TLSNetwork Load Balancer 的接聽程式 - Elastic Load Balancing
伺服器憑證安全政策ALPN政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

TLSNetwork Load Balancer 的接聽程式

若要使用TLS監聽器,您必須在負載平衡器上至少部署一個伺服器憑證。負載平衡器使用伺服器憑證終止前端連接,然後解密用戶端的請求,再將它們傳送到目標。請注意,如果您需要將加密流量傳遞給目標,而不需要負載平衡器將其解密,請在連接埠 443 上建立接TCP聽程式,而不是建立TLS接聽程式。負載平衡器會依現狀傳遞請求至目標,而不會將其解密。

Elastic Load Balancing 使用TLS交涉組態 (稱為安全性原則) 來交涉用戶端與負載平衡器之間的TLS連線。安全政策為通訊協定與加密的組合。通訊協定會在用戶端與伺服器之間建立安全連線,並確保在用戶端與負載平衡器之間傳遞的所有資料為私有。隨碼是一項加密演算法,使用加密金鑰來建立編碼的訊息。通訊協定使用多個加密來加密透過網際網路的資料。在連線交涉程序期間,用戶端與負載平衡器會出示它們分別支援的加密和通訊協定的清單 (以偏好的順序)。系統會針對安全連線選取伺服器清單上符合任何用戶端加密的第一個加密。

網路負載平衡器不支援TLS重新交涉或相互TLS驗證 (mTLS)。對於 m TLS 支持,請創建一個TCP監聽器而不是TLS監聽器。負載平衡器會依原樣傳遞要求,因此您可以在目標TLS上實作 m。

若要建立TLS監聽器,請參閱新增接聽程式。如需相關示範,請參閱 TLSNetwork Load Balancer Sup SNIport 和 Network Load Balancer 的支援。

伺服器憑證

負載平衡器需要 X.509 憑證 (伺服器憑證)。憑證為憑證授權機構 (CA) 發出的數位形式身分證明。憑證包含識別資訊、有效期間、公有金鑰、序號和發行者的數位簽章。

建立憑證以搭配您的負載平衡器使用時,您必須指定網域名稱。憑證上的網域名稱必須與自訂網域名稱記錄相符,以便我們可以驗證TLS連線。如果其不相符,就不會加密流量。

您必須為憑證指定完整網域名稱 (FQDN),例如www.example.com或頂點網域名稱,例如example.com。您也可以使用星號 (*) 做為萬用字元,以保護相同網域中的多個網站名稱。請求萬用字元憑證時,星號 (*) 必須在網域名稱的最左方,而且僅能保護一個子網域層級。例如,*.example.com 保護 corp.example.comimages.example.com,但它無法保護 test.login.example.com。另請注意,*.example.com 只可以保護 example.com 的子網域,無法保護 bare 或 apex 網域 (example.com)。萬用字元名稱會顯示於憑證的主體欄位和主體別名延伸。如需公有憑證的詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的請求公有憑證

建議您使用 AWS Certificate Manager (ACM) 為負載平衡器建立憑證。ACM與 Elastic Load Balancing 整合,以便您可以在負載平衡器上部署憑證。如需詳細資訊,請參閱《AWS Certificate Manager 使用者指南》https://docs.aws.amazon.com/acm/latest/userguide/

或者,您可以使用TLS工具建立憑證簽CSR署要求 (CSR),然後取得 CA 簽署以產生憑證,然後將憑證匯入ACM或上傳至 AWS Identity and Access Management (IAM)。如需詳細資訊,請參閱《使用指南》中的〈匯入憑證〉或AWS Certificate Manager 使用指南〉中的〈IAM使用伺服器憑證

支持的關鍵算法

  • RSA位元

  • RSA8 位元

  • RSA位元

  • ECDSA二十六位元

  • ECDSA四十四位元

  • ECDSA位元

預設憑證

建立TLS監聽器時,您必須只指定一個憑證。此憑證稱為預設憑證。您可以在建立TLS監聽器之後取代預設憑證。如需詳細資訊,請參閱更換預設憑證

如果您在憑證清單中指定其他憑證,則只有當用戶端連線而未使用「伺服器名稱指示」(SNI) 通訊協定來指定主機名稱,或者憑證清單中沒有相符的憑證時,才會使用預設憑證。

