AWS北草坪会议大楼在终止TLS时是否通过SNI值？(通过SNI路由)

Question

网络负载平衡器支持TLS终止。这意味着可以在AWS证书管理器中创建证书并将其安装到北草坪会议大楼上，然后使用TLS加密的TCP连接将在北草坪会议大楼解密，然后重新加密或传递给非加密侦听器。详细信息在这里：https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html。

使用AWS证书管理器的好处是，证书将由AWS自动管理和旋转。没有必要将面向公共的证书放在私人实例上。

我希望基于SNI将TCP连接路由到北草坪会议大楼，即可以根据客户机请求的服务器名将到同一个端口和IP的连接路由到不同的目标。虽然我可以看到支持给定侦听器的多个TLS证书。使用SNI来确定要提供哪个证书，但我不知道如何基于SNI配置侦听器。

因此，我已经将HAProxy放在了北草坪会议大楼后面，并希望使用SNI路由到不同的后端。我在北草坪会议大楼与客户端终止TLS，使用HAProxy上的自签名证书重新加密北草坪会议大楼和HAProxy之间的通信，然后使用未加密的TCP路由到后端。

(client) --TLS/TCP--> (NLB on port 443) --TLS/TCP--> (AWS target group on port 5000, running HAProxy) --TCP--> backends on different IPs/ports

AWS北草坪会议大楼是否将SNI细节传递给目标群体？

如果我直接连接到HAProxy (而不是通过北草坪会议大楼)，那么我可以通过SNI路由到选择的后端，但是如果我通过北草坪会议大楼连接，就无法让SNI路由工作。

Answer 1

根据这就是答案和istio文档，如果您在负载均衡器上终止TLS，它将不会将SNI传送到目标组。我也遇到了同样的问题，我最终解决了这个问题，在入口Gateway上将主机设置为Gateway，然后在不同的VirtualService上指定主机(如推荐的这里)。

我认为这个解决方案也可以工作，但没有尝试。您必须在istio Gateway机密上设置证书，并在北草坪会议大楼上执行TLS传递，但是不能像前面的链接所指出的那样使用AWS ACM SSL certificates。