如果我的基础架构中有一个 ALB,并且下游有 ECS 目标组,那么 SSL/TLS 是否总是会在 ALB 处终止?
如果是这样,我唯一的选择是 ELB/NLB 来保留 SSL/TLS 上下文吗?
答案1
ALB 始终会终止 https,但如果您为目标服务器设置了证书,则可以为其创建新的 https 会话。信息这里。请注意,您不能对服务器使用 AWS 证书管理器,您需要第三方证书。
如果您希望在服务器本身上终止 TLS,那么最好的选择是使用 NLB。除非您有非常好的理由,否则现在通常不使用 ELB,它们是第一代。
答案2
自 2023 年 11 月 26 日起:AWS ALB 现已支持双向 TLS。启用双向身份验证 (mTLS) 后,您可以配置侦听器如何处理提供客户端证书的请求。这包括您的应用程序负载均衡器如何验证证书以及发送到后端目标的证书元数据量。
相互身份验证有两种选择。Passthrough 选项使用 HTTP 标头将从客户端收到的所有客户端证书链发送到您的后端应用程序。启用 mTLS 的应用程序负载均衡器在握手中获取客户端证书,建立 TLS 连接,然后将 HTTPS 标头中获取的任何内容发送到目标应用程序。应用程序将需要验证客户端证书链以对客户端进行身份验证。