如果您未指定其他憑證,但需要透過單一負載平衡器託管多個安全應用程式,您可以使用萬用字元憑證,或為憑證中的每個其他網域新增主體替代名稱 (SAN)。

憑證清單

建立TLS監聽器之後,它會有一個預設憑證和一個空白的憑證清單。您可以選擇性將憑證新增至接聽程式的憑證清單。使用憑證清單可讓負載平衡器在相同連接埠上支援多個網域,並為每個網域提供不同的憑證。如需詳細資訊,請參閱將憑證新增至憑證清單

負載平衡器使用支援的智慧型憑證選取演算法SNI。如果用戶端提供的主機名稱符合憑證清單中的單一憑證,負載平衡器會選取此憑證。如果用戶端提供的主機名稱符合憑證清單中的多個憑證,負載平衡器會選取用戶端可支援的最佳憑證。憑證選擇是根據採用下列順序的以下條件:

  • 散列算法(更喜歡SHA)MD5

  • 金鑰長度 (最好是最大)

  • 有效期間

負載平衡器存取日誌項目會指出用戶端指定的主機名稱和向用戶端出示的憑證。如需詳細資訊,請參閱存取日誌項目

憑證續約

每個憑證均附帶有效期間。您必須確保在有效期間結束之前,續約或更換負載平衡器的每個憑證。這包括預設憑證和憑證清單中的憑證。續約或更換憑證不會影響負載平衡器節點收到並且等待路由到運作狀態良好目標的傳輸中請求。續約憑證之後,新請求會使用續約的憑證。更換憑證之後,新請求會使用新的憑證。

您可以如下所示管理憑證續約和更換:

  • 負載平衡器提供 AWS Certificate Manager 並部署在負載平衡器上的憑證可以自動續約。ACM嘗試在憑證到期前更新憑證。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的受管續約

  • 如果您將憑證匯入ACM,則必須監控憑證的到期日,並在憑證到期之前進行續約。如需詳細資訊,請參閱 AWS Certificate Manager 使用者指南中的匯入憑證

  • 如果您將憑證匯入IAM,則必須建立新憑證、將新憑證匯入ACM或IAM、將新憑證新增至負載平衡器,然後從負載平衡器中移除過期的憑證。

安全政策

建立TLS監聽器時,您必須選取安全原則。您可以視需要更新安全政策。如需詳細資訊,請參閱更新安全政策

考量:

  • 此原ELBSecurityPolicy-TLS13-1-2-2021-06則是使用建立之TLS接聽器的預設安全性原則 AWS Management Console。

    • 我們建議使用包含 TLS 1.3 的ELBSecurityPolicy-TLS13-1-2-2021-06安全性原則,並且向後相容於 TLS 1.2。

  • 此原ELBSecurityPolicy-2016-08則是使用建立之TLS接聽器的預設安全性原則 AWS CLI。

  • 您可以選擇用於前端連線的安全性原則,但不能選擇後端連線。

    • 對於後端連線,如果您的接TLS聽程式使用 TLS 1.3 安全性原則,則會使用ELBSecurityPolicy-TLS13-1-0-2021-06安全性原則。否則會將 ELBSecurityPolicy-2016-08 安全政策用於後端連線。

  • 若要符合需要停用特TLS定通訊協定版本的合規性和安全性標準,或是支援需要取代加密的舊版用戶端,您可以使用其中一個ELBSecurityPolicy-TLS-安全性原則。您可以啟用存取記錄以取得傳送至 Network Load Balancer 的TLS要求相關資訊、分析TLS流量模式、管理安全性原則升級,以及疑難排解問題。啟用負載平衡器的存取記錄,並檢查對應的存取記錄項目。如需詳細資訊,請參閱《存取日誌》與《Network Load Balancer 範例查詢》。

  • 您可以分別使用 AWS 帳戶 和 AWS Organizations 服務控制原則 (SCPs) 中的 E lastic Load Balancing 條件索引鍵,來限制您IAM的使用者可以使用哪些安全性原則。如需詳細資訊,請參閱AWS Organizations 使用指南中的服務控制原則 (SCPs)

