本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
TLSVPC莱迪思服务的监听器
侦听器是用于检查连接请求的进程。您可以在创建VPC莱迪思服务时定义一个监听器。您可以随时向服务添加侦听器。
您可以创建一个TLS监听器,这样VPC莱迪思就可以将加密的流量传递到您的应用程序,而无需对其进行解密。
如果您希望VPC莱迪思解密加密流量并将未加密的流量发送到您的应用程序,请改为创建一个监听器。HTTPS有关更多信息,请参阅 HTTPS听众。
注意事项
以下注意事项适用于TLS听众:
-
VPC莱迪思服务必须有自定义域名。服务自定义域名用作服务名称指示 (SNI) 匹配。如果您在创建服务时指定了证书,则不会使用该证书。
-
允许TLS监听器使用的唯一规则是默认规则。
-
TLS监听器的默认操作必须是向TCP目标组转发操作。
-
默认情况下,TCP目标群体的健康检查处于禁用状态。如果您为TCP目标组启用运行状况检查,则必须指定协议和协议版本。
-
TLS监听器使用客户端 hello 消息的SNI字段路由请求。如果匹配条件与 client-hello 完全匹配,则可以在目标上使用通配符和SAN证书。
-
由于从客户端到目标的所有流量都保持加密状态,因此VPC莱迪思无法读取HTTP标头,也无法插入或删除HTTP标头。因此,对于TLS监听器,存在以下限制:
连接时长限制为 10 分钟
身份验证政策仅限于匿名委托人
不支持 Lambda 目标
添加TLS监听器
为侦听器配置一个协议和端口,用于从客户端连接到服务,并为默认侦听器规则配置一个目标组。有关更多信息,请参阅 侦听器配置。
使用控制台添加TLS监听器
打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/
。 -
在导航窗格中的VPC莱迪思下,选择服务。
-
选择服务名称以打开其详细信息页面。
-
在路由选项卡上,选择添加侦听器。
-
对于侦听器名称,您可以提供自定义侦听器名称,也可以使用侦听器的协议和端口作为侦听器名称。您指定的自定义名称最多可包含 63 个字符,且对账户中的每项服务必须是唯一的。有效字符:a-z、0-9 和连字符(-)。不能将连字符用作第一个或最后一个字符,也不能紧跟在另一个连字符之后。创建侦听器后,不能更改其名称。
-
对于 Protocol(协议),选择 TLS。对于端口,输入端口号。
-
对于转发到目标组,选择使用TCP协议接收流量的VPC莱迪思目标组,然后选择分配给该目标组的权重。您可以选择添加其他目标组。选择 “添加目标组”,然后选择目标组并输入其权重。
-
(可选)要添加标签,请展开侦听器标签,选择“添加新标签”,然后输入标签键和标签值。
-
检查您的配置,然后选择添加。
要添加TLS监听器,请使用 AWS CLI
使用 create-listener 命令使用默认规则创建监听器。指定 TLS _ PASSTHROUGH 协议。
