Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Listener für Ihre Network Load Balancers
Ein Listener ist ein Prozess, der mit dem Protokoll und dem Port, das bzw. den Sie konfigurieren, Verbindungsanforderungen prüft. Bevor Sie Ihren Network Load Balancer verwenden können, müssen Sie mindestens einen Listener hinzufügen. Wenn Ihr Load Balancer keine Listener hat, kann er keinen Datenverkehr von Clients empfangen. Die Regel, die Sie für einen Listener definieren, bestimmt, wie der Load Balancer Anfragen an die von Ihnen registrierten Ziele weiterleitet, z. B. EC2 Instances.
Inhalt
Listener-Konfiguration
Listener unterstützen die folgenden Protokolle und Ports:
-
Protokolle: TCP, TLS, UDP, TCP_UDP, QUIC, TCP_QUIC
-
Ports: 1-65535
Mit einem TLS-Listener können Sie die Ver- und Entschlüsselung auf Ihren Load Balancer auslagern, damit sich Ihre Anwendungen auf die Geschäftslogik konzentrieren können. Wenn das Listener-Protokoll TLS ist, müssen Sie mindestens ein SSL-Serverzertifikat auf dem Listener bereitstellen. Weitere Informationen finden Sie unter Serverzertifikate.
Wenn Sie sicherstellen müssen, dass die Ziele den TLS-Datenverkehr anstelle des Load Balancers entschlüsseln, können Sie einen TCP-Listener auf Port 443 erstellen, anstatt einen TLS-Listener zu erstellen. Bei einem TCP-Listener leitet der Load Balancer verschlüsselten Datenverkehr an die Ziele weiter, ohne ihn zu entschlüsseln.
Sie können einen QUIC-Listener verwenden, um QUIC-Verkehr zu akzeptieren. Der Network Load Balancer fungiert als Pass-Through-Load Balancer gemäß RFC9 000.
Erstellen Sie zur Unterstützung von TCP und UDP auf demselben Port einen TCP_UDP-Listener. Die Zielgruppen für einen TCP_UDP-Listener müssen das TCP_UDP-Protokoll verwenden.
Um sowohl TCP als auch QUIC auf demselben Port zu unterstützen, erstellen Sie einen TCP_QUIC-Listener. Die Zielgruppen für einen TCP_QUIC-Listener müssen das TCP_QUIC-Protokoll verwenden.
Ein UDP-Listener für einen Dual-Stack-Load Balancer benötigt Zielgruppen. IPv6
WebSockets wird nur auf TCP-, TLS-, TCP_UDP- und TCP_QUIC-Listenern unterstützt.
QUIC-Verkehr unterstützt keine Versionsaushandlung. QUIC v1 ist die einzige unterstützte QUIC-Version.
Der gesamte an einen konfigurierten Listener gesendete Netzwerkdatenverkehr wird als beabsichtigter Datenverkehr klassifiziert. Netzwerkdatenverkehr, der keinem konfigurierten Listener entspricht, wird als unbeabsichtigter Datenverkehr klassifiziert. Andere ICMP-Anfragen als Typ 3 gelten ebenfalls als unbeabsichtigter Datenverkehr. Network Load Balancers lassen unbeabsichtigten Datenverkehr fallen, ohne ihn an Ziele weiterzuleiten. TCP-Datenpakete, die an den Listener-Port für konfigurierte Listener gesendet werden, bei denen es sich nicht um neue Verbindungen oder Teile einer aktiven TCP-Verbindung handelt, werden mit einer TCP-Zurücksetzung (Reset, RST) abgewiesen.
Weitere Informationen finden Sie unter Weiterleitung von Anforderungen im Benutzerhandbuch zu Elastic Load Balancing.
Standardaktionen
Wenn Sie einen Listener erstellen, geben Sie eine Standardaktion für das Routing von Anfragen an. Die Standardaktion leitet Anfragen an die von Ihnen angegebenen Zielgruppen weiter.