TLS1.3 安全性政策

Elastic Load Balancing 為網路負載平衡器提供下列 TLS 1.3 安全性原則:

  • ELBSecurityPolicy-TLS13-1-2-2021-06(推薦)

  • ELBSecurityPolicy-TLS13-1-2-Res-2021-06

  • ELBSecurityPolicy-TLS13-1-2-Ext1-2021-06

  • ELBSecurityPolicy-TLS13-1-2-Ext2-2021-06

  • ELBSecurityPolicy-TLS13-1-1-2021-06

  • ELBSecurityPolicy-TLS13-1-0-2021-06

  • ELBSecurityPolicy-TLS13-1-3-2021-06

FIPS安全性原則

聯邦資訊處理標準 (FIPS) 是美國和加拿大政府的一項標準,針對保護敏感資訊的加密模組指定安全性需求。若要深入了解,請參閱AWS 雲端安全性合規頁面上的聯邦資訊處理標準 (FIPS) 140

所有FIPS原則均利用 AWS-LC FIPS 驗證的密碼編譯模組。若要進一步了解,請參閱加密模組驗證程式網站上的 AWS-LC NIST 密碼編譯模組頁面。

Elastic Load Balancing 為 Network Load Balancer 提供下列FIPS安全性原則:

  • ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04(推薦)

  • ELBSecurityPolicy-TLS13-1-2-Ext0-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-2-Ext1-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-2-Ext2-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04

  • ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04

FS 支援的政策

Elastic Load Balancing 為網路負載平衡器提供下列 FS (正向保密) 支援的安全性原則:

  • ELBSecurityPolicy-FS-1-2-Res-2020-10

  • ELBSecurityPolicy-FS-1-2-Res-2019-08

  • ELBSecurityPolicy-FS-1-2-2019-08

  • ELBSecurityPolicy-FS-1-1-2019-08

  • ELBSecurityPolicy-FS-2018-06

TLS1.0-1.2 安全性原則

Elastic Load Balancing 為網路負載平衡器提供下列 TLS 1.0-1.2 安全性原則:

  • ELBSecurityPolicy-TLS-1-2-Ext-2018-06

  • ELBSecurityPolicy-TLS-1-2-2017-01

  • ELBSecurityPolicy-TLS-1-1-2017-01

  • ELBSecurityPolicy-2016-08

  • ELBSecurityPolicy-TLS-1-0-2015-04

  • ELBSecurityPolicy-2015-05(等同於 ELBSecurityPolicy-2016-08)

TLS協議和密碼

TLS 1.3

下表說明可用 TLS 1.3 安全性原則支援的TLS通訊協定和密碼。

注意:ELBSecurityPolicy-置碼已從安全性原則列的原則名稱中移除。

範例:安全性原ELBSecurityPolicy-TLS13-1-2-2021-06則會顯示為TLS13-1-2-2021-06

安全政策 Vertical arrow labeled T1-512-2-021-05 with small tick marks along its length. Vertical bar chart showing data points along a timeline, with a prominent spike. Vertical bar chart icon with three ascending bars representing data visualization. Vertical bar chart showing data points along a timeline from 1-3-1-2-2-2-05. Vertical bar code with numbers 13-1-21-2-05 printed below it. Vertical bar chart with five colored bars representing different time periods. Vertical bar chart showing data points along a timeline from 1-21-05 to 2-4-05.
TLS協議
協議-TLSv1
協議 TLSv1 -1
協議 TLSv1 -2
協議-TLSv1 .3
TLS密碼
TLSAES_ GCM SHA256
TLSAES_ GCM SHA384
TLSCHACHA2_ POLY13 SHA256
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
若要建立使用 TLS 1.3 原則的TLS監聽器,請使用 CLI

使用任何 TLS1.3 安全性原則的建立接聽程式命令。

此範例使用安ELBSecurityPolicy-TLS13-1-2-2021-06全性原則。

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06
修改TLS監聽器以使用 TLS 1.3 原則 CLI

