Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Écouteurs pour vos Network Load Balancers
Un écouteur est un processus qui recherche les demandes de connexion à l'aide du protocole et du port que vous avez configurés. Avant de commencer à utiliser votre Network Load Balancer, vous devez ajouter au moins un écouteur. Si votre équilibreur de charge ne possède aucun écouteur, il ne peut pas recevoir le trafic des clients. La règle que vous définissez pour un écouteur détermine la manière dont l'équilibreur de charge achemine les demandes vers les cibles que vous enregistrez, comme les instances EC2.
Table des matières
Configuration des écouteurs
Les écouteurs prennent en charge les protocoles et ports suivants :
-
Protocoles : TCP, TLS, UDP, TCP_UDP, QUIC, TCP_QUIC
-
Ports : 1 à 65535
Vous pouvez utiliser un écouteur TLS pour confier le travail de chiffrement et de déchiffrement à votre équilibreur de charge afin que vos applications puissent se concentrer sur leur logique métier. Si le protocole d'écoute est TLS, vous devez déployer au moins un certificat de serveur SSL sur l'écouteur. Pour de plus amples informations, veuillez consulter Certificats de serveur.
Si vous devez vous assurer que les cibles déchiffrent le trafic TLS plutôt que l'équilibreur de charge, vous pouvez créer un écouteur TCP sur le port 443 au lieu de créer un écouteur TLS. Avec un écouteur TCP, l'équilibreur de charge transmet le trafic chiffré aux cibles sans le déchiffrer.
Vous pouvez utiliser un écouteur QUIC pour accepter le trafic QUIC. Le Network Load Balancer agit comme un équilibreur de charge intermédiaire conformément à. RFC9000
Pour prendre en charge les protocoles TCP et UDP sur le même port, créez un écouteur TCP_UDP. Les groupes cibles pour un écouteur TCP_UDP doivent utiliser le protocole TCP_UDP.
Pour prendre en charge TCP et QUIC sur le même port, créez un écouteur TCP_QUIC. Les groupes cibles d'un écouteur TCP_QUIC doivent utiliser le protocole TCP_QUIC.
Un écouteur UDP pour un équilibreur de charge à double pile nécessite des groupes cibles. IPv6
WebSockets est pris en charge uniquement sur les écouteurs TCP, TLS, TCP_UDP et TCP_QUIC.
Le trafic QUIC ne prend pas en charge la négociation de version. QUIC v1 est la seule version de QUIC prise en charge.
Tout le trafic réseau envoyé vers un écouteur configuré est classé comme trafic prévu. Le trafic réseau qui ne correspond pas à un écouteur configuré est classé comme trafic imprévu. Les demandes ICMP autres que celles de type 3 sont également considérées comme du trafic non prévu. Les Network Load Balancers éliminent le trafic non prévu sans le transférer vers aucune cible. Les paquets de données TCP envoyés au port de l’écouteur pour un écouteur configuré qui ne sont pas de nouvelles connexions ou ne font pas partie d'une connexion TCP active sont rejetés avec une réinitialisation TCP (RST).
Pour plus d'informations, veuillez consulter Demande de routage (langue française non garantie) dans le Guide de l'utilisateur Elastic Load Balancing.
Actions par défaut
Lorsque vous créez un écouteur, vous spécifiez une action par défaut pour le routage des demandes. L'action par défaut transmet les demandes aux groupes cibles que vous spécifiez.
Répartissez le trafic vers plusieurs groupes cibles
Si vous spécifiez plusieurs groupes cibles pour une action par défaut, les demandes sont distribuées à ces groupes cibles en fonction de leur pondération relative. Vous devez spécifier un poids compris entre 0 et 999 pour chaque groupe cible. Un groupe cible dont le poids est égal à 0 ne reçoit aucun trafic. Après avoir ajouté un groupe cible ou mis à jour les pondérations du groupe cible, les nouvelles connexions sont routées en fonction des nouvelles pondérations du groupe cible. Les connexions existantes ne sont pas affectées et se poursuivent jusqu'à ce qu'elles soient fermées, comme d'habitude.
Par exemple, si vous spécifiez deux groupes cibles, chacun ayant une pondération de 10, chaque groupe cible reçoit la moitié des demandes. Si vous spécifiez deux groupes cibles, l'un avec un poids de 10 et l'autre avec un poids de 20, le groupe cible avec un poids de 20 reçoit deux fois plus de demandes que le groupe cible avec un poids de 10.
Un cas d'utilisation courant est la migration du trafic d'un groupe cible vers un autre. Cela signifie que vous augmentez progressivement le poids du nouveau groupe cible tout en diminuant le poids du groupe cible d'origine jusqu'à ce qu'il soit égal à 0. Si vous mettez à jour le poids d'un groupe cible à 0, après un court laps de temps, il ne reçoit aucune nouvelle connexion et les connexions existantes sont fermées.
Sessions permanentes et groupes cibles pondérés
Les actions de transfert sur les auditeurs peuvent indiquer s'il faut activer l'adhérence du groupe cible. Lorsqu'elle est activée, l'adhérence du groupe cible fait en sorte que les connexions suivantes provenant de la même adresse IP source privilégient le groupe cible précédemment sélectionné.
