Network Load Balancer 接聽程式 - Elastic Load Balancing
接聽程式組態接聽程式屬性接聽程式規則安全接聽程式ALPN 政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Network Load Balancer 接聽程式

接聽程式是檢查連線請求的程序,必須使用您已設定的通訊協定與連接埠。開始使用 Network Load Balancer 之前,您必須新增至少一個接聽程式。如果負載平衡器沒有接聽程式,就無法接收來自用戶端的流量。您為接聽程式定義的規則決定負載平衡器如何將請求路由到您註冊的目標,例如EC2執行個體。

目錄

接聽程式組態

接聽程式支援下列通訊協定與連接埠:

  • 通訊協定:TCP、TLS、UDP、TCP_UDP

  • Ports (連接埠):1-65535

您可以使用TLS接聽程式將加密和解密工作卸載至負載平衡器,讓您的應用程式可以專注於其業務邏輯。如果接聽程式通訊協定為 TLS,您必須在接聽程式上僅部署一個SSL伺服器憑證。如需詳細資訊,請參閱伺服器憑證

如果您必須確保目標解密TLS流量而非負載平衡器,則可以在連接埠 443 上建立TCP接聽程式,而不是建立TLS接聽程式。使用TCP接聽程式,負載平衡器會將加密流量傳遞至目標,而不會解密。

若要在同一連接埠UDP上同時支援 TCP和 ,請建立 TCP_UDP 接聽程式。TCP_UDP 接聽程式的目標群組必須使用 TCP_UDP 通訊協定。

對於雙堆疊 Network Load Balancer,僅支援 TCP和 TLS 通訊協定。

您可以 WebSockets 搭配接聽程式使用 。

傳送至設定之接聽程式的所有網路流量皆分類為預期流量。對於已設定的接聽程式,任何不匹配的網路流量皆分類為非預期流量。ICMP 類型 3 以外的請求也會被視為非預期流量。Network Load Balancer 會捨棄非預期流量,而不會將其轉送至任何目標。TCP 傳送至已設定接聽程式連接埠的資料封包,而該接聽程式不是新連線或作為作用中TCP連線的一部分,則會以TCP重設 (RST) 拒絕。

如需詳細資訊,請參閱 Elastic Load Balancing User Guide 中的 Request routing

接聽程式屬性

以下是 Network Load Balancer 的接聽程式屬性:

tcp.idle_timeout.seconds

tcp 閒置逾時值,以秒為單位。有效範圍為 60-6000 秒。預設值為 350 秒。

如需詳細資訊,請參閱更新閒置逾時

接聽程式規則

當您建立接聽程式後,可指定路由請求的規則。此規則將轉發請求到指定的目標群組。若要更新此規則,請參閱 更新 Network Load Balancer 的接聽程式

安全接聽程式

若要使用TLS接聽程式,您必須在負載平衡器上至少部署一個伺服器憑證。負載平衡器使用伺服器憑證終止前端連接,然後解密用戶端的請求,再將它們傳送到目標。請注意,如果您需要將加密的流量傳遞至目標,而不讓負載平衡器解密,請在連接埠 443 上建立TCP接聽程式,而不是建立TLS接聽程式。負載平衡器會依現狀傳遞請求至目標,而不會將其解密。

Elastic Load Balancing TLS 使用稱為安全政策的交涉組態,來交涉用戶端與負載平衡器之間的TLS連線。安全政策為通訊協定與加密的組合。通訊協定會在用戶端與伺服器之間建立安全連線,並確保在用戶端與負載平衡器之間傳遞的所有資料為私有。隨碼是一項加密演算法,使用加密金鑰來建立編碼的訊息。通訊協定使用多個加密來加密透過網際網路的資料。在連線交涉程序期間,用戶端與負載平衡器會出示它們分別支援的加密和通訊協定的清單 (以偏好的順序)。系統會針對安全連線選取伺服器清單上符合任何用戶端加密的第一個加密。

Network Load Balancer 不支援TLS重新交涉或相互TLS身分驗證 (m TLS)。對於 mTLS 支援,請建立TCP接聽程式而非TLS接聽程式。負載平衡器會照原樣傳遞請求,因此您可以在目標上實作 mTLS。

如需相關示範,請參閱 TLS Network Load Balancer 上的支援SNI Network Load Balancer 上的支援。

ALPN 政策

Application-Layer Protocol Negotiation (ALPN) 是在初始TLS交握 Hello 訊息上傳送的TLS延伸。ALPN 可讓應用程式層交涉應該透過安全連線使用的通訊協定,例如 HTTP/1 和 HTTP/2。

當用戶端啟動ALPN連線時,負載平衡器會將用戶端ALPN偏好設定清單與其ALPN政策進行比較。如果用戶端支援ALPN政策的通訊協定,負載平衡器會根據ALPN政策的偏好設定清單建立連線。否則,負載平衡器不會使用 ALPN。

支援ALPN的政策

以下是支援的ALPN政策:

HTTP1Only

僅交涉 HTTP/1.*。ALPN 偏好設定清單為 http/1.1、http/1.0。

HTTP2Only

僅交涉 HTTP/2。ALPN 偏好設定清單為 h2。

HTTP2Optional

偏好 HTTP/1.* over HTTP/2 (對於 HTTP/2 測試很有用)。ALPN 偏好設定清單為 http/1.1、http/1.0、h2。

HTTP2Preferred

偏好 HTTP/2 超過 HTTP/1.*。ALPN 偏好設定清單為 h2、http/1.1、http/1.0。

None

請勿交涉 ALPN。此為預設值。

啟用ALPN連線

您可以在建立或修改TLS接聽程式時啟用ALPN連線。如需詳細資訊,請參閱 新增接聽程式更新ALPN政策