我试图确保我的 AWS VPC 内的所有流量都具有传输中加密。
我的架构目前是 Cloudfront -> REST API Gateway -> NLB -> ALB -> ECS Target Groups。
我的想法是利用 Envoy sidecar 终止 ECS 容器上的 TLS(如下this)。但是,我现在正在努力弄清楚如何验证将用于 ALB 与 ECS 容器和 Envoy Sidecar 之间的 HTTPS 的 TLS 证书。我更愿意在 ACM 中为 ALB 使用 AWS 托管的 TLS 证书,而不是由我们管理的证书。
它是否会使用与 API Gateway 集成的 HTTPS 监听器使用的相同证书?或者内部 AWS 证书?
我现在正在努力弄清楚如何验证将用于 ALB 与 ECS 容器和 Envoy Sidecar 之间的 HTTPS 的 TLS 证书。我更愿意在 ACM 中为 ALB 使用 AWS 托管的 TLS 证书,而不是由我们管理的证书。
ALB 根本不会发送证书。它只会通过您在 ECS 任务中安装的服务器证书使用 SSL 连接。并且 ALB 不会对服务器提供给它的证书进行任何验证。
与 ALB 关联的证书仅用于保护 ALB 与连接到 ALB 的任何客户端之间的连接,而不用于保护 ALB 与目标服务器之间的连接。您还可以在 ALB 上启用 mTLS,但这同样仅适用于 ALB 和连接到它的客户端之间的连接。
我也完全看不出在这种情况下使用 ALB 的意义。为什么不直接将 ECS 任务添加到 NLB 目标组中?通过 ALB 获得的额外跳跃是什么?