我正在尝试确保客户端和我的后端服务器之间的完整 e2e 连接。这就是我当前的基础架构的样子:
- Fargate 集群,我的后端应用程序放置在私有子网中。
- 它们前面是内部网络负载均衡器,它也不暴露给外界。
- REST API Gateway 与我的内部 NLB 的 VPC 链接集成。
目前,我的 NLB 在端口 443 上使用 TLS 侦听器并附加了证书,但正在终止 TLS 并通过端口 80 上的 TCP 与目标组进行通信。我的计划是也在我的 Fargate 节点上配置 TLS 和证书。目前我缺乏对以下设置如何工作的理解。是要将加密流量从我的客户端发送到后端应用程序,还是在 NLB 执行解密并在将流量发送到 Fargate 节点之前再加密一次?
我已经了解到阅读许多博客,可以使用 NLB 实现直通行为,而无需解密/加密 NLB 上的流量,但没有找到任何示例,AWS 文档也不清楚这个主题。
是否可以将证书仅应用于我的后端应用程序并仅在那里进行解密?我的理解是,我可能看起来类似于以下内容:
- 在我的 Fargate 应用端配置的证书和 TLS
- NLB 在端口 443 上具有 TCP 侦听器,没有在 NLB 级别应用证书。因此 NLB 只会将加密流量从我的客户端传递到后端。
有没有人尝试过建立类似的基础设施并且对如何配置有一些了解?
问候。