada do aplicativo negocie quais protocolos devem ser usados em uma conexão segura, como HTTP/1 e HTTP/2.

Quando o cliente inicia uma conexão ALPN, o serviço VPC Lattice compara a lista de preferências de ALPN do cliente com a política de ALPN. Se o cliente oferecer suporte a um protocolo da política de ALPN, o serviço VPC Lattice estabelecerá a conexão com base na lista de preferências da política de ALPN. Caso contrário, o serviço não usará a ALPN.

O VPC Lattice oferece suporte à seguinte política de ALPN:

HTTP2Preferred

Prefira HTTP/2 em vez de HTTP/1.1. A lista de preferência de ALPN é h2, http/1.1.

Adicionar um receptor HTTPS

Você configura um receptor com um protocolo e uma porta para as conexões de clientes com o serviço, e um grupo de destino para a regra padrão do receptor. Para ter mais informações, consulte Configuração do receptor.

Pré-requisitos

  • Para adicionar uma ação de encaminhamento à regra do receptor padrão, você deverá especificar um grupo de destino disponível no VPC Lattice. Para ter mais informações, consulte Criar um grupo de destino do VPC Lattice.

  • Você pode especificar o mesmo grupo de destino em vários receptores, mas esses receptores deverão pertencer ao mesmo serviço VPC Lattice. Para usar um grupo de destino com um serviço VPC Lattice, você deve verificar se ele não está sendo usado por um receptor para nenhum outro serviço VPC Lattice.

  • Você pode usar o certificado fornecido pelo VPC Lattice ou importar seu próprio certificado para o. AWS Certificate Manager Para ter mais informações, consulte Traga seu próprio certificado (BYOC) para o VPC Lattice.

Adicionar um listener HTTPS usando o console

  1. Abra o console do Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, em VPC Lattice, escolha Serviços.

  3. Selecione o nome do serviço para abrir sua página de detalhes.

  4. Na guia Roteamento, escolha Adicionar receptor.

  5. Em Nome do receptor, você pode fornecer um nome de receptor personalizado ou usar o protocolo e a porta do seu receptor como o nome do receptor. Um nome personalizado que você especificar pode ter até 63 caracteres e deve ser exclusivo para cada serviço em sua conta. Os caracteres válidos são a-z, 0-9 e hifens (-). Você não pode usar um hífen como primeiro ou último caractere, nem imediatamente após outro hífen. Não é possível alterar o nome de um receptor após criá-lo.

  6. Em Protocolo: porta, escolha HTTPS e insira um número de porta.

  7. Em Ação padrão, escolha o grupo de destino do VPC Lattice para receber tráfego e escolha o peso a ser atribuído a esse grupo de destino. O peso que você atribui a um grupo de destino define sua prioridade para o recebimento de tráfego. Por exemplo, se dois grupos de destino tiverem o mesmo peso, cada grupo de destino receberá metade do tráfego. Se você tiver especificado apenas um grupo de destino, 100% do tráfego será enviado para um grupo de destino.

    Opcionalmente, você poderá adicionar outro grupo de destino para a ação padrão. Escolha Adicionar ação e, em seguida, escolha um grupo de destino e especifique seu peso.

  8. (Opcional) Para adicionar outra regra, escolha Adicionar regra e insira um nome, uma prioridade, uma condição e uma ação para a regra.

    Você pode atribuir um número de prioridade entre 1 e 100 a cada regra. Um listener não pode ter várias regras com a mesma prioridade. As regras são avaliadas em ordem de prioridade, do valor mais baixo para o valor mais alto. A regra padrão é avaliada por último. Para ter mais informações, consulte Regras do listener.

  9. (Opcional) Para adicionar tags, expanda Tags de receptor, escolha Adicionar nova tag e insira uma chave de tag e valor de tag.

  10. Em Configurações de certificado de receptor HTTPS, se você não tiver especificado um nome de domínio personalizado ao criar o serviço, o VPC Lattice vai gerar automaticamente um certificado TLS para proteger o tráfego que passa pelo receptor.

    Se você tiver criado o serviço com um nome de domínio personalizado, mas não tiver especificado um certificado correspondente, poderá fazer isso agora escolhendo o certificado em Certificado SSL/TLS personalizado. Caso contrário, o certificado que você especificou ao criar o serviço já estará escolhido.

  11. Revise sua configuração e escolha Adicionar.

Para adicionar um ouvinte HTTPS usando o AWS CLI

Use o comando create-listener para criar o receptor com uma regra padrão, e o comando create-rule para definir as regras de receptor adicionais.