通過在一個Global Accelerator執行個體上配置多個認證,可實現同時加速訪問多個HTTPS網域名稱。
情境樣本
本文以下圖情境為例。某公司的總部在美國矽谷,總部在阿里雲上建立了兩台伺服器,兩台伺服器均部署了Web服務,並通過不同的網域名稱對外提供服務。用戶端主要分布在中國香港地區,該公司的Web服務面臨以下挑戰:
公網傳輸不穩定,經常出現延遲、抖動、丟包等網路問題。
多台伺服器通過不同的網域名稱對外提供服務,為網站配置加速服務時,一般需要分別為每個網域名稱進行加速,成本較高。
為解決上述問題,該公司計劃部署Global Acceleration服務,並配置HTTPS協議監聽。HTTPS協議監聽可以通過以下功能實現同時加速多個HTTPS網域名稱訪問:
支援綁定多個認證,可以將多個網域名稱關聯到同一個HTTPS協議監聽上。
支援配置基於網域名稱的轉寄策略,通過匹配不同的網域名稱訪問請求,將訪問請求轉寄至後端相應的伺服器。
支援對用戶端的訪問請求進行資料加密,能有效保障資料轉送的安全性。
當前該公司Web伺服器的服務資訊以及該公司使用Global Acceleration服務後對用戶端訪問請求的轉寄規劃如下:
配置規劃 | 訪問網域名稱1 | 訪問網域名稱2 |
監聽協議 | HTTPS | |
監聽連接埠 | 443 | |
對應認證 | 預設認證A | 擴充認證B |
對應轉寄策略 | 預設轉寄策略 | 自訂轉寄策略 |
對應終端節點群組 | 預設終端節點群組 | 虛擬終端節點群組 |
對應伺服器 | 伺服器1 | 伺服器2 |
伺服器服務合約 | HTTP | HTTPS |
伺服器服務連接埠 | 80 | 443 |
伺服器公網IP | 47.XX.XX.62 | 47.XX.XX.34 |
Global Acceleration中配置的認證用於加密從用戶端至Global Acceleration階段的資料。從Global Acceleration至後端伺服器階段的資料加密通過後端伺服器安裝的認證實現。Global Acceleration中配置的認證可以與後端伺服器安裝的認證相同。
前提條件
您已將認證檔案上傳至後端伺服器。具體操作,請參見上傳本地檔案到ECS執行個體。
您的後端伺服器1和伺服器2已分別配置了HTTP 80和HTTPS 443服務。
您已分別為網域名稱1
xxxtest.cloud和網域名稱2xxxtest.fun配置了DNS解析,即已配置了A記錄將網域名稱指向後端伺服器的公網IP。
本文使用Nginx配置後端HTTP 80和HTTPS 443服務,並使用阿里雲Alibaba Cloud DNS配置解析記錄為例。
關於如何部署Nginx服務,請參見步驟二:安裝Nginx。
關於如何配置解析記錄,請參見添加解析記錄。如果您使用的DNS解析服務為非阿里雲Alibaba Cloud DNS,請參見您的DNS服務商操作指導。
配置步驟
本文以隨用隨付的標準型Global Accelerator執行個體為例,為您介紹如何配置Global Accelerator服務加速訪問多個HTTPS網域名稱。建立隨用隨付的標準型Global Accelerator執行個體前,請先瞭解以下資訊:
首次使用隨用隨付Global Accelerator執行個體,您需要在服務開通頁面根據提示開通隨用隨付Global Accelerator服務。
步驟一:配置執行個體基礎資訊
在執行個體列表頁面,單擊建立加速執行個體。並根據需要選擇標準型訂用帳戶或標準型隨用隨付。
本文選擇標準型隨用隨付。
在執行個體基礎配置設定精靈頁面,根據以下資訊進行配置,然後單擊下一步。
配置
說明
Global Acceleration執行個體名稱
