如何在AWS NLB中实施TLS终端？

Question

AWS NLB支持TLS终端https://aws.amazon.com/blogs/aws/new-tls-termination-for-network-load-balancers/

NLB是一个第4层负载均衡器，我希望它能以直通模式工作，将传入的数据包定向到其中一个后端，而无需太多的状态维护(除了流跟踪)

是否有关于AWS如何在NLB中实施TLS终端的详细信息？

有没有可能使用开源工具(如IPVS或haproxy)或者AWS在这里有一些秘密武器？

Answer 1

TLS终端本身就是它所说的那样。TLS是一个通用的流协议，就像TCP上一层一样，所以你可以在LB上以通用的方式解开它。神奇之处在于，他们可能会使用非常花哨的路由魔法来保持is的完整性，但AWS似乎不太可能告诉你他们是如何做到这一点的。

Answer 2

在我的SO问题here中，我有一个关于如何在HAProxy中终止TCP会话并将未加密的流量传递到后端的示例。

简而言之，您需要在前端绑定部分使用ssl，并且前端和后端配置都需要使用tcp模式。以下是在端口443上终止并转发到端口4567的示例。

frontend tcp-proxy
  bind :443 ssl crt combined-cert-key.pem
  mode tcp
  default_backend bk_default

backend bk_default
  mode tcp
  server server1 1.2.3.4:4567