TLS-Listener für VPC Lattice-Dienste - Amazon VPC Lattice
ÜberlegungenFügen Sie einen TLS-Listener hinzu

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

TLS-Listener für VPC Lattice-Dienste

Ein Listener ist ein Prozess, der Verbindungsanfragen überprüft. Sie können einen Listener definieren, wenn Sie Ihren VPC Lattice-Dienst erstellen. Sie können Ihrem Service jederzeit Listener hinzufügen.

Sie können einen TLS-Listener erstellen, sodass VPC Lattice verschlüsselten Datenverkehr an Ihre Anwendungen weiterleitet, ohne ihn zu entschlüsseln.

Wenn Sie es vorziehen, dass VPC Lattice verschlüsselten Datenverkehr entschlüsselt und unverschlüsselten Datenverkehr an Ihre Anwendungen sendet, erstellen Sie stattdessen einen HTTPS-Listener. Weitere Informationen finden Sie unter HTTPS-Listener.

Überlegungen

Die folgenden Überlegungen gelten für TLS-Listener:

  • Der VPC Lattice-Dienst muss einen benutzerdefinierten Domainnamen haben. Der benutzerdefinierte Domänenname des Dienstes wird als Übereinstimmung mit Service Name Indication (SNI) verwendet. Wenn Sie bei der Erstellung des Dienstes ein Zertifikat angegeben haben, wird es nicht verwendet.

  • Die einzige Regel, die für einen TLS-Listener zulässig ist, ist die Standardregel.

  • Die Standardaktion für einen TLS-Listener muss eine Weiterleitungsaktion an eine TCP-Zielgruppe sein.

  • Standardmäßig sind Integritätsprüfungen für TCP-Zielgruppen deaktiviert. Wenn Sie Integritätsprüfungen für eine TCP-Zielgruppe aktivieren, müssen Sie ein Protokoll und eine Protokollversion angeben.

  • TLS-Listener leiten Anfragen mithilfe des SNI-Felds der Client-Hello-Nachricht weiter. Sie können Platzhalter- und SAN-Zertifikate für Ihre Ziele verwenden, wenn die entsprechende Bedingung exakt mit der Client-Hello übereinstimmt.

  • Da der gesamte Datenverkehr vom Client zum Ziel verschlüsselt bleibt, kann VPC Lattice die HTTP-Header nicht lesen und keine HTTP-Header einfügen oder entfernen. Daher gelten bei einem TLS-Listener die folgenden Einschränkungen:

    • Die Verbindungsdauer ist auf 10 Minuten begrenzt

    • Authentifizierungsrichtlinien sind auf anonyme Prinzipale beschränkt

    • Lambda-Ziele werden nicht unterstützt

Fügen Sie einen TLS-Listener hinzu

Sie konfigurieren einen Listener mit einem Protokoll und einem Port für Verbindungen von Clients zum Dienst und einer Zielgruppe für die Standard-Listener-Regel. Weitere Informationen finden Sie unter Listener-Konfiguration.

Um einen TLS-Listener mithilfe der Konsole hinzuzufügen

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich unter VPC Lattice die Option Services aus.

  3. Wählen Sie den Namen des Dienstes aus, um seine Detailseite zu öffnen.

  4. Wählen Sie auf der Registerkarte Routing die Option Listener hinzufügen aus.

  5. Als Listener-Name können Sie entweder einen benutzerdefinierten Listener-Namen angeben oder das Protokoll und den Port Ihres Listeners als Listener-Namen verwenden. Ein benutzerdefinierter Name, den Sie angeben, kann bis zu 63 Zeichen lang sein und muss für jeden Dienst in Ihrem Konto eindeutig sein. Die gültigen Zeichen sind a-z, 0-9 und Bindestriche (-). Sie können keinen Bindestrich als erstes oder letztes Zeichen oder unmittelbar nach einem anderen Bindestrich verwenden. Sie können den Namen eines Listeners nicht ändern, nachdem Sie ihn erstellt haben.

  6. Wählen Sie als Protokoll die Option TLS aus. Geben Sie für Port eine Portnummer ein.

  7. Wählen Sie für An Zielgruppe weiterleiten eine VPC-Lattice-Zielgruppe aus, die das TCP-Protokoll für den Empfang des Datenverkehrs verwendet, und wählen Sie die Gewichtung aus, die dieser Zielgruppe zugewiesen werden soll. Sie können optional eine weitere Zielgruppe hinzufügen. Wählen Sie Zielgruppe hinzufügen und wählen Sie dann eine Zielgruppe aus und geben Sie deren Gewicht ein.

  8. (Optional) Um Tags hinzuzufügen, erweitern Sie Listener-Tags, wählen Sie Neues Tag hinzufügen und geben Sie einen Tag-Schlüssel und einen Tag-Wert ein.

  9. Überprüfen Sie Ihre Konfiguration und wählen Sie dann Hinzufügen.

Um einen TLS-Listener hinzuzufügen, verwenden Sie AWS CLI

Verwenden Sie den Befehl create-listener, um einen Listener mit einer Standardregel zu erstellen. Geben Sie das TLS_PASSTHROUGH-Protokoll an.