Verteilen Sie den Traffic auf mehrere Zielgruppen
Wenn Sie mehrere Zielgruppen für eine Standardaktion angeben, werden Anfragen auf der Grundlage ihrer relativen Gewichtung an diese Zielgruppen verteilt. Sie müssen für jede Zielgruppe eine Gewichtung zwischen 0 und 999 angeben. Eine Zielgruppe mit einer Gewichtung von 0 erhält keinen Traffic. Nachdem Sie eine Zielgruppe hinzugefügt oder die Zielgruppengewichte aktualisiert haben, werden neue Verbindungen auf der Grundlage der neuen Zielgruppengewichte weitergeleitet. Bestehende Verbindungen sind davon nicht betroffen und bestehen, bis sie wie gewohnt geschlossen werden.
Wenn Sie beispielsweise zwei Zielgruppen mit einer Gewichtung von jeweils 10 angeben, erhält jede Zielgruppe die Hälfte der Anfragen. Wenn Sie zwei Zielgruppen angeben, eine mit einer Gewichtung von 10 und die andere mit einer Gewichtung von 20, erhält die Zielgruppe mit einer Gewichtung von 20 doppelt so viele Anfragen wie die Zielgruppe mit einer Gewichtung von 10.
Ein häufiger Anwendungsfall ist die Migration von Traffic von einer Zielgruppe zur anderen. Das bedeutet, dass Sie das Gewicht der neuen Zielgruppe schrittweise erhöhen und gleichzeitig das Gewicht der ursprünglichen Zielgruppe verringern, bis es 0 ist. Wenn Sie die Gewichtung einer Zielgruppe nach kurzer Zeit auf 0 aktualisieren, erhält sie keine neuen Verbindungen und bestehende Verbindungen werden geschlossen.
Wichtige Sessions und gewichtete Zielgruppen
Mit Weiterleitungsaktionen für Zuhörer können Sie festlegen, ob die Zielgruppenbindung aktiviert werden soll. Wenn diese Option aktiviert ist, führt die Zielgruppenbindung dazu, dass nachfolgende Verbindungen von derselben Quell-IP-Adresse aus die zuvor gewählte Zielgruppe bevorzugen.
Überlegungen
-
Bei TLS-Listenern können Sie der Listener-Regel nicht sowohl TCP-Zielgruppen als auch TLS-Zielgruppen hinzufügen. Alle Zielgruppen müssen dasselbe Protokoll verwenden.
-
Für TLS-Listener wird die Zielgruppenbindung nicht unterstützt.
-
Bei Dual-Stack-Loadbalancern können Sie nicht sowohl IPv4 Zielgruppen als auch IPv6 Zielgruppen zu derselben Standardaktion hinzufügen. Alle Zielgruppen in der Standardaktion müssen denselben IP-Adresstyp verwenden.
-
Für Zuhörer gilt: Wenn eine Weiterleitungsaktion mehrere Zielgruppen enthält und für eine von ihnen die Option „Klebrigkeit“ aktiviert ist, muss für die Weiterleitungsaktion auch die Zielgruppen-Klebrigkeit aktiviert sein.
Listener-Attribute
Im Folgenden sind die Listener-Attribute für Network Load Balancer aufgeführt:
tcp.idle_timeout.seconds-
Der TCP-Leerlauf-Timeout-Wert in Sekunden. Der gültige Bereich liegt zwischen 60 und 6000 Sekunden. Die Standardeinstellung ist 350 Sekunden.
Weitere Informationen finden Sie unter Aktualisieren Sie das Leerlauf-Timeout.
Sichere Zuhörer
Um einen TLS-Listener zu verwenden, müssen Sie auf dem Load Balancer mindestens ein Serverzertifikat bereitstellen. Der Load Balancer verwendet ein Serverzertifikat, um die Frontend-Verbindung zu beenden und dann Anfragen von Clients zu entschlüsseln, bevor er sie an die Ziele sendet. Beachten Sie, dass Sie, wenn Sie verschlüsselten Datenverkehr an die Ziele weiterleiten müssen, ohne dass der Load Balancer ihn entschlüsselt, einen TCP-Listener auf Port 443 erstellen, anstatt einen TLS-Listener zu erstellen. Der Load Balancer leitet die Anforderung unverändert an das Ziel weiter, ohne sie zu entschlüsseln.
