ALB和ECS Fargate任务之间的网络路径。
【以下的问题经过翻译处理】 作为关于是否需要端到端TLS的对话的一部分,我正尝试了解ALB和ECS Fargate任务之间的通信路径。 我可以假设ALB和服务任务完全独立于不同的实例上? 这些实例逻辑上是否属于我的VPC? 流量是否仅限于我的VPC,或者通过AWS网络进行路由? 我主张,只要我们信任AWS网络,ALB和服务之间使用TLS 没有什么益处,但我找不到官方文档来支持我的论点,除了一个AWS员工的StackOverflow讨论。 有人可以给些启示吗?
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 ALB 和您的 Fargate 任务之间的流量在您的 VPC 中。在部署 ALB 后,您可以在网络接口部分(在 EC2 控制台中)看到 ALB 的一些网络接口,Fargate任务也是一样。因此,流量使用 VPC 上的传输保护。
https://docs.aws.amazon.com/whitepapers/latest/logical-separation/vpc-and-accompanying-features.html
无论如何,强烈建议在 ALB 和任务中实现 TLS,以实现零信任网络。ALB 不会验证任务的证书,这意味着您可以创建自签名证书,这样您仍然可以加密流量。
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html
负载均衡器使用您在目标上安装的证书与目标建立 TLS 连接。负载均衡器不验证这些证书。因此,您可以使用自签名证书或已过期的证书。由于负载均衡器在虚拟私有云(VPC)中,因此负载均衡器与目标之间的流量在数据包级别进行身份验证,即使目标上的证书无效,它也不会受到中间人攻击或欺骗的风险。