AWS网络是否在TLS终止模式下加载均衡器解密数据包？

Question

架构: client <-- TLS -> AWS网络负载均衡器端口:443 <-- TLS ->后端服务器端口:443

在上述体系结构中，TLS终止于网络负载均衡器(北草坪会议大楼)。

1. 在不解密数据包的情况下可以终止TLS吗？
2. 如果TLS在北草坪会议大楼上终止，那么AWS北草坪会议大楼与后端服务器之间是否有新的握手？

请注意，后端服务器有它自己的SSL证书，这与北草坪会议大楼上的证书不同。

Answer 1

TL;DR

1. 不是
2. 是

事实上，北草坪会议大楼必须先解密数据包，然后再加密，然后才能发送到后端。是的，它与服务器进行了新的握手。北草坪会议大楼是一种欺骗，因为它欺骗IP，使之看起来像是客户直接与后端对话。对后端服务器来说，北草坪会议大楼看起来是透明的。

但是，由于您似乎在使用HTTPS (从端口443猜测)，您应该使用应用程序负载均衡器(ALB)，而不是网络负载均衡器(北草坪会议大楼)。北草坪会议大楼是指非HTTP/非HTTPS通信，例如DNS、SMTP等.

希望有帮助:)