您可以使用Global Acceleration服務實現HTTPS安全加速訪問HTTP網站,提升用戶端訪問HTTP網站的速度和安全性。
情境樣本
本文以下圖情境為例。某公司的總部在美國矽谷,總部有一台自建伺服器,伺服器上部署了HTTP網站,用戶端主要分布在中國香港。該公司的網站服務面臨以下挑戰:
HTTP以明文方式傳輸資料,缺乏對網站驗證的方法,導致網站系統面臨極大的安全風險。
跨國公網不穩定,經常出現延遲、抖動、丟包等網路問題。
您可以部署Global Acceleration服務,並配置HTTPS協議監聽,加速中國香港使用者訪問美國矽谷地區的HTTP網站,同時對用戶端的訪問請求進行HTTPS加密,有效保障資料轉送的安全性。
前提條件
配置步驟
本文以隨用隨付的標準型Global Accelerator執行個體為例,為您介紹如何配置Global Accelerator服務實現HTTPS安全加速訪問HTTP網站。建立隨用隨付的標準型Global Accelerator執行個體前,請先瞭解以下資訊:
步驟一:配置執行個體基礎資訊
在執行個體列表頁面,單擊建立加速執行個體。並根據需要選擇標準型隨用隨付或標準型訂用帳戶。
本文選擇標準型隨用隨付。
在執行個體基礎配置設定精靈頁面,根據以下資訊進行配置,然後單擊下一步。
配置
說明
Global Acceleration執行個體名稱
輸入Global Acceleration執行個體名稱。
執行個體計費方式
預設為隨用隨付。
使用隨用隨付的標準型Global Accelerator執行個體,產生的費用包括:執行個體費、效能容量單位CU費和流量費。
關於執行個體費、效能容量單位CU費的更多資訊,請參見隨用隨付Global Acceleration執行個體計費。
關於流量費,請參見流量計費。
資源群組
選擇標準型Global Accelerator執行個體所屬的資源群組。
該資源群組為當前阿里雲帳號在資源管理中建立的資源群組。更多資訊,請參見建立資源群組。
步驟二:配置加速地區
為Global Accelerator執行個體配置加速地區,指定可以加速訪問後端服務的使用者所在的地區並為其分配加速頻寬。
在配置加速地區設定精靈頁面,根據以下資訊配置加速地區,然後單擊下一步。
配置 | 說明 |
加速地區 | 在下拉式清單中選中需要進行訪問加速的一個地區或多個地區,然後單擊添加至列表。 本文在亞太地區地區下選中中國(香港)地區。 |
分配頻寬 | |
頻寬峰值 | 設定加速地區的頻寬。每個加速地區支援分配的頻寬範圍為2~10000 Mbps。 此處頻寬峰值僅作限速,產生的流量費用統一由CDT結算出賬。 本文保持預設值200 Mbps。 重要 如果頻寬峰值設定過低,可能出現限速從而導致流量被丟棄,請合理規劃頻寬峰值,確保和業務需求匹配。 |
IP地址協議 | 選擇接入Global Accelerator服務的IP地址協議。 本文保持預設值IPv4。 |
公網品質類型 | 選擇接入Global Accelerator服務的公網品質類型。 本文選擇BGP(多線)。 |
步驟三:配置監聽
監聽負責檢查串連請求,根據您指定的連接埠和協議處理來自用戶端的入站串連。每個監聽都關聯一個終端節點群組,通過指定要分發流量的地區,將終端節點群組與監聽關聯。關聯後,Global Acceleration會將流量分配到與監聽關聯的終端節點群組內的最佳終端節點。
在配置監聽設定精靈頁面,根據以下資訊配置監聽,然後單擊下一步。
此處僅介紹本文強相關的配置項,其餘配置項可保持預設配置。更多資訊,請參見添加和管理智能路由類型監聽。
配置 | 說明 |
監聽名稱 | 輸入監聽的名稱。 |
路由類型 | 選擇路由類型。 本文選擇智能路由。 |
協議 | 選擇監聽的協議類型。 本文選擇HTTPS。 |
連接埠 | 指定用來接收請求並向終端節點進行轉寄的監聽連接埠,連接埠取值範圍:1-65499。 本文輸入443。 |
選擇伺服器憑證 | 選擇您已經申請的伺服器憑證。 |
TLS安全性原則 | 選擇您業務所需的TLS安全性原則。 TLS安全性原則包含HTTPS可選的TLS協議版本和配套的密碼編譯演算法套件。關於TLS安全性原則,請參見TLS安全性原則說明。 本文不做配置時,預設選擇tls_cipher_policy_1_0。 |
