LoginSignup
3
1

More than 3 years have passed since last update.

@daimatsu(daimatsu)

そういえば、TLS 終端している NLB で PrivateLink できるんでしたっけ?

Last updated at Posted at 2019-12-27

概要

(2019-01-28の公式)「新機能 – Network Load Balancer の TLS 終端」
https://aws.amazon.com/jp/blogs/news/new-tls-termination-for-network-load-balancers/

もう一年近く前の 2019-01-28 に NLB が TLS を終端できるようになったわけですが、今更ながらこれは PrivateLink もいけるんでしたっけ、、、だめだ、記憶にない。はて。

出来きたかどうか記憶もないし、もにょもにょするので、ちょっとだけ試しておきました。

構成

特に何のひねりもないです。
ただ、TLS 終端した NLB を PrivateLink するだけです。

image.png

手順

NLB の TLS 終端については、以下の記事を
https://aws.amazon.com/jp/blogs/news/new-tls-termination-for-network-load-balancers

PrivateLink については、以下のドキュメントを
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/endpoint-service.html

結果

問題なく可能のようですね。

クライアントからのアクセスの結果

[ec2-user@ip-10-2-11-230 ~]$ curl -vk https://10.2.11.151
* Rebuilt URL to: https://10.2.11.151/
*   Trying 10.2.11.151...
* TCP_NODELAY set
* Connected to 10.2.11.151 (10.2.11.151) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: CN=*.xxxxxxxxx
*  start date: Dec 27 00:00:00 2019 GMT
*  expire date: Jan 27 12:00:00 2021 GMT
*  issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon
*  SSL certificate verify ok.
> GET / HTTP/1.1
> Host: 10.2.11.151
> User-Agent: curl/7.61.1
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Fri, 27 Dec 2019 15:44:14 GMT
< Server: Apache/2.4.41 ()
< Upgrade: h2,h2c
< Connection: Upgrade
< Last-Modified: Fri, 27 Dec 2019 14:06:29 GMT
< ETag: "6-59ab000129b24"
< Accept-Ranges: bytes
< Content-Length: 6
< Content-Type: text/html; charset=UTF-8
<

hoge

Webサーバーのログ
PrivateLink経由なので、Source IP が NLB になってます。

10.1.11.4 - - [27/Dec/2019:15:44:14 +0000] "GET / HTTP/1.1" 200 6 "-" "curl/7.61.1"

以上です

3
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
1