HTTPS-Listener für VPC Lattice-Dienste - VPCAmazon-Gitter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

HTTPS-Listener für VPC Lattice-Dienste

Ein Listener ist ein Prozess, der Verbindungsanfragen überprüft. Sie definieren einen Listener, wenn Sie Ihren Service erstellen. Sie können Ihrem Service in VPC Lattice jederzeit Listener hinzufügen.

Sie können einen HTTPS-Listener erstellen, der TLS Version 1.2 verwendet, um HTTPS-Verbindungen mit VPC Lattice direkt zu beenden. VPC Lattice stellt ein TLS-Zertifikat bereit und verwaltet es, das dem von VPC Lattice generierten vollqualifizierten Domainnamen (FQDN) zugeordnet ist. VPC Lattice unterstützt TLS auf HTTP/1.1 und HTTP/2. Wenn Sie einen Dienst mit einem HTTPS-Listener konfigurieren, bestimmt VPC Lattice das HTTP-Protokoll automatisch über Application-Layer Protocol Negotiation (ALPN). Wenn ALPN nicht vorhanden ist, verwendet VPC Lattice standardmäßig HTTP/1.1.

VPC Lattice verwendet eine Multi-Tenancy-Architektur, was bedeutet, dass es mehrere Dienste auf demselben Endpunkt hosten kann. VPC Lattice verwendet TLS mit Server Name Indication (SNI) für jede Client-Anfrage.

VPC Lattice kann HTTP, HTTPS, HTTP/1.1 und HTTP/2 abhören und mit Zielen in allen diesen Protokollen und Versionen kommunizieren. Diese Listener- und Zielgruppenkonfigurationen müssen nicht übereinstimmen. VPC Lattice verwaltet den gesamten Prozess des Upgrades und Downgrades zwischen Protokollen und Versionen. Weitere Informationen finden Sie unter Protokollversion.

Um sicherzustellen, dass Ihre Anwendung den Datenverkehr entschlüsselt, erstellen Sie stattdessen einen TLS-Listener. Mit TLS-Passthrough beendet VPC Lattice TLS nicht. Weitere Informationen finden Sie unter TLS-Listener.

Sicherheitsrichtlinie

VPC Lattice verwendet eine Sicherheitsrichtlinie, die eine Kombination aus dem TLSv1.2-Protokoll und einer Liste von SSL/TLS-Chiffren ist. Das Protokoll stellt eine sichere Verbindung zwischen einem Client und einem Server her und trägt dazu bei, dass alle Daten, die zwischen dem Client und Ihrem Dienst in VPC Lattice übertragen werden, privat sind. Ein Verschlüsselungsverfahren ist ein Algorithmus, der eine kodierte Nachricht mithilfe von Verschlüsselungsschlüsseln erstellt. Protokolle verwenden mehrere Chiffren, um Daten zu verschlüsseln. Während des Verbindungsaushandlungsprozesses präsentieren der Client und VPC Lattice eine Liste von Chiffren und Protokollen, die sie jeweils unterstützen, in der Reihenfolge ihrer Präferenz. Standardmäßig wird für die sichere Verbindung die erste Verschlüsselung auf der Liste des Servers ausgewählt, die mit einem der Verschlüsselungsverfahren des Clients übereinstimmt.

VPC Lattice verwendet das TLSv1.2-Protokoll und die folgenden SSL/TLS-Chiffren in dieser Reihenfolge der Präferenz:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA

ALPN-Richtlinie

Application-Layer Protocol Negotiation (ALPN) ist eine TLS-Erweiterung, die bei den ersten TLS-Handshake-Hello-Nachrichten gesendet wird. ALPN ermöglicht es der Anwendungsebene auszuhandeln, welche Protokolle über eine sichere Verbindung wie HTTP/1 und HTTP/2 verwendet werden sollen.

Wenn der Client eine ALPN-Verbindung initiiert, vergleicht der VPC Lattice-Dienst die ALPN-Einstellungsliste des Clients mit seiner ALPN-Richtlinie. Wenn der Client ein Protokoll aus der ALPN-Richtlinie unterstützt, stellt der VPC Lattice-Dienst die Verbindung auf der Grundlage der Präferenzliste der ALPN-Richtlinie her. Andernfalls verwendet der Dienst ALPN nicht.

VPC Lattice unterstützt die folgende ALPN-Richtlinie:

HTTP2Preferred

Bevorzugen Sie HTTP/2 gegenüber HTTP/1.1. Die ALPN-Einstellungsliste lautet h2, http/1.1.

Hinzufügen eines HTTPS-Listeners

Sie konfigurieren einen Listener mit einem Protokoll und einem Port für Verbindungen von Clients zum Dienst und einer Zielgruppe für die Standard-Listener-Regel. Weitere Informationen finden Sie unter Listener-Konfiguration.

