网络负载均衡器的侦听器 - Elastic Load Balancing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网络负载均衡器的侦听器

侦听器是一个使用您配置的协议和端口检查连接请求的进程。您必须至少添加一个侦听器,然后才能开始使用网络负载均衡器。如果您的负载均衡器没有侦听器,则无法接收来自客户端的流量。您为侦听器定义的规则决定了负载均衡器如何将请求路由到您注册的目标(例如EC2实例)。

侦听器配置

侦听器支持以下协议和端口:

  • 协议:TCP、TLS、UDP、TCP _ UDP

  • 端口:1-65535

您可以使用TLS侦听器将加密和解密工作转移到您的负载均衡器,以便您的应用程序可以专注于其业务逻辑。如果监听器协议是TLS,则必须在监听器上只部署一个SSL服务器证书。有关更多信息,请参阅 服务器证书

如果您必须确保目标解密TLS流量而不是负载均衡器,则可以在端口 443 上创建TCP侦听器,而不是创建侦听器。TLS借助TCP侦听器,负载均衡器无需解密即可将加密流量传递到目标。

要在同一个端口UDP上同时支持两TCP者,请创建一个 TCP _ UDP 监听器。TCP_ UDP 监听器的目标组必须使用 TCP _ UDP 协议。

双栈负载均衡器的UDP监听器需要IPv6目标组。

您可以与听众 WebSockets 一起使用。

发送到已配置侦听器的所有网络流量都归类为预期流量。与配置的侦听器不匹配的网络流量被归类为非预期流量。ICMP类型 3 以外的请求也被视为意外流量。网络负载均衡器会丢弃意外流量,而不会将其转发到任何目标。TCP对于已配置的侦听器,如果不是新连接或活动TCP连接的一部分,则发送到侦听器端口的数据包将被TCP重置 (RST) 拒绝。

有关更多信息,请参阅 Elastic Load Balancing 用户指南中的请求路由

侦听器属性

网络负载均衡器的侦听器属性如下:

tcp.idle_timeout.seconds

tcp 空闲超时值(以秒为单位)。有效范围为 60-6000 秒。默认值为 350 秒。

有关更多信息,请参阅 更新空闲超时

侦听器规则

在创建侦听器时,将会指定用于路由请求的规则。该规则将请求转发到指定的目标组。要更新此规则,请参阅 更新网络负载均衡器的侦听器

安全侦听器

要使用TLS侦听器,您必须在负载均衡器上部署至少一个服务器证书。负载均衡器先使用此服务器证书终止前端连接,再解密来自客户端的请求,然后将请求发送到目标。请注意,如果您需要在不由负载均衡器解密的情况下将加密流量传递到目标,请在端口 443 上创建TCP侦听器,而不是创建侦听器。TLS负载均衡器将按原样将请求传输至目标,而不解密请求。

Elastic Load Balancing 使用一种称为安全策略的TLS协商配置来协商客户端和负载均衡器之间的TLS连接。安全策略是协议和密码的组合。协议在客户端与服务器之间建立安全连接,确保在客户端与负载均衡器之间传递的所有数据都是私密数据。密码是使用加密密钥创建编码消息的加密算法。协议使用多种密码对 Internet 上的数据进行加密。在 连接协商过程中,客户端和负载均衡器会按首选项顺序提供各自支持的密码和协议的列表。为安全连接选择服务器列表中与任一客户端的密码匹配的第一个密码。

网络负载均衡器不支持TLS重新协商或相互TLS身份验证 (mTLS)。要获得TLS支持,请创建TCP监听器而不是监TLS听器。负载均衡器按原样传递请求,因此您可以在目标TLS上实现 m。

有关相关演示,请参阅 TLSNetwork Load B alancer SNI支持和网络负载均衡器支持。

ALPN政策

应用层协议协商 (ALPN) 是在初始TLS握手问候消息上发送的TLS扩展。ALPN使应用层能够通过安全连接(例如 HTTP /1 和 HTTP /2)协商应使用哪些协议。

当客户端启动ALPN连接时,负载均衡器会将客户端ALPN首选项列表与其ALPN策略进行比较。如果客户端支持ALPN策略中的协议,则负载均衡器将根据该ALPN策略的首选项列表建立连接。否则,负载均衡器将不使用ALPN。

支持的ALPN策略

以下是支持的ALPN策略:

HTTP1Only

仅限谈判 HTTP /1. *. ALPN首选项列表是 http/1.1、http/1.0。

HTTP2Only

仅限谈判 HTTP /2. 首ALPN选项列表为 h2。

HTTP2Optional

首选 HTTP /1. * 而不是 HTTP /2(这可能对于 HTTP /2 测试很有用)。ALPN首选项列表是 http/1.1、http/1.0、h2。

HTTP2Preferred

首选 HTTP /2 而不是 HTTP /1. *。ALPN首选项列表是 h2、http/1.1、http/1.0。

None

不要谈判ALPN。这是默认模式。

启用ALPN连接

您可以在创建或修改TLS监听器时启用ALPN连接。有关更多信息,请参阅添加侦听器更新ALPN政策