修改偵聽程式命令與任何 TLS1.3 安全性原則搭配使用。

此範例使用安ELBSecurityPolicy-TLS13-1-2-2021-06全性原則。

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-2021-06
檢視監聽器使用的安全原則 CLI

使用描述偵聽程式命令搭配您arn的監聽器。

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0
若要檢視 TLS 1.3 安全性原則的組態,請使用 CLI

搭配任何 TLS1.3 安全性原則使用此describe-ssl-policies命令。

此範例使用安ELBSecurityPolicy-TLS13-1-2-2021-06全性原則。

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-2021-06
FIPS
重要

原則ELBSecurityPolicy-TLS13-1-1-FIPS-2023-04ELBSecurityPolicy-TLS13-1-0-FIPS-2023-04僅針對舊版相容性而提供。雖然他們使用使用 FIPS14 0 模組的FIPS密碼編譯,但它們可能不符合最新的TLS組態NIST指南。

下表說明可用FIPS安全性原則所支援的TLS通訊協定和密碼。

注意:ELBSecurityPolicy-置碼已從安全性原則列的原則名稱中移除。

範例:安全性原ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04則會顯示為TLS13-1-2-FIPS-2023-04

安全政策 Vertical bar chart showing T3-M5-3-2023-04 with a value of 1. Vertical text label with alphanumeric identifier and date information. Vertical text reading "T-1-5-T-1-3-4-5-2023-04" against a white background. Vertical barcode with alphanumeric text T1-S12-E-RIP-2023-04 alongside. Vertical barcode with alphanumeric text T1-512-1-EFRP23-01. Barcode image with vertical lines and numbers below, labeled T1-S12-E-RIP-2023-04. Vertical text reading "T-15-T-15-T-2023-04" with barcode-like appearance. Vertical text reading "T-LST-M-05-2023-04" in black letters on a white background.
TLS協議
協議-TLSv1
協議 TLSv1 -1
協議 TLSv1 -2
協議-TLSv1 .3
TLS密碼
TLSAES_ GCM SHA256
TLSAES_ GCM SHA384
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
建立使用FIPS原則的TLS監聽器 CLI

使用建立偵聽程式命令搭配任何FIPS安全性原則。

此範例使用安ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04全性原則。

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
修改TLS監聽器以使用FIPS原則 CLI

對任FIPS何安全性原則使用修改偵聽程式命令。

此範例使用安ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04全性原則。

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
檢視監聽器使用的安全原則 CLI

使用描述偵聽程式命令搭配您arn的監聽器。

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0
使用檢視安FIPS全性原則的組態 CLI

搭配任何FIPS安全性原則使用此describe-ssl-policies命令。

此範例使用安ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04全性原則。

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04
FS

下表說明可用 FS 支援的安全性原則所支援的TLS通訊協定和密碼。

注意:ELBSecurityPolicy-置碼已從安全性原則列的原則名稱中移除。

範例:安全性原ELBSecurityPolicy-FS-2018-06則會顯示為FS-2018-06

安全政策 ELBSecurityPolicy-2016-08 ELBSecurityPolicy-FS-1-2-Res-2020-10 ELBSecurityPolicy-FS-1-2-Res-2019-08 ELBSecurityPolicy-FS-1-2-2019-08 ELBSecurityPolicy-FS-1-1-2019-08 ELBSecurityPolicy-FS-2018-06
TLS協議
協議-TLSv1
協議 TLSv1 -1
協議 TLSv1 -2
TLS密碼
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
若要建立使用 FS 支援原則的TLS接聽程式,請使用 CLI

使用建立偵聽程式命令搭配任何 FS 支援的安全性原則。

此範例使用安ELBSecurityPolicy-FS-2018-06全性原則。

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-FS-2018-06
修改TLS監聽器以使用 FS 支援的原則 CLI

使用修改偵聽程式命令搭配任何 FS 支援的安全性原則。

此範例使用安ELBSecurityPolicy-FS-2018-06全性原則。

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-FS-2018-06
檢視監聽器使用的安全原則 CLI

使用描述偵聽程式命令搭配您arn的監聽器。

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0
若要檢視 FS 支援的安全性原則的組態,請使用 CLI

