本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# VPC Lattice 服務的 TLS 接聽程式
<a name="tls-listeners"></a>

接聽程式是檢查連線請求的程序。您可以在建立 VPC Lattice 服務時定義接聽程式。您可以隨時將接聽程式新增至您的服務。

您可以建立 TLS 接聽程式，讓 VPC Lattice 將加密的流量傳遞至您的應用程式，而不會解密。

如果您希望 VPC Lattice 解密加密的流量，並將未加密的流量傳送到您的應用程式，請改為建立 HTTPS 接聽程式。如需詳細資訊，請參閱[HTTPS 接聽程式](https-listeners.md)。

## 考量事項
<a name="tls-listeners-considerations"></a>

下列考量適用於 TLS 接聽程式：
+ VPC Lattice 服務必須具有自訂網域名稱。服務自訂網域名稱會用作服務名稱指示 (SNI) 比對。如果您在建立服務時指定憑證，則不會使用該憑證。
+ TLS 接聽程式允許的唯一規則是預設規則。
+ TLS 接聽程式的預設動作必須是轉送動作至 TCP 目標群組。
+ 預設會停用 TCP 目標群組的運作狀態檢查。如果您啟用 TCP 目標群組的運作狀態檢查，則必須指定通訊協定和通訊協定版本。
+ TLS 接聽程式會使用 client-hello 訊息的 SNI 欄位路由請求。如果相符條件與 client-hello 完全相符，您可以在目標上使用萬用字元和 SAN 憑證。
+ 由於從用戶端到目標的所有流量都會保持加密，VPC Lattice 無法讀取 HTTP 標頭，也無法插入或移除 HTTP 標頭。因此，使用 TLS 接聽程式時，存在下列限制：
  + 連線持續時間限制為 10 分鐘
  + 驗證政策僅限於匿名主體
  + 不支援 Lambda 目標
+ Websocket 連線可以使用 TLS 接聽程式連線至 、VPC Lattice 服務。存在下列限制：
  + 連線持續時間限制為 10 分鐘
  + 驗證政策僅限於匿名主體
  + 不支援 Lambda 目標
+ 不支援加密的用戶端 Hello (ECH)。
+ 不支援加密的伺服器名稱指示 (ESNI)。

## 新增 TLS 接聽程式
<a name="add-tls-listener"></a>

您可以使用通訊協定和連接埠來設定接聽程式，以便從用戶端連線至 服務，並為預設接聽程式規則設定目標群組。如需詳細資訊，請參閱[接聽程式組態](listeners.md#listener-configuration)。

**使用主控台新增 TLS 接聽程式**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中的 **VPC Lattice** 下，選擇**服務**。

1. 選取服務的名稱以開啟其詳細資訊頁面。

1. 在**路由**索引標籤上，選擇**新增接聽程式**。

1. 對於**接聽程式名稱**，您可以提供自訂接聽程式名稱，或使用接聽程式的通訊協定和連接埠做為接聽程式名稱。您指定的自訂名稱最多可有 63 個字元，且您帳戶中的每個服務都必須是唯一的。有效字元為 a-z、0-9 和連字號 (-)。您不能使用連字號做為第一個或最後一個字元，或緊接在另一個連字號之後。您無法在建立接聽程式之後變更接聽程式的名稱。

1. 針對**通訊協定**，選擇 **TLS**。在**連接埠**中，輸入連接埠號碼。

1. 針對**轉送至目標群組**，選擇使用 TCP 通訊協定接收流量的 VPC Lattice 目標群組，然後選擇要指派給此目標群組的權重。您可以選擇性地新增另一個目標群組。選擇**新增目標群組**，然後選擇目標群組，然後輸入其權重。

1. （選用） 若要新增標籤，請展開**接聽程式標籤**，選擇新增標籤，然後輸入標籤索引鍵和標籤值。

1. 檢閱您的組態，然後選擇**新增**。

**使用 新增 TLS 接聽程式 AWS CLI**  
使用 [create-listener](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-listener.html) 命令建立具有預設規則的接聽程式。指定 TLS\$1PASSTHROUGH 通訊協定。