VPC Lattice 服務的 HTTPS 接聽程式 - Amazon VPC Lattice
安全政策ALPN 政策新增 HTTPS 接聽程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC Lattice 服務的 HTTPS 接聽程式

接聽程式是檢查連線請求的程序。您在建立服務時定義接聽程式。您可以隨時在 VPC Lattice 中將接聽程式新增至服務。

您可以建立 HTTPS 接聽程式,其使用 TLS 1.2 版直接終止與 VPC Lattice 的 HTTPS 連線。VPC Lattice 將佈建和管理與 VPC Lattice 產生的完整網域名稱 (FQDN) 相關聯的 TLS 憑證。VPC Lattice 支援 HTTP/1.1 和 HTTP/2 上的 TLS。當您使用 HTTPS 接聽程式設定服務時,VPC Lattice 會透過 Application-Layer Protocol Negotiation (ALPN) 自動判斷 HTTP 通訊協定。如果沒有 ALPN,VPC Lattice 會預設為 HTTP/1.1。

VPC Lattice 使用多租用戶架構,這表示它可以在相同的端點上託管多個服務。VPC Lattice 會針對每個用戶端請求使用 TLS 搭配伺服器名稱指示 (SNI)。不支援加密的 Client Hello (ECH) 和加密的伺服器名稱指示 (ESNI)。

VPC Lattice 可以接聽 HTTP、HTTP、HTTP/1.1 和 HTTP/2,並與這些通訊協定和版本中的任何目標通訊。這些接聽程式和目標群組組態不需要相符。VPC Lattice 會管理通訊協定和版本之間升級和降級的整個程序。如需詳細資訊,請參閱通訊協定版本

為了確保您的應用程式解密流量,請改為建立 TLS 接聽程式。透過 TLS 傳遞,VPC Lattice 不會終止 TLS。如需詳細資訊,請參閱TLS 接聽程式

安全政策

VPC Lattice 使用安全政策,該政策是 TLSv1.2 通訊協定和 SSL/TLS 密碼清單的組合。通訊協定會在用戶端和伺服器之間建立安全連線,並協助確保用戶端和您在 VPC Lattice 中的服務之間傳遞的所有資料皆為私有。隨碼是一項加密演算法,使用加密金鑰來建立編碼的訊息。通訊協定使用多個密碼來加密資料。在連線交涉程序期間,用戶端和 VPC Lattice 會依偏好列出他們各自支援的加密和通訊協定清單。在預設情況下,將針對安全連線選取伺服器清單上符合任何用戶端加密的第一個加密。

VPC Lattice 依此優先順序使用 TLSv1.2 通訊協定和下列 SSL/TLS 密碼:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

ALPN 政策

Application-Layer Protocol Negotiation (ALPN) 是在初始 TLS 交握 hello 訊息上傳送的 TLS 延伸。ALPN 使應用程式層能夠協商哪些通訊協定的使用透過安全的連接 (如 HTTP/1 和 HTTP/2) 來進行。

當用戶端啟動 ALPN 連線時,VPC Lattice 服務會將用戶端 ALPN 偏好設定清單與其 ALPN 政策進行比較。如果用戶端支援來自 ALPN 政策的通訊協定,VPC Lattice 服務會根據 ALPN 政策的偏好設定清單建立連線。否則,服務不會使用 ALPN。

VPC Lattice 支援下列 ALPN 政策:

HTTP2Preferred

偏好 HTTP/2 over HTTP/1.1。ALPN 偏好設定清單為 h2、http/1.1。

新增 HTTPS 接聽程式

您可以使用通訊協定和連接埠來設定接聽程式,以便從用戶端連線至 服務,以及設定預設接聽程式規則的目標群組。如需詳細資訊,請參閱接聽程式組態

先決條件

  • 若要將轉送動作新增至預設接聽程式規則,您必須指定可用的 VPC Lattice 目標群組。如需詳細資訊,請參閱建立 VPC Lattice 目標群組

  • 您可以在多個接聽程式中指定相同的目標群組,但這些接聽程式必須屬於相同的 VPC Lattice 服務。若要搭配 VPC Lattice 服務使用目標群組,您必須確認接聽程式未將其用於任何其他 VPC Lattice 服務。

  • 您可以使用 VPC Lattice 提供的憑證,或將您自己的憑證匯入 AWS Certificate Manager。如需詳細資訊,請參閱為 VPC Lattice 攜帶您自己的憑證 (BYOC)

使用主控台新增 HTTPS 接聽程式

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中的 VPC Lattice 下,選擇服務

  3. 選取服務的名稱以開啟其詳細資訊頁面。

  4. 路由索引標籤上,選擇新增接聽程式

  5. 對於接聽程式名稱,您可以提供自訂接聽程式名稱,或使用接聽程式的通訊協定和連接埠做為接聽程式名稱。您指定的自訂名稱最多可以有 63 個字元,且您帳戶中的每個服務都必須是唯一的。有效字元為 a-z、0-9 和連字號 (-)。您不能使用連字號做為第一個或最後一個字元,或緊接另一個連字號。您無法在建立接聽程式之後變更接聽程式的名稱。

  6. 針對通訊協定 :連接埠,選擇 HTTPS 並輸入連接埠號碼。

  7. 針對預設動作,選擇 VPC Lattice 目標群組來接收流量,然後選擇要指派給此目標群組的權重。您指派給目標群組的權重會將其優先順序設定為接收流量。例如,如果兩個目標群組具有相同的權重,則每個目標群組都會接收一半的流量。如果您只指定一個目標群組,則 100% 的流量會傳送到一個目標群組。

    您可以選擇性地為預設動作新增另一個目標群組。選擇新增動作,然後選擇目標群組並指定其權重。

  8. (選用) 若要新增另一個規則,請選擇新增規則,然後輸入規則的名稱、優先順序、條件和動作。

    您可以為每個規則提供介於 1 到 100 之間的優先順序數字。接聽程式不能擁有多個優先順序相同的規則。依優先順序評估規則,從最低值到最高值。預設規則最後評估。如需詳細資訊,請參閱接聽程式規則

  9. (選用) 若要新增標籤,請展開接聽程式標籤,選擇新增標籤,然後輸入標籤索引鍵和標籤值。

  10. 對於 HTTPS 接聽程式憑證設定,如果您在建立服務時未指定自訂網域名稱,VPC Lattice 會自動產生 TLS 憑證,以保護流經接聽程式的流量。

    如果您使用自訂網域名稱建立服務,但未指定相符的憑證,則現在可以從自訂 SSL/TLS 憑證中選擇憑證來執行此操作。否則,您建立服務時指定的憑證已選擇。

  11. 檢閱您的組態,然後選擇新增

使用 新增 HTTPS 接聽程式 AWS CLI

使用 create-listener 命令來建立具有預設規則的接聽程式,並使用 create-rule 命令來建立其他接聽程式規則。