用戶端親和性 | 選擇是否保持用戶端親和性。保持用戶端親和性,即用戶端訪問有狀態的應用程式時,可以將來自同一用戶端的所有請求都定向到同一終端節點。 本文選擇源IP。 |
附加HTTP頭欄位 | 選中所需的附加HTTP頭欄位。 本文保持預設配置。 |
步驟四:配置終端節點群組和終端節點
在配置終端節點群組設定精靈頁面,根據以下資訊配置終端節點群組和終端節點,然後單擊下一步。
此處僅介紹本文情境強相關配置項,關於終端節點配置項更多資訊,請參見添加和管理智能路由類型監聽的終端節點群組。
配置
說明
地區
選擇終端節點群組所屬的地區。
本文選擇美國(矽谷)。
終端節點配置
終端節點是用戶端請求訪問的目標主機。您可以根據以下資訊配置終端節點:
後端服務類型:選擇自訂IP。
後端服務:輸入要加速的後端服務的IP地址。
權重:輸入終端節點的權重,權重取值範圍:0~255。Global Accelerator根據您配置的權重按比例將流量路由到終端節點。 本文保持預設值255。
警告如果某個終端節點的權重設定為0,Global Accelerator將終止向該終端節點分發流量,請您謹慎操作。
保持客戶端源IP
預設開啟保持用戶端源IP功能,支援後端服務查看用戶端源IP地址。HTTP監聽將從HTTP的x-forward-for欄位讀取用戶端源IP地址。更多資訊,請參見保持用戶端源IP。
後端服務合約
選擇後端伺服器使用的服務合約。
本文保持預設配置為HTTP。
連接埠映射
當您監聽的連接埠和您終端節點提供服務的連接埠不相同時,您需要輸入連接埠映射關係。
監聽連接埠:只能填寫當前監聽的連接埠。本文輸入443。
終端節點連接埠:您終端節點提供服務的連接埠。本文輸入80。
在組態稽核設定精靈頁面,確認資訊,然後單擊提交。
說明建立Global Accelerator執行個體預計耗時3~5分鐘,請您耐心等待。
可選:建立任務完成後,在建立任務詳情列表下方,單擊進入執行個體詳情,然後在執行個體詳情頁,可選擇執行個體資訊、監聽、加速地區等頁簽查看執行個體配置資訊。
步驟五:配置CNAME解析
您需要將要訪問的網域名稱通過DNS解析到Global Accelerator的CNAME地址,訪問請求才能轉寄到Global Accelerator,實現加速效果。
- 登入阿里雲Alibaba Cloud DNS控制台。
如果您是非阿里雲註冊的網域名稱,請將網域名稱添加到雲解析控制台。
說明對於非阿里雲註冊網域名稱,需先將網域名稱添加到雲解析控制台,才可以進行網域名稱解析設定。具體操作,請參見添加網域名稱。如果您的網域名稱是在阿里雲註冊的,請跳過該步驟。
在網域名稱解析頁面,找到目標網域名稱,在操作列單擊解析設定。
在解析設定頁面,找到已有的A記錄,在操作列單擊修改。
在修改記錄面板,選擇記錄類型為CNAME,並將記錄值修改為Global Accelerator執行個體分配的CNAME地址,然後單擊確認。
您可以在執行個體列表頁面查看Global Accelerator執行個體分配的CNAME地址。
如果您需要根據用戶端所屬地區智能返回解析結果,需確保Alibaba Cloud DNS已升級至企業標準版或企業旗艦版。如何升級,請參見續約。
完成升級後,您可以修改已有A記錄的預設解析線路為具體的地區解析線路,並添加CNAME記錄指向Global Accelerator執行個體分配的CNAME地址。
步驟六:訪問測試
完成以下操作,測試用戶端是否可以通過HTTPS方式訪問部署在美國矽谷的HTTP網站,並實現訪問加速。
本教程以Alibaba Cloud Linux 3.2104 LTS 64位作業系統為例進行測試。不同類型的作業系統測試命令可能會有差異,具體測試命令請參見您作業系統的操作指南。
檢測CNAME配置是否生效。
在接入地區(本文為中國香港)的電腦中開啟命令列視窗。
對網域名稱執行以下命令。
ping <網站網域名稱>當返回的解析結果與Global Accelerator的CNAME值一致,則表示CNAME配置已經生效。
執行以下命令,測試用戶端是否能通過HTTPS方式正常訪問部署在美國矽谷的HTTP網站。
curl https://<網站網域名稱>圖 1. 訪問結果
如需測試加速效果,請參見使用網路撥測工具測試加速效果。