Voraussetzungen
  • Um der Standard-Listener-Regel eine Forward-Aktion hinzuzufügen, müssen Sie eine verfügbare VPC Lattice-Zielgruppe angeben. Weitere Informationen finden Sie unter Erstellen Sie eine VPC Lattice-Zielgruppe.

  • Sie können dieselbe Zielgruppe in mehreren Listenern angeben, aber diese Listener müssen demselben VPC Lattice-Dienst angehören. Um eine Zielgruppe mit einem VPC Lattice-Dienst zu verwenden, müssen Sie sicherstellen, dass sie nicht von einem Listener für einen anderen VPC Lattice-Dienst verwendet wird.

  • Sie können das von VPC Lattice bereitgestellte Zertifikat verwenden oder Ihr eigenes Zertifikat in importieren. AWS Certificate Manager Weitere Informationen finden Sie unter Bringen Sie Ihr eigenes Zertifikat (BYOC) für VPC Lattice mit.

So fügen Sie einen HTTPS-Listeners mithilfe der Konsole hinzu
  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich unter VPC Lattice die Option Services aus.

  3. Wählen Sie den Namen des Dienstes aus, um seine Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte Routing die Option Listener hinzufügen aus.

  5. Als Listener-Name können Sie entweder einen benutzerdefinierten Listener-Namen angeben oder das Protokoll und den Port Ihres Listeners als Listener-Namen verwenden. Ein benutzerdefinierter Name, den Sie angeben, kann bis zu 63 Zeichen lang sein und muss für jeden Dienst in Ihrem Konto eindeutig sein. Die gültigen Zeichen sind a-z, 0-9 und Bindestriche (-). Sie können keinen Bindestrich als erstes oder letztes Zeichen oder unmittelbar nach einem anderen Bindestrich verwenden. Sie können den Namen eines Listeners nicht ändern, nachdem Sie ihn erstellt haben.

  6. Wählen Sie für Protocol: Port die Option HTTPS und geben Sie eine Portnummer ein.

  7. Wählen Sie für Standardaktion die VPC Lattice-Zielgruppe aus, die Traffic empfangen soll, und wählen Sie die Gewichtung aus, die dieser Zielgruppe zugewiesen werden soll. Die Gewichtung, die Sie einer Zielgruppe zuweisen, legt fest, dass sie Priorität beim Empfang von Traffic hat. Wenn beispielsweise zwei Zielgruppen dasselbe Gewicht haben, erhält jede Zielgruppe die Hälfte des Traffics. Wenn Sie nur eine Zielgruppe angegeben haben, werden 100 Prozent des Traffics an die eine Zielgruppe gesendet.

    Sie können optional eine weitere Zielgruppe für die Standardaktion hinzufügen. Wählen Sie Aktion hinzufügen und wählen Sie dann eine Zielgruppe aus und geben Sie deren Gewicht an.

  8. (Optional) Um eine weitere Regel hinzuzufügen, wählen Sie Regel hinzufügen und geben Sie dann einen Namen, eine Priorität, eine Bedingung und eine Aktion für die Regel ein.

    Sie können jeder Regel eine Prioritätszahl zwischen 1 und 100 zuweisen. Ein Listener kann nicht über mehrere Regeln mit derselben Priorität verfügen. Regeln werden in der Reihenfolge ihrer Prioritäten bewertet, ausgehend vom niedrigsten Wert hin zum höchsten Wert. Die Standardregel wird zuletzt ausgewertet. Weitere Informationen finden Sie unter Listener-Regeln.

  9. (Optional) Um Tags hinzuzufügen, erweitern Sie Listener-Tags, wählen Sie Neues Tag hinzufügen aus und geben Sie einen Tag-Schlüssel und einen Tag-Wert ein.

  10. Wenn Sie bei der Erstellung des Dienstes keinen benutzerdefinierten Domainnamen angegeben haben, generiert VPC Lattice für HTTPS-Listener-Zertifikatseinstellungen automatisch ein TLS-Zertifikat, um den über den Listener fließenden Datenverkehr zu sichern.

    Wenn Sie den Dienst mit einem benutzerdefinierten Domainnamen erstellt, aber kein passendes Zertifikat angegeben haben, können Sie dies jetzt tun, indem Sie das Zertifikat unter Benutzerdefiniertes SSL/TLS-Zertifikat auswählen. Andernfalls ist das Zertifikat, das Sie bei der Erstellung des Dienstes angegeben haben, bereits ausgewählt.

  11. Überprüfen Sie Ihre Konfiguration und wählen Sie dann Hinzufügen.

Um einen HTTPS-Listener hinzuzufügen, verwenden Sie AWS CLI

Verwenden Sie den Befehl create-listener, um einen Listener mit einer Standardregel zu erstellen, und den Befehl create-rule, um zusätzliche Listener-Regeln zu erstellen.