Elastic Load Balancing verwendet eine TLS-Aushandlungskonfiguration, die als Sicherheitsrichtlinie bezeichnet wird, um TLS-Verbindungen zwischen einem Client und dem Load Balancer auszuhandeln. Eine Sicherheitsrichtlinie ist eine Kombination aus Protokollen und Verschlüsselungen. Das Protokoll stellt eine sichere Verbindung zwischen einem Client und einem Server her und stellt sicher, dass alle Daten, die zwischen dem Client und Ihres Load Balancers übertragen werden, privat sind. Eine Chiffre ist ein Verschlüsselungsalgorithmus, der Verschlüsselungsschlüssel verwendet, um eine codierte Nachricht zu erstellen. Protokolle verwenden mehrere Chiffren, um Daten über das Internet zu verschlüsseln. Während der Verbindungsaushandlung präsentieren der Client und der Load Balancer eine Liste von Verschlüsselungsverfahren und Protokollen, die sie jeweils unterstützen, nach Priorität sortiert. Als sichere Verbindung wird die erste Verschlüsselung auf der Liste des Servers ausgewählt, die mit einem der Verschlüsselungsverfahren des Clients übereinstimmt.
Network Load Balancer unterstützen keine gegenseitige TLS-Authentifizierung (mTLS). Für mTLS-Unterstützung erstellen Sie einen TCP-Listener anstelle eines TLS-Listeners. Der Load Balancer leitet die Anforderung unverändert weiter, sodass Sie mTLS auf dem Ziel implementieren können.
Network Load Balancer unterstützen die TLS-Wiederaufnahme mit PSK für TLS 1.3 und Sitzungstickets für TLS 1.2 und älter. Wiederaufnahmen mit Sitzungs-ID oder wenn mehrere Zertifikate im Listener mithilfe von SNI konfiguriert sind, werden nicht unterstützt. Die 0-RTT-Datenfunktion und die Erweiterung early_data sind nicht implementiert.
Verwandte Demos finden Sie unter TLS-Unterstützung für Network Load Balancer
ALPN-Richtlinien
Application-Layer Protocol Negotiation (ALPN) ist eine TLS-Erweiterung, die als Antwort auf die ersten TLS-Handshake-Hello-Nachrichten gesendet wird. ALPN ermöglicht es der Anwendungsebene auszuhandeln, welche Protokolle über eine sichere Verbindung wie HTTP/1 und HTTP/2 verwendet werden sollen.
Wenn der Client eine ALPN-Verbindung initiiert, vergleicht der Load Balancer die ALPN-Einstellungsliste des Clients mit der ALPN-Richtlinie. Wenn der Client ein Protokoll aus der ALPN-Richtlinie unterstützt, stellt der Load Balancer die Verbindung basierend auf der Einstellungsliste der ALPN-Richtlinie her. Andernfalls verwendet der Load Balancer ALPN nicht.
Unterstützte ALPN-Richtlinien
Im Folgenden werden die unterstützten ALPN-Richtlinien aufgeführt:
HTTP1Only-
Nur HTTP/1.* aushandeln. Die ALPN-Einstellungsliste lautet http/1.1, http/1.0.
HTTP2Only-
Nur HTTP/2 aushandeln. Die ALPN-Einstellungsliste lautet h2.
HTTP2Optional-
HTTP/1.* gegenüber HTTP/2 bevorzugen (kann bei HTTP/2-Tests genutzt werden). Die ALPN-Einstellungsliste lautet http/1.1, http/1.0, h2.
HTTP2Preferred-
HTTP/2 gegenüber HTTP/1.* bevorzugen. Die ALPN-Einstellungsliste lautet h2, http/1.1, http/1.0.
None-
ALPN nicht aushandeln. Dies ist die Standardeinstellung.
ALPN-Verbindungen aktivieren
Sie können ALPN-Verbindungen aktivieren, wenn Sie einen TLS-Listener erstellen oder ändern. Weitere Informationen erhalten Sie unter Hinzufügen eines Listeners und Aktualisieren der ALPN-Richtlinie.
