HTTPSVPC莱迪思服务的监听器 - Amazon VPC Lattice
安全策略ALPN政策添加HTTPS监听器

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

HTTPSVPC莱迪思服务的监听器

侦听器是用于检查连接请求的进程。您可以在创建服务时定义侦听器。您可以随时在VPC莱迪思为服务添加听众。

您可以创建一个HTTPS监听器,该监听器使用1.2 TLS 版本直接终止与VPC莱迪思的HTTPS连接。VPC莱迪思将提供和管理与莱VPC迪思生成的完全限定域名相关的TLS证书()FQDN。VPC莱迪思支持 HTTP /1.1 TLS 和 /2。HTTP当您配置带有HTTPS侦听器的服务时,VPC莱迪思将通过应用层HTTP协议协商()自动确定协议。ALPN如果不存在,ALPN则VPC莱迪思默认为 /1.1。HTTP

VPC莱迪思使用多租户架构,这意味着它可以在同一个端点上托管多个服务。VPC莱迪思TLS使用服务器名称指示 (SNI) 来处理每个客户端请求。

VPC莱迪思可以监听HTTP、HTTPS、HTTP /1.1 和 HTTP /2,并使用这些协议和版本中的任何一个与目标通信。这些侦听器和目标组配置不需要匹配。VPC莱迪思管理协议和版本之间升级和降级的整个过程。有关更多信息,请参阅 协议版本

为确保您的应用程序解密流量,请改为创建一个TLS侦听器。TLS通过直通,VPC莱迪思不会终止。TLS有关更多信息,请参阅 TLS听众

安全策略

VPC莱迪思使用的安全策略是 TLSv1 .2协议和SSL/TLS密码列表的组合。该协议在客户端和服务器之间建立安全连接,并有助于确保在VPC莱迪思客户端和您的服务之间传递的所有数据都是私密的。密码是使用加密密钥创建编码消息的加密算法。协议使用多种密码对数据进行加密。在连接协商过程中,客户端和VPC莱迪思按优先顺序列出各自支持的密码和协议列表。默认情况下,会为安全连接选择服务器列表中与任何一个客户端的密码匹配的第一个密码。

VPC莱迪思按以下优先顺序使用 TLSv1 .2协议和以下SSL/TLS密码:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

ALPN政策

应用层协议协商 (ALPN) 是在初始TLS握手问候消息上发送的TLS扩展。ALPN使应用层能够通过安全连接(例如 HTTP /1 和 HTTP /2)协商应使用哪些协议。

当客户端启动ALPN连接时,VPC莱迪思服务会将客户端ALPN首选项列表与其ALPN策略进行比较。如果客户端支持ALPN策略中的协议,则VPC莱迪思服务将根据ALPN策略的首选项列表建立连接。否则,该服务将不使用ALPN。

VPC莱迪思支持以下ALPN政策:

HTTP2Preferred

优先选择 HTTP /2 而不是 /1.1。HTTP首ALPN选项列表是 h2,http/1.1。

添加HTTPS监听器

为侦听器配置一个协议和端口,用于从客户端连接到服务,并为默认侦听器规则配置一个目标组。有关更多信息,请参阅 侦听器配置

先决条件

  • 要向默认侦听器规则添加转发操作,必须指定可用的VPC莱迪思目标组。有关更多信息,请参阅 创建VPC莱迪思目标群组

  • 您可以在多个监听器中指定相同的目标组,但这些监听器必须属于同一个VPC莱迪思服务。要将目标组与VPC莱迪思服务配合使用,您必须确认监听器未将其用于任何其他VPC莱迪思服务。

  • 您可以使用VPC莱迪思提供的证书,也可以将自己的证书导入到。 AWS Certificate Manager有关更多信息,请参阅 自带VPC莱迪思证书 (BYOC)

使用控制台添加HTTPS监听器

  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中的VPC莱迪思下,选择服务

  3. 选择服务名称以打开其详细信息页面。

  4. 路由选项卡上,选择添加侦听器

  5. 对于侦听器名称,您可以提供自定义侦听器名称,也可以使用侦听器的协议和端口作为侦听器名称。您指定的自定义名称最多可包含 63 个字符,且对账户中的每项服务必须是唯一的。有效字符:a-z、0-9 和连字符(-)。不能将连字符用作第一个或最后一个字符,也不能紧跟在另一个连字符之后。创建侦听器后,不能更改其名称。

  6. 对于 “协议:端口”,选择HTTPS并输入端口号。

  7. 对于默认操作,选择要接收流量的VPC莱迪思目标组,然后选择要分配给该目标组的权重。为目标组分配的权重可用于设定目标组接收流量的优先级。例如,如果两个目标组具有相同的权重,则每个目标组将接收一半的流量。如果只指定了一个目标组,则 100% 的流量将发送到一个目标组。

    您可以选择为默认操作添加另一个目标组。选择添加操作,然后选择一个目标组并指定其权重。

  8. (可选)要添加其他规则,请选择添加规则,然后输入规则的名称、优先级、条件和操作。

    您可以为每条规则指定一个 1 到 100 之间的优先级编号。侦听器不能具有优先级相同的多个规则。规则是按优先级顺序 (从最低值到最高值) 计算的。最后评估默认规则。有关更多信息,请参阅 侦听器规则

  9. (可选)要添加标签,请展开侦听器标签,选择“添加新标签”,然后输入标签键和标签值。

  10. 对于HTTPS监听器证书设置,如果您在创建服务时未指定自定义域名,VPC莱迪思会自动生成TLS证书来保护流经侦听器的流量。

    如果您使用自定义域名创建了服务,但未指定匹配的证书,则现在可以通过从 “自定义SSL/TLS证书” 中选择证书来完成此操作。否则,选择您在创建服务时指定的证书。

  11. 检查您的配置,然后选择添加

要添加HTTPS监听器,请使用 AWS CLI

使用 create-listener 命令创建具有默认规则的侦听器,并使用 create-rule 命令创建其他侦听器规则。