架构:客户端<-- TLS -->AWS 网络负载均衡器端口:443 <-- TLS -->后端服务器端口:443
在上述架构中,TLS 在网络负载均衡器 (NLB) 处终止。
- 无需解密数据包是否可以终止 TLS?
- 如果 TLS 在 NLB 上终止,AWS NLB 和后端服务器之间是否有新的握手?
请注意,后端服务器有自己的 SSL 证书,与 NLB 上的证书不同。
答案1
总结
- 不
- 是的
NLB 确实必须先解密数据包,然后重新加密,然后才能将其发送到后端。是的,它会与服务器进行新的握手。NLB 是一种作弊行为,因为它会欺骗 IP,使其看起来像是客户端直接与后端对话。NLB 对后端服务器来说是透明的。
但是由于你似乎正在使用 HTTPS(从端口 443 猜测),你应该使用应用程序负载均衡器(ALB),而不是网络负载均衡器(NLB)。NLB 适用于非 HTTP/非 HTTPS 流量,例如 DNS、SMTP 等。
希望有帮助:)