Considérations
-
Pour les écouteurs TLS, vous ne pouvez pas ajouter à la fois des groupes cibles TCP et des groupes cibles TLS à la règle du récepteur. Tous les groupes cibles doivent utiliser le même protocole.
-
Pour les écouteurs TLS, l'adhérence au groupe cible n'est pas prise en charge.
-
Pour les équilibreurs de charge à double pile, vous ne pouvez pas ajouter à la fois des groupes IPv4 cibles et des groupes IPv6 cibles à la même action par défaut. Dans l'action par défaut, tous les groupes cibles doivent utiliser le même type d'adresse IP.
-
Pour les auditeurs, si une action de transfert contient plusieurs groupes cibles et que le caractère collant est activé pour l'un d'entre eux, le caractère collant du groupe cible doit également être activé pour l'action de transfert.
Attributs de l'écouteur
Les attributs d'écouteur pour les équilibreurs de charge réseau sont les suivants :
tcp.idle_timeout.seconds-
La valeur du délai d'inactivité TCP, en secondes. La plage valide est comprise entre 60 et 6 000 secondes. La valeur par défaut est de 350 secondes.
Pour de plus amples informations, veuillez consulter Mettre à jour le délai d'inactivité.
Auditeurs sécurisés
Pour utiliser un écouteur TLS, vous devez déployer au moins un certificat de serveur sur votre équilibreur de charge. L'équilibreur de charge utilise un certificat de serveur pour mettre fin à la connexion frontale, puis déchiffrer les demandes des clients avant de les envoyer aux cibles. Veuillez noter que si vous devez transmettre du trafic chiffré aux cibles sans que l'équilibreur de charge le déchiffre, créez un écouteur TCP sur le port 443 au lieu de créer un écouteur TLS. L'équilibreur de charge transmet la demande à la cible telle quelle, sans la déchiffrer.
Elastic Load Balancing utilise une configuration de négociation TLS (ou stratégie de sécurité) pour négocier des connexions TLS entre un client et l'équilibreur de charge. Une stratégie de sécurité est une combinaison de protocoles et de chiffrements. Le protocole établit une connexion sécurisée entre un client et un serveur et garantit que toutes les données transmises entre le client et votre équilibreur de charge sont privées. Un chiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Les protocoles utilisent plusieurs chiffrements pour chiffrer les données sur Internet. Pendant le processus de négociation de connexion , le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. Le premier chiffrement sur la liste du serveur qui correspond à l'un des chiffrements du client est sélectionné pour la connexion sécurisée.
Les équilibreurs de charge réseau ne prennent pas en charge l'authentification TLS mutuelle (MTL). Pour la prise en charge de mTLS, créez un écouteur TCP au lieu d'un écouteur TLS. L'équilibreur de charge transmet la demande en l'état pour que vous puissiez implémenter mTLS sur la cible.
Les équilibreurs de charge réseau prennent en charge la reprise du protocole TLS à l'aide de PSK pour TLS 1.3 et de tickets de session pour TLS 1.2 et versions antérieures. Les reprises avec ID de session, ou lorsque plusieurs certificats sont configurés dans l'écouteur à l'aide du SNI, ne sont pas prises en charge. La fonctionnalité de données 0-RTT et l'extension early_data ne sont pas implémentées.
Pour les démonstrations associées, veuillez consulter Prise en charge de TLS sur Network Load Balancer
Stratégies ALPN
Application-Layer Protocol Negotiation (ALPN) est une extension TLS qui est envoyée sur les messages de liaison Hello TLS initiaux. ALPN permet à la couche d'application de négocier les protocoles à utiliser sur une connexion sécurisée, telle que HTTP/1 et HTTP/2.
Lorsque le client lance une connexion ALPN, l'équilibreur de charge compare la liste des préférences ALPN client à sa stratégie ALPN. Si le client prend en charge un protocole de la stratégie ALPN, l'équilibreur de charge établit la connexion en fonction de la liste des préférences de la stratégie ALPN. Sinon, l'équilibreur de charge n'utilise pas ALPN.
Stratégies ALPN prises en charge
Les stratégies ALPN prises en charge sont les suivantes :
HTTP1Only-
Négocier uniquement HTTP/1.*. La liste des préférences ALPN est http/1.1, http/1.0.
HTTP2Only-
Négocier uniquement HTTP/2. La liste des préférences ALPN est h2.
HTTP2Optional-
Privilégiez HTTP/1.* par rapport à HTTP/2 (ce qui peut être utile pour les tests HTTP/2). La liste des préférences ALPN est http/1.1, http/1.0, h2.
HTTP2Preferred-
Privilégiez HTTP/2 par rapport à HTTP/1.*. La liste des préférences ALPN est h2, http/1.1, http/1.0.
None-
Ne négociez pas ALPN. Il s’agit de l’option par défaut.
Activer les connexions ALPN
Vous pouvez activer les connexions ALPN lorsque vous créez ou modifiez un écouteur TLS. Pour plus d’informations, consultez Ajouter un écouteur et Mettre à jour la stratégie ALPN.
