Receptores para Network Load Balancers - Elastic Load Balancing

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Receptores para Network Load Balancers

Um receptor é um processo que verifica solicitações de conexão, usando o protocolo e a porta que você configura. Antes de começar a usar o Network Load Balancer, você deve adicionar ao menos um receptor. Se o balanceador de carga não tiver receptores, não poderá receber tráfego de clientes. A regra que você define para um ouvinte determina como o balanceador de carga encaminha as solicitações para os destinos que você registra, como EC2 instâncias.

Configuração do receptor

Os listeners são compatíveis com os seguintes protocolos e portas:

  • Protocolos: TCPTLS,,UDP, TCP _ UDP

  • Ports (Portas): 1-65535

Você pode usar um TLS ouvinte para transferir o trabalho de criptografia e decodificação para seu balanceador de carga, para que seus aplicativos possam se concentrar em sua lógica de negócios. Se o protocolo do ouvinte forTLS, você deverá implantar exatamente um certificado de SSL servidor no ouvinte. Para obter mais informações, consulte Certificados de servidor.

Se você precisar garantir que os destinos descriptografem o TLS tráfego em vez do balanceador de carga, você poderá criar um TCP ouvinte na porta 443 em vez de criar um ouvinte. TLS Com um TCP ouvinte, o balanceador de carga passa o tráfego criptografado para os destinos sem decifrá-lo.

Para oferecer suporte a ambas TCP e UDP na mesma porta, crie um UDP ouvinte TCP _. Os grupos-alvo de um UDP ouvinte TCP _ devem usar o UDP protocolo TCP _.

Para balanceadores de carga de rede de pilha dupla, somente protocolos TCP e TLS protocolos são suportados.

Você pode usar WebSockets com seus ouvintes.

Todo o tráfego de rede enviado para um listener configurado é classificado como tráfego intencional. O tráfego de rede que não corresponde a um listener configurado é classificado como tráfego não intencional. ICMPsolicitações diferentes do Tipo 3 também são consideradas tráfego não intencional. Os Network Load Balancers eliminam o tráfego não intencional sem encaminhá-lo para quaisquer destinos. TCPpacotes de dados enviados à porta do ouvinte para um ouvinte configurado que não são conexões novas ou fazem parte de uma TCP conexão ativa são rejeitados com um TCP reset (). RST

Para obter mais informações, consulte Roteamento de solicitação no Guia do usuário do Elastic Load Balancing.

Atributos do ouvinte

A seguir estão os atributos do ouvinte para balanceadores de carga de rede:

tcp.idle_timeout.seconds

O valor do tempo limite de inatividade do tcp, em segundos. O intervalo válido é de 60 a 6000 segundos. O padrão é 350 segundos.

Para obter mais informações, consulte Atualizar o tempo limite de inatividade.

Regras do listener

Quando você cria um listener, você especifica uma regra para rotear as solicitações. Essa regra encaminha as solicitações para o grupo de destino especificado. Para atualizar essa regra, consulte Atualizar um receptor para o Network Load Balancer.

Ouvintes seguros

Para usar um TLS ouvinte, você deve implantar pelo menos um certificado de servidor em seu balanceador de carga. O load balancer usa um certificado de servidor para encerrar a conexão front-end e para descriptografar solicitações dos clientes antes de enviá-las aos destinos. Observe que, se você precisar passar tráfego criptografado para os destinos sem que o balanceador de carga o decodifique, crie um TCP ouvinte na porta 443 em vez de criar um ouvinte. TLS O balanceador de carga transmite a solicitação para o destino no estado em que ela se encontra, sem descriptografá-la.

O Elastic Load Balancing usa uma configuração de TLS negociação, conhecida como política de segurança, para negociar TLS conexões entre um cliente e o balanceador de carga. Uma política de segurança é uma combinação de cifras e protocolos. O protocolo estabelece uma conexão segura entre um cliente e um servidor, além de garantir que todos os dados passados entre o cliente e o load balancer sejam privados. A cifra é um algoritmo de criptografia que usa chaves de criptografia para criar uma mensagem codificada. Os protocolos usam várias cifras para criptografar dados pela Internet. Durante o processo de negociação de conexão, o cliente e o load balancer apresentam uma lista de cifras e protocolos que cada um suporta, em ordem de preferência. A primeira cifra na lista do servidor que corresponder a qualquer uma das cifras do cliente será selecionada para a conexão segura.

Os Network Load Balancers não oferecem suporte à TLS renegociação ou à TLS autenticação mútua (m). TLS Para meu TLS apoio, crie um TCP ouvinte em vez de um TLS ouvinte. O balanceador de carga passa a solicitação como está, para que você possa implementar m TLS no destino.

Para demonstrações relacionadas, consulte TLSSupport on Network Load Balancer e SNISupport on Network Load Balancer.

ALPNpolíticas

O Application-Layer Protocol Negotiation (ALPN) é uma TLS extensão enviada nas mensagens iniciais TLS de saudação do handshake. ALPNpermite que a camada de aplicação negocie quais protocolos devem ser usados em uma conexão segura, como HTTP /1 e /2. HTTP

Quando o cliente inicia uma ALPN conexão, o balanceador de carga compara a lista de ALPN preferências do cliente com sua política. ALPN Se o cliente oferecer suporte a um protocolo da ALPN política, o balanceador de carga estabelecerá a conexão com base na lista de preferências da ALPN política. Caso contrário, o balanceador de carga não usaALPN.

ALPNPolíticas suportadas

A seguir estão as ALPN políticas suportadas:

HTTP1Only

Negocie somente HTTP /1. *. A lista de ALPN preferências é http/1.1, http/1.0.

HTTP2Only

Negocie apenas HTTP /2. A lista de ALPN preferências é h2.

HTTP2Optional

Prefira HTTP /1. * em vez de HTTP /2 (o que pode ser útil para testes HTTP /2). A lista de ALPN preferências é http/1.1, http/1.0, h2.

HTTP2Preferred

Prefira HTTP /2 em vez de HTTP /1. *. A lista de ALPN preferências é h2, http/1.1, http/1.0.

None

Não negocie. ALPN Esse é o padrão.

Habilitar ALPN conexões

Você pode ativar ALPN conexões ao criar ou modificar um TLS ouvinte. Para ter mais informações, consulte Adicionar um listener e Atualize a ALPN política.