適用於 VPC 格子服務的 HTTPS 接聽程式 - Amazon VPC 格子
安全政策ALPN 政策新增 HTTPS 接聽程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

適用於 VPC 格子服務的 HTTPS 接聽程式

接聽程式是檢查連線請求的程序。您可以在建立服務時定義接聽程式。您可以隨時將接聽程式新增至您在 VPC Laters 中的服務。

您可以建立 HTTPS 接聽程式,該接聽程式使用 TLS 1.2 版直接終止與 VPC 萊格的 HTTPS 連線。VPC 萊迪思將佈建和管理與 VPC 格子產生的完整網域名稱 (FQDN) 相關聯的 TLS 憑證。VPC 晶格在 HTTP/1.1 和 HTTP/2 上支援 TLS。當您使用 HTTPS 接聽程式設定服務時,VPC 萊迪思會透過應用程式層通訊協定交涉 (ALPN) 自動判斷 HTTP 通訊協定。如果不存在 ALPN,則 VPC 晶格預設為 HTTP/1.1。

VPC 萊迪思使用多租戶架構,這意味著它可以在同一個端點上託管多個服務。VPC 格子會針對每個用戶端要求使用具有伺服器名稱指示 (SNI) 的 TLS。

VPC 晶格可以監聽 HTTP,HTTPS,HTTP/1.1 和 HTTP/2,並在任何這些協議和版本的目標進行通信。這些監聽器和目標群組組態不需要相符。VPC 萊迪思管理協議和版本之間升級和降級的整個過程。如需詳細資訊,請參閱 通訊協定版本

若要確保您的應用程式解密流量,請改為建立 TLS 接聽程式。透過 TLS 直通,VPC 格子不會終止 TLS。如需詳細資訊,請參閱 TLS 接聽程式

安全政策

VPC 格子使用的安全性原則是 TLSv1.2 通訊協定和 SSL/TLS 加密清單的組合。該協議在客戶端和服務器之間建立了安全連接,並有助於確保客戶端和您在 VPC Latters 中的服務之間傳遞的所有數據都是私有的。隨碼是一項加密演算法,使用加密金鑰來建立編碼的訊息。協議使用多個密碼來加密數據。在連線交涉過程中,用戶端和 VPC Latters 會依偏好順序顯示各自支援的密碼和通訊協定清單。在預設情況下,將針對安全連線選取伺服器清單上符合任何用戶端加密的第一個加密。

VPC 格子會依此偏好順序使用 TLSv1.2 通訊協定和下列 SSL/TLS 密碼:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

ALPN 政策

應用程式層通訊協定交涉 (ALPN) 是在初始 TLS 握手打招呼訊息時傳送的 TLS 延伸模組。ALPN 使應用程式層能夠協商哪些通訊協定的使用透過安全的連接 (如 HTTP/1 和 HTTP/2) 來進行。

當用戶端啟動 ALPN 連線時,VPC 萊迪思服務會比較用戶端 ALPN 偏好設定清單與其 ALPN 政策。如果用戶端支援來自 ALPN 原則的通訊協定,則 VPC 萊迪思服務會根據 ALPN 政策的偏好設定清單建立連線。否則,本服務將不使用 ALPN。

VPC 萊迪思支援以下 ALPN 政策:

HTTP2Preferred

更喜歡 HTTP/2 而不是 HTTP /1.1。ALPN 偏好設定清單為 H2、HTTP /1.1。

新增 HTTPS 接聽程式

您可以使用協定和連接埠來設定監聽器,以便從屬端與服務之間的連線,以及預設監聽器規則的目標群組。如需詳細資訊,請參閱 接聽程式組態

必要條件

  • 若要將轉寄動作新增至預設接聽程式規則,您必須指定可用的 VPC Ladds 目標群組。如需詳細資訊,請參閱 建立 VPC 格子目標群組

  • 您可以在多個監聽器中指定相同的目標群組,但這些監聽器必須屬於相同的 VPC Ligess 服務。若要將目標群組與 VPC Latess 服務搭配使用,您必須確認監聽程式未用於任何其他 VPC Latters 服務。

  • 您可以使用 VPC 萊迪思提供的證書或將自己的證書導入到 AWS Certificate Manager. 如需詳細資訊,請參閱 為 VPC 格子攜帶您自己的憑證 (BYOC)

使用主控台新增 HTTPS 接聽程式

  1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在功能窗格的 VPC 格子下,選擇 [服務]。

  3. 選取服務名稱以開啟其詳細資訊頁面。

  4. 在「路由」頁籤上,選擇「新增監聽器」。

  5. 對於監聽器名稱,您可以提供自訂監聽器名稱,或使用監聽器的協定和連接埠作為監聽器名稱。您指定的自訂名稱最多可包含 63 個字元,而且帳戶中的每個服務都必須是唯一的。有效字元包括 a-z、0-9 和連字號 (-)。您不能使用連字號作為第一個或最後一個字元,或緊接在其他連字號之後。建立監聽器之後,就無法變更它的名稱。

  6. 在「通訊協定:連接埠」中,選擇 HTTPS 並輸入通訊埠號碼。

  7. 對於「預設」動作,請選擇要接收流量的 VPC Latters 目標群組,然後選擇要指派給此目標群組的權重。您指派給目標群組的加權會設定其接收流量的優先順序。例如,如果兩個目標群組的權重相同,則每個目標群組會接收一半的流量。如果您只指定了一個目標群組,則 100% 的流量會傳送至一個目標群組。

    您可以選擇性地為預設動作新增其他目標群組。選擇 [新增動作],然後選擇目標群組並指定其權重。

  8. (選擇性) 若要新增其他規則,請選擇「新增規則」,然後輸入規則的名稱、優先順序、條件和動作。

    您可以為每個規則指定介於 1 到 100 之間的優先順序號碼。接聽程式不能擁有多個優先順序相同的規則。依優先順序評估規則,從最低值到最高值。預設規則最後評估。如需詳細資訊,請參閱 接聽程式規則

  9. (選擇性) 若要新增標記,請展開 [監聽程式標籤],選擇 [新增標記],然後輸入標籤鍵和標記值。

  10. 對於 HTTPS 接聽程式憑證設定,如果您在建立服務時未指定自訂網域名稱,則 VPC Ligess 會自動產生 TLS 憑證,以保護流經監聽器的流量安全。

    如果您使用自訂網域名稱建立服務,但並未指定相符的憑證,則現在可以從 Custom SSL/TLS 憑證中選擇憑證來執行此操作。否則,您在建立服務時指定的憑證就會被選擇。

  11. 檢閱您的組態,然後選擇 [新增]。

若要使用 AWS CLI

使用 create- listen 命令建立具有預設規則的監聽器,使用建立規則命令建立其他監聽器規則