使用此命describe-ssl-policies令搭配任何 FS 支援的安全性原則

此範例使用安ELBSecurityPolicy-FS-2018-06全性原則。

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-FS-2018-06
TLS 1.0 - 1.2

下表說明可用 TLS 1.0-1.2 安全性原則所支援的TLS通訊協定和密碼。

注意:ELBSecurityPolicy-置碼已從安全性原則列的原則名稱中移除。

範例:安全性原ELBSecurityPolicy-TLS-1-2-Ext-2018-06則會顯示為TLS-1-2-Ext-2018-06

安全政策 ELBSecurityPolicy-2016-08 ELBSecurityPolicy-TLS-1-2-Ext-2018-06 ELBSecurityPolicy-TLS-1-2-2017-01 ELBSecurityPolicy-TSL-1-1-2017-01 ELBSecurityPolicy-TLS-1-0-2015-04
TLS協議
協議-TLSv1
協議 TLSv1 -1
協議 TLSv1 -2
TLS密碼
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
ECDHE-ECDSA-AES256-SHA
AES128-GCM-SHA256
AES128-SHA256
AES128-SHA
AES256-GCM-SHA384
AES256-SHA256
AES256-SHA
DES-CBC3-SHA

* 除非您必須支援需要 DES-CBC3-SHA 加密的舊版用戶端,否則請勿使用此原則。

若要建立使用 TLS 1.0-1.2 原則的TLS監聽器,請使用 CLI

使用建立接聽程式命令搭配任何 TLS1.0-1.2 支援的安全性原則。

此範例使用安ELBSecurityPolicy-2016-08全性原則。

aws elbv2 create-listener --name my-listener \
--protocol TLS --port 443 \ 
--ssl-policy ELBSecurityPolicy-2016-08
若要修改TLS監聽器以使用 TLS 1.0-1.2 原則,請使用 CLI

修改偵聽程式命令與任何 TLS1.0-1.2 支援的安全性原則搭配使用。

此範例使用安ELBSecurityPolicy-2016-08全性原則。

aws elbv2 modify-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0 \
--ssl-policy ELBSecurityPolicy-2016-08
檢視監聽器使用的安全原則 CLI

使用描述偵聽程式命令搭配您arn的監聽器。

aws elbv2 describe-listener \
--listener-arn arn:aws:elasticloadbalancing:us-east-1:123456789012:listener/app/my-load-balancer/abcdef01234567890/1234567890abcdef0
若要檢視 TLS 1.0-1.2 安全性原則的組態,請使用 CLI

使用此命describe-ssl-policies令搭配任何 TLS1.0-1.2 支援的安全性原則。

此範例使用安ELBSecurityPolicy-2016-08全性原則。

aws elbv2 describe-ssl-policies \
--names ELBSecurityPolicy-2016-08

ALPN政策

應用層協議協商(ALPN)是在初始TLS握手打招呼消息發送的TLS擴展。ALPN可讓應用程式層協商應透過安全連線 (例如 HTTP /1 和 HTTP /2) 使用哪些通訊協定。

當用戶端起始ALPN連線時,負載平衡器會將用戶端ALPN喜好設定清單與其ALPN原則進行比較。如果用戶端支援ALPN原則中的通訊協定,負載平衡器會根據原ALPN則的喜好設定清單建立連線。否則,不會使用負載平衡器ALPN。

支援的ALPN政策

以下是支援的ALPN政策:

HTTP1Only

只需洽談 HTTP /1. *. ALPN偏好設置列表是 HTTP /1.1,HTTP /1.0。

HTTP2Only

僅協商 HTTP /2. ALPN偏好設定清單為 h2。

HTTP2Optional

更喜歡 HTTP /1。* 超過 HTTP /2(這可能對 HTTP /2 測試有用)。ALPN偏好設置列表是 HTTP /1.1,HTTP /1.0,H2。

HTTP2Preferred

更喜歡 HTTP /2 而不是 HTTP /1。*。ALPN首選項列表是 H2,HTTP /1.1,HTTP /1.0。

None

不要談判ALPN。此為預設值。

啟用ALPN連線

您可以在建立或修改TLS監聽器時啟用ALPN連線。如需詳細資訊,請參閱 新增接聽程式更新政ALPN策