Comment la terminaison TLS est-elle mise en œuvre dans AWS NLB ?

Question

AWS NLB prend en charge la terminaison TLS https://aws.amazon.com/blogs/aws/new-tls-termination-for-network-load-balancers/

NLB étant un équilibreur de charge de couche 4, je m'attendrais à ce qu'il fonctionne en mode passthrough en dirigeant les paquets entrants vers l'un des backends sans beaucoup de maintenance d'état (à l'exception du suivi des flux).

Existe-t-il des détails sur la façon dont AWS implémente la terminaison TLS dans NLB ?

Est-il possible de le faire avec des outils open source (comme IPVS ou haproxy) ou est-ce qu'AWS a une sauce secrète ?

Answer 1

La terminaison TLS elle-même est exactement ce qu'elle est censée être. TLS est un protocole générique de diffusion en continu, tout comme TCP à un niveau supérieur, de sorte que vous pouvez le déballer à la LB d'une manière générique. La magie est qu'ils gardent les IP intactes probablement avec une magie de routage très fantaisiste, mais il semble peu probable qu'AWS vous dise comment ils l'ont fait.

Answer 2

Dans ma question sur le SO aquí J'ai un exemple de la façon de terminer une session TCP dans HAProxy et de transmettre le trafic non crypté à un backend.

En bref, vous devez utiliser ssl dans la section frontend bind et les configurations frontend et backend requièrent l'utilisation de tcp mode. Voici un exemple de terminaison sur le port 443 et de transfert vers le port 4567.

frontend tcp-proxy
  bind :443 ssl crt combined-cert-key.pem
  mode tcp
  default_backend bk_default

backend bk_default
  mode tcp
  server server1 1.2.3.4:4567