本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
VPC Lattice 服務的 TLS 接聽程式
接聽程式是檢查連線請求的程序。您可以在建立 VPC Lattice 服務時定義接聽程式。您可以隨時將接聽程式新增至服務。
您可以建立 TLS 接聽程式,讓 VPC Lattice 將加密的流量傳遞至您的應用程式,而不會解密。
如果您偏好 VPC Lattice 解密加密流量,並將未加密流量傳送到您的應用程式,請改為建立 HTTPS 接聽程式。如需詳細資訊,請參閱HTTPS 接聽程式。
考量事項
下列考量適用於 TLS 接聽程式:
-
VPC Lattice 服務必須具有自訂網域名稱。服務自訂網域名稱會用作服務名稱指示 (SNI) 比對。如果您在建立服務時指定憑證,則不會使用該憑證。
-
TLS 接聽程式允許的唯一規則是預設規則。
-
TLS 接聽程式的預設動作必須是轉送動作到 TCP 目標群組。
-
預設會停用 TCP 目標群組的運作狀態檢查。如果您啟用 TCP 目標群組的運作狀態檢查,則必須指定通訊協定和通訊協定版本。
-
TLS 接聽程式會使用 client-hello 訊息的 SNI 欄位路由請求。如果相符條件與 client-hello 完全相符,您可以在目標上使用萬用字元和 SAN 憑證。
-
由於所有流量都會從用戶端加密到目標,VPC Lattice 無法讀取 HTTP 標頭,也無法插入或移除 HTTP 標頭。因此,使用 TLS 接聽程式時,存在下列限制:
連線持續時間限制為 10 分鐘
驗證政策僅限於匿名主體
不支援 Lambda 目標
-
不支援加密的 Client Hello (ECH)。
-
不支援加密的伺服器名稱指示 (ESNI)。
新增 TLS 接聽程式
您可以使用通訊協定和連接埠來設定接聽程式,以便從用戶端連線至 服務,以及設定預設接聽程式規則的目標群組。如需詳細資訊,請參閱接聽程式組態。
使用主控台新增 TLS 接聽程式
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中的 VPC Lattice 下,選擇服務。
-
選取服務的名稱以開啟其詳細資訊頁面。
-
在路由索引標籤上,選擇新增接聽程式。
-
對於接聽程式名稱,您可以提供自訂接聽程式名稱,或使用接聽程式的通訊協定和連接埠做為接聽程式名稱。您指定的自訂名稱最多可以有 63 個字元,且您帳戶中的每個服務都必須是唯一的。有效字元為 a-z、0-9 和連字號 (-)。您不能使用連字號做為第一個或最後一個字元,或緊接另一個連字號。您無法在建立接聽程式之後變更接聽程式的名稱。
-
針對通訊協定,選擇 TLS。在連接埠中,輸入連接埠號碼。
-
針對轉送到目標群組,選擇使用 TCP 通訊協定接收流量的 VPC Lattice 目標群組,然後選擇要指派給此目標群組的權重。您可以選擇性地新增另一個目標群組。選擇新增目標群組,然後選擇目標群組並輸入其權重。
-
(選用) 若要新增標籤,請展開接聽程式標籤,選擇新增標籤,然後輸入標籤索引鍵和標籤值。
-
檢閱您的組態,然後選擇新增。
使用 新增 TLS 接聽程式 AWS CLI
使用 create-listener
