Ouvintes TLS para serviços VPC Lattice - Amazon VPC Lattice
ConsideraçõesAdicionar um ouvinte TLS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ouvintes TLS para serviços VPC Lattice

Um listener é um processo que verifica se há solicitações de conexão. Você pode definir um receptor ao criar seu serviço VPC Lattice. Você pode adicionar receptores ao seu serviço a qualquer momento.

Você pode criar um ouvinte TLS para que o VPC Lattice transmita tráfego criptografado para seus aplicativos sem descriptografá-lo.

Se você preferir que o VPC Lattice decodifique o tráfego criptografado e envie tráfego não criptografado para seus aplicativos, crie um ouvinte HTTPS em vez disso. Para ter mais informações, consulte Listeners HTTPS.

Considerações

As considerações a seguir se aplicam aos ouvintes TLS:

  • O serviço VPC Lattice deve ter um nome de domínio personalizado. O nome de domínio personalizado do serviço é usado como uma correspondência de Indicação de Nome de Serviço (SNI). Se você especificou um certificado ao criar o serviço, ele não será usado.

  • A única regra permitida para um ouvinte TLS é a regra padrão.

  • A ação padrão para um ouvinte TLS deve ser uma ação de encaminhamento para um grupo-alvo TCP.

  • Por padrão, as verificações de saúde estão desativadas para grupos-alvo TCP. Se você habilitar verificações de integridade para um grupo-alvo TCP, deverá especificar um protocolo e uma versão do protocolo.

  • Os ouvintes TLS roteiam solicitações usando o campo SNI da mensagem client-hello. Você pode usar certificados curinga e SAN em seus destinos se a condição correspondente corresponder exatamente ao client-hello.

  • Como todo o tráfego permanece criptografado do cliente para o destino, o VPC Lattice não consegue ler os cabeçalhos HTTP e não pode inserir ou remover cabeçalhos HTTP. Portanto, com um ouvinte TLS, existem as seguintes limitações:

    • A duração da conexão é limitada a 10 minutos

    • As políticas de autenticação são limitadas a diretores anônimos

    • Os alvos Lambda não são compatíveis

Adicionar um ouvinte TLS

Você configura um receptor com um protocolo e uma porta para as conexões de clientes com o serviço, e um grupo de destino para a regra padrão do receptor. Para ter mais informações, consulte Configuração do receptor.

Para adicionar um ouvinte TLS usando o console

  1. Abra o console do Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, em VPC Lattice, escolha Serviços.

  3. Selecione o nome do serviço para abrir sua página de detalhes.

  4. Na guia Roteamento, escolha Adicionar receptor.

  5. Em Nome do receptor, você pode fornecer um nome de receptor personalizado ou usar o protocolo e a porta do seu receptor como o nome do receptor. Um nome personalizado que você especificar pode ter até 63 caracteres e deve ser exclusivo para cada serviço em sua conta. Os caracteres válidos são a-z, 0-9 e hifens (-). Você não pode usar um hífen como primeiro ou último caractere, nem imediatamente após outro hífen. Não é possível alterar o nome de um receptor após criá-lo.

  6. Para Protocolos, escolha TLS. Em Porta, digite um número da porta.

  7. Em Encaminhar para o grupo-alvo, escolha um grupo-alvo do VPC Lattice que use o protocolo TCP para receber o tráfego e escolha o peso a ser atribuído a esse grupo-alvo. Opcionalmente, você pode adicionar outro grupo-alvo. Escolha Adicionar grupo-alvo e, em seguida, escolha um grupo-alvo e insira seu peso.

  8. (Opcional) Para adicionar tags, expanda Tags de receptor, escolha Adicionar nova tag e insira uma chave de tag e valor de tag.

  9. Revise sua configuração e escolha Adicionar.

Para adicionar um ouvinte TLS usando o AWS CLI

Use o comando create-listener para criar um ouvinte com uma regra padrão. Especifique o protocolo TLS_PASSTHROUGH.