Назад | Перейти на главную страницу

Расшифровывает ли AWS Network Load Balancer пакет в режиме завершения TLS?

Архитектура: клиент <- TLS -> AWS Network Load Balancer порт: 443 <- TLS -> порт внутреннего сервера:443

В приведенной выше архитектуре TLS завершается балансировщиком сетевой нагрузки (NLB).

  1. Возможно ли завершение TLS без расшифровки пакетов?
  2. Если TLS завершается на NLB, есть ли новое рукопожатие между AWS NLB и внутренним сервером?

Обратите внимание, что внутренний сервер имеет собственный сертификат SSL, отличный от сертификата NLB.

TL; DR

  1. Нет
  2. да

NLB действительно должен сначала расшифровать пакеты, а затем повторно зашифровать, прежде чем они будут отправлены на бэкэнд. И да, это новое рукопожатие с сервером. NLB - это своего рода обман, потому что он подделывает IP, чтобы выглядеть так, как будто клиент напрямую обращается к бэкэнду. NLB выглядит прозрачным для внутреннего сервера.

Однако, поскольку вы, похоже, используете HTTPS (предполагая от порта 443), вы должны использовать Балансировщик нагрузки приложений (ALB), а не Network Load Balancer (NLB). NLB предназначен для трафика, отличного от HTTP / HTTPS, например для DNS, SMTP и т. д.

Надеюсь, это поможет :)