Pendengar TLS untuk layanan VPC Lattice - Kisi VPC Amazon
PertimbanganTambahkan pendengar TLS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pendengar TLS untuk layanan VPC Lattice

Listener adalah proses memeriksa permintaan koneksi. Anda dapat menentukan listener saat membuat layanan VPC Lattice. Anda dapat menambahkan listener ke layanan Anda kapan saja.

Anda dapat membuat pendengar TLS sehingga VPC Lattice meneruskan lalu lintas terenkripsi ke aplikasi Anda tanpa mendekripsi.

Jika Anda lebih suka VPC Lattice mendekripsi lalu lintas terenkripsi dan mengirimkan lalu lintas yang tidak terenkripsi ke aplikasi Anda, buatlah pendengar HTTPS sebagai gantinya. Untuk informasi selengkapnya, lihat Pendengar HTTPS.

Pertimbangan

Pertimbangan berikut berlaku untuk pendengar TLS:

  • Layanan VPC harus memiliki nama domain kustom. Nama domain kustom layanan digunakan sebagai pencocokan Service Name Indication (SNI). Jika Anda menentukan sertifikat saat Anda membuat layanan, itu tidak digunakan.

  • Satu-satunya aturan yang diizinkan untuk pendengar TLS adalah aturan default.

  • Tindakan default untuk pendengar TLS harus berupa tindakan penerusan ke grup target TCP.

  • Secara default, pemeriksaan kesehatan dinonaktifkan untuk grup target TCP. Jika Anda mengaktifkan pemeriksaan kesehatan untuk grup target TCP, Anda harus menentukan protokol dan versi protokol.

  • Pendengar TLS merutekan permintaan menggunakan bidang SNI dari pesan client-hello. Anda dapat menggunakan wildcard dan sertifikat SAN pada target Anda jika kondisi pencocokan sama persis dengan client-hello.

  • Karena semua lalu lintas tetap dienkripsi dari klien ke target, VPC Lattice tidak dapat membaca header HTTP dan tidak dapat menyisipkan atau menghapus header HTTP. Oleh karena itu, dengan pendengar TLS, ada batasan berikut:

    • Durasi koneksi dibatasi hingga 10 menit

    • Kebijakan autentikasi terbatas pada prinsipal anonim

    • Target Lambda tidak didukung

  • Hello Klien Terenkripsi (ECH) tidak didukung.

  • Indikasi Nama Server Terenkripsi (ESNI) tidak didukung.

Tambahkan pendengar TLS

Anda mengkonfigurasi pendengar dengan protokol dan port untuk koneksi dari klien untuk layanan, dan grup target untuk aturan pendengar default. Untuk informasi selengkapnya, lihat Konfigurasi listener.

Untuk menambahkan listener TLS menggunakan konsol

  1. Buka konsol Amazon VPC di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, di bawah VPC Lattice, pilih Layanan.

  3. Pilih nama layanan untuk menampilkan detailnya.

  4. Pada tab Routing, pilih Add listener.

  5. Untuk nama Listener, Anda dapat memberikan nama pendengar kustom atau menggunakan protokol dan port listener Anda sebagai nama listener. Nama kustom yang Anda tentukan dapat memiliki hingga 63 karakter, dan itu harus unik untuk setiap layanan di akun Anda. Karakter yang valid adalah a-z, 0-9, dan tanda hubung (-). Anda tidak dapat menggunakan tanda hubung sebagai karakter pertama atau terakhir, atau segera setelah tanda hubung lainnya. Anda tidak dapat mengubah nama listener setelah membuatnya.

  6. Untuk Protokol, pilih TLS. Untuk Port, masukkan nomor port.

  7. Untuk Forward to target group, pilih grup target VPC Lattice yang menggunakan protokol TCP untuk menerima lalu lintas, dan pilih bobot yang akan ditetapkan ke grup target ini. Anda dapat menambahkan grup target lain secara opsional. Pilih Tambahkan grup target dan kemudian pilih grup target dan masukkan bobotnya.

  8. (Opsional) Untuk menambahkan tag, memperluas tag Listener, pilih Tambahkan tag baru, lalu masukkan kunci tag dan nilai tag.

  9. Tinjau konfigurasi Anda, dan kemudian pilih Tambahkan.

Untuk menambahkan pendengar TLS menggunakan AWS CLI

Gunakan perintah create-listener untuk membuat listener dengan aturan default. Tentukan protokol TLS_PASSTHOUGH.