本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# VPC 莱迪思服务的 TLS 监听器
<a name="tls-listeners"></a>

侦听器是用于检查连接请求的进程。您可以在创建 VPC Lattice 服务时定义侦听器。您可以随时向服务添加侦听器。

您可以创建一个 TLS 侦听器，这样 VPC Lattice 就可以将加密流量传递到您的应用程序，而无需对其进行解密。

如果您更喜欢 VPC Lattice 解密加密流量并将未加密的流量发送到您的应用程序，请改为创建 HTTPS 侦听器。有关更多信息，请参阅 [HTTPS 侦听器](https-listeners.md)。

## 注意事项
<a name="tls-listeners-considerations"></a>

以下注意事项适用于 TLS 侦听器：
+ VPC 莱迪思服务必须具有自定义域名。服务自定义域名用作服务名称指示 (SNI) 匹配。如果您在创建服务时指定了证书，则不会使用该证书。
+ TLS 侦听器唯一允许使用的规则是默认规则。
+ TLS 侦听器的默认操作必须是向 TCP 目标组执行的转发操作。
+ 默认情况下，TCP 目标组的运行状况检查处于禁用状态。如果您为 TCP 目标组启用运行状况检查，则必须指定协议和协议版本。
+ TLS 侦听器使用客户端 hello 消息的 SNI 字段路由请求。如果匹配条件与 client-hello 完全匹配，则可以在目标上使用通配符和 SAN 证书。
+ 由于从客户端到目标的所有流量都保持加密状态，因此 VPC Lattice 无法读取 HTTP 标头，也无法插入或删除 HTTP 标头。因此，使用 TLS 侦听器时，存在以下限制：
  + 连接时长限制为 10 分钟
  + 身份验证政策仅限于匿名委托人
  + 不支持 Lambda 目标
+ Websocket 连接可以使用 TLS 侦听器连接到 VPC 莱迪思服务。存在以下限制：
  + 连接时长限制为 10 分钟
  + 身份验证政策仅限于匿名委托人
  + 不支持 Lambda 目标
+ 不支持加密的客户端问候 (ECH)。
+ 不支持加密服务器名称指示 (ESNI)。

## 添加 TLS 监听器
<a name="add-tls-listener"></a>

为侦听器配置一个协议和端口，用于从客户端连接到服务，并为默认侦听器规则配置一个目标组。有关更多信息，请参阅 [侦听器配置](listeners.md#listener-configuration)。

**使用控制台添加 TLS 侦听器**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中的 **VPC Lattice** 下，选择**服务**。

1. 选择服务名称以打开其详细信息页面。

1. 在**路由**选项卡上，选择**添加侦听器**。

1. 对于**侦听器名称**，您可以提供自定义侦听器名称，也可以使用侦听器的协议和端口作为侦听器名称。您指定的自定义名称最多可包含 63 个字符，且对账户中的每项服务必须是唯一的。有效字符：a-z、0-9 和连字符（-）。不能将连字符用作第一个或最后一个字符，也不能紧跟在另一个连字符之后。创建侦听器后，不能更改其名称。

1. 对于**协议**，选择 **TLS**。对于**端口**，输入端口号。

1. 对于**转发到目标组**，请选择使用TCP协议接收流量的VPC Lattice目标组，然后选择要分配给该目标组的权重。您可以选择添加其他目标组。选择 “**添加目标组**”，然后选择目标组并输入其权重。

1. （可选）要添加标签，请展开**侦听器标签**，选择“添加新标签”，然后输入标签键和标签值。

1. 检查您的配置，然后选择**添加**。

**要添加 TLS 侦听器，请使用 AWS CLI**  
使用 [create-listener](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-listener.html) 命令使用默认规则创建监听器。指定 TLS\_PASSTHROUGH 协议。