すべてのプロダクト
Search
ドキュメントセンター

Server Load Balancer:NLBを使用してTCP経由でのSSLオフロードを有効にする (一方向認証)

最終更新日:Dec 03, 2024

レイヤ4ロードバランサーを使用し、SSL暗号化を使用してセキュリティを強化する場合は、各バックエンドサーバーでSSL証明書を設定できます。 しかし、この方法は非効率的である。 この場合、Network Load Balancer (NLB) のSSLオフロード機能を使用できます。 トラフィックの入力としてNLBインスタンスをデプロイし、SSL証明書を設定できます。 このようにして、NLBインスタンスは暗号化されたトラフィックを平文トラフィックに復号化し、平文トラフィックをバックエンドサーバーに配信します。 これにより、バックエンドサービスの効率が向上し、バックエンドサーバーの構成が簡素化され、セキュリティが確保されます。

前提条件

  • NLBインスタンスが作成されました。 詳細については、「NLBインスタンスの作成と管理」をご参照ください。

  • NLBバックエンドサーバーグループが作成されます。 詳細については、「サーバーグループの作成と管理」をご参照ください。

    重要
    • サーバーグループのバックエンドプロトコルはTCPである必要があります。

    • SSL over TCPを使用するリスナーを、クライアントIP保存が有効になっているサーバーグループに関連付けることはできません。 サーバーグループの機能が無効になっていることを確認してください。

  • ECS01とECS02がバックエンドサーバーグループに追加され、サービスがECS01とECS02にデプロイされます。

ステップ1: サーバー証明書の準備

Alibaba Cloudからサーバー証明書を購入するか、別のサービスプロバイダーからサーバー証明書を購入して証明書をアップロードできます。

この例では、サーバー証明書はAlibaba Cloudから購入されています。

説明

SSL証明書に関連付けるドメイン名が登録されており、インターネットコンテンツプロバイダー (ICP) 番号が設定されていることを確認します。 詳細については、「Alibaba Cloudへのドメイン名の登録」および「ICP登録アプリケーションの概要」をご参照ください。

手順2: SSL over TCPを使用するリスナーの設定

  1. NLBコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、NLB > インスタンス を選択します。

  3. 上部のナビゲーションバーで、NLBインスタンスがデプロイされているリージョンを選択します。

  4. [インスタンス] ページで、NLBインスタンスを見つけ、[操作] 列の [リスナーの作成] をクリックします。

  5. [リスナーの設定] ステップで、次のパラメーターを設定します。 他のパラメーターには、デフォルト値またはカスタム値を使用できます。 [次へ] をクリックします。

    パラメーター

    説明

    リスナープロトコル

    [TCPSSL] を選択します。

    リスナーポート

    この例では、443が使用されます。

  6. [SSL証明書の設定] ステップで、次のパラメーターを設定します。 他のパラメーターには、デフォルト値またはカスタム値を使用できます。 [次へ] をクリックします。

    パラメーター

    説明

    サーバー証明書

    手順1で取得したサーバー証明書を選択します。

    TLSセキュリティポリシー

    ビジネス要件に基づいてセキュリティポリシーを選択します。 新しいバージョンを選択する場合は、セキュリティポリシーがクライアントと互換性があることを確認してください。

  7. [サーバーグループの選択] ステップで、次のパラメーターを設定します。 他のパラメーターには、デフォルト値またはカスタム値を使用できます。 [次へ] をクリックします。

    パラメーター

    説明

    サーバーグループ

    作成したサーバーグループを選択します。

  8. [設定の確認] ステップで、パラメーターが正しく設定されているかどうかを確認し、[送信] をクリックします。

ステップ3: DNSレコードを作成する

実際のビジネスシナリオでは、CNAMEレコードを使用してカスタムドメイン名をNLBインスタンスのドメイン名にマップすることを推奨します。

  1. 左側のナビゲーションウィンドウで、NLB > インスタンスを選択します。

  2. インスタンスページで、管理するNLBインスタンスのドメイン名をコピーします。

  3. CNAMEレコードを作成するには、次の手順を実行します。

    1. Alibaba Cloud DNSコンソールにログインします。

    2. ドメイン名の解決ページで、ドメイン名の追加をクリックします。

    3. ドメイン名の追加ダイアログボックスでドメイン名を入力し、OKをクリックします。

      重要

      CNAMEレコードを作成する前に、TXTレコードを使用してドメイン名の所有権を確認する必要があります。

    4. 管理するドメイン名を見つけて、アクション列のDNS設定をクリックします。

    5. ドメイン名の詳細ページのDNS設定タブで、DNSレコードの追加をクリックします。

    6. [DNSレコードの追加] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。

      パラメーター

      説明

      レコードタイプ

      ドロップダウンリストから [CNAME] を選択します。

      ホスト名

      ドメイン名のプレフィックス。 この例では、@ を入力します。

      説明

      ドメイン名がルートドメイン名の場合は、@ と入力します。

      DNSリクエストソース

      [デフォルト] を選択します。

      レコード値

      NLBインスタンスのドメイン名であるCNAMEを入力します。

      TTL

      DNSサーバーにキャッシュされるCNAMEレコードの有効期限 (TTL) 値を指定します。 この例では、デフォルト値が使用されます。

ステップ4: ネットワーク接続のテスト

ブラウザにNLBインスタンスに関連付けられているドメイン名を入力し、ページを複数回更新します。 リクエストはHTTPS経由でバックエンドサービスに転送され、ECSインスタンス間で分散されます。

重要

ブラウザーのキャッシュに問題が発生した場合は、レイヤー4 Server Load Balancer (SLB) インスタンスの機能をテストする際に、プライベートブラウジングモードでブラウザーを使用してドメイン名にアクセスすることをお勧めします。

ECS01ECS02

関連ドキュメント