Verificare che TLS sia abilitato per Amazon ECS Service Connect - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Verificare che TLS sia abilitato per Amazon ECS Service Connect

Service Connect avvia TLS nell'agente Service Connect e lo termina nell'agente di destinazione. Di conseguenza, il codice dell'applicazione non vede mai le interazioni TLS. Seguire questa procedura per verificare che TLS sia abilitato.

  1. Includere la CLI openssl nell'immagine dell'applicazione.

  2. Abilitare ECS Exec sui servizi per connettersi alle attività tramite SSM. In alternativa, puoi avviare un' EC2 istanza Amazon nello stesso Amazon VPC del servizio.

  3. Recuperare l'IP e la porta di un'attività da un servizio che si desidera verificare. Puoi recuperare l'indirizzo IP dell'attività nella console. AWS Cloud Map Le informazioni si trovano nella pagina dei dettagli del servizio relativa al namespace.

  4. Accedere a una qualsiasi delle attività utilizzando execute-command come nell'esempio seguente. In alternativa, accedi all' EC2 istanza Amazon creata nel passaggio 2.

    $ aws ecs execute-command --cluster cluster-name \
    --task task-id  \
    --container container-name \
    --interactive \
    --command "/bin/sh"
    Nota

    La chiamata diretta al nome DNS non rivela il certificato.

  5. Nella shell connessa, utilizzare la CLI openssl per verificare e visualizzare il certificato allegato all'attività.

    Esempio:

    openssl s_client -connect 10.0.147.43:6379 < /dev/null 2> /dev/null \ 
| openssl x509 -noout -text

    Risposta di esempio:

    Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            <serial-number>
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: <issuer>
        Validity
            Not Before: Jan 23 21:38:12 2024 GMT
            Not After : Jan 30 22:38:12 2024 GMT
        Subject: <subject>
        Subject Public Key Info:
            Public Key Algorithm: id-ecPublicKey
                Public-Key: (256 bit)
                pub:
                    <pub>
                ASN1 OID: prime256v1
                NIST CURVE: P-256
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:redis.yelb-cftc
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Authority Key Identifier:
                keyid:<key-id>

            X509v3 Subject Key Identifier:
                1D:<id>
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
    Signature Algorithm: ecdsa-with-SHA256
        <hash>