輸入Global Acceleration執行個體名稱。
執行個體計費方式
預設為隨用隨付。
使用隨用隨付的標準型Global Accelerator執行個體,產生的費用包括:執行個體費、效能容量單位CU費和流量費。
關於執行個體費、效能容量單位CU費更多資訊,請參見隨用隨付Global Acceleration執行個體計費。
關於流量費,請參見流量計費。
資源群組
選擇標準型Global Accelerator執行個體所屬的資源群組。
該資源群組為當前阿里雲帳號在資源管理中建立的資源群組。更多資訊,請參見建立資源群組。
步驟二:配置加速地區
為Global Accelerator執行個體配置加速地區,指定可以加速訪問後端服務的使用者所在的地區並為其分配加速頻寬。
在配置加速地區設定精靈頁面,根據以下資訊配置加速地區,然後單擊下一步。
配置 | 說明 |
加速地區 | 在下拉式清單中選中需要進行訪問加速的一個地區或多個地區,然後單擊添加至列表。 本文在亞太地區地區下選中中國(香港)地區。 |
分配頻寬 | |
頻寬峰值 | 設定加速地區的頻寬。每個加速地區支援分配的頻寬範圍為2~10000 Mbps。 此處頻寬峰值僅作限速,產生的流量費用統一由CDT結算出賬。 本文保持預設值200 Mbps。 重要 如果頻寬峰值設定過低,可能出現限速從而導致流量被丟棄,請合理規劃頻寬峰值,確保和業務需求匹配。 |
IP地址協議 | 選擇接入Global Accelerator服務的IP地址協議。 本文保持預設值IPv4。 |
公網品質類型 | 選擇接入Global Accelerator服務的公網品質類型。 本文選擇BGP(多線)。 |
步驟三:配置監聽
監聽負責檢查串連請求,根據您指定的連接埠和協議處理來自用戶端的入站串連。每個監聽都關聯一個終端節點群組,通過指定要分發流量的地區,將終端節點群組與監聽關聯。關聯後,Global Acceleration會將流量分配到與監聽關聯的終端節點群組內的最佳終端節點。
在配置監聽設定精靈頁面,配置監聽,然後單擊下一步。
配置 | 說明 |
監聽名稱 | 輸入監聽的名稱。 |
路由類型 | 選擇路由類型。 本文選擇智能路由。 |
協議 | 選擇監聽的協議類型。 本文選擇HTTPS。 |
連接埠 | 指定用來接收請求並向終端節點進行轉寄的監聽連接埠,連接埠取值範圍:1-65499。 本文輸入443。 |
選擇伺服器憑證 | 選擇您已經申請的伺服器憑證。 本文選擇您已申請的認證A。 |
TLS安全性原則 | 選擇您業務所需的TLS安全性原則。 TLS安全性原則包含HTTPS可選的TLS協議版本和配套的密碼編譯演算法套件。關於TLS安全性原則,請參見TLS安全性原則說明。 本文不作配置時,預設選擇tls_cipher_policy_1_0。 |
用戶端親和性 | 選擇是否保持用戶端親和性。保持用戶端親和性,即用戶端訪問有狀態的應用程式時,可以將來自同一用戶端的所有請求都定向到同一終端節點。 本文選擇源IP。 |
附加HTTP頭欄位 | 選中所需的附加HTTP頭欄位。 本文保持預設配置。 |
步驟四:配置終端節點群組和終端節點
在配置終端節點群組設定精靈頁面,配置終端節點群組和終端節點,然後單擊下一步。
此處僅介紹本文情境強相關配置項,關於終端節點配置項更多資訊,請參見添加和管理智能路由類型監聽的終端節點群組。
配置
說明
地區
選擇終端節點群組所屬的地區。
本文選擇美國(矽谷)。
終端節點配置
終端節點是用戶端請求訪問的目標主機。您可以根據以下資訊配置終端節點:
後端服務類型:選擇阿里雲公網IP。
後端服務:輸入要加速的後端服務的IP地址。本文輸入伺服器1的公網IP地址47.XX.XX.62。
權重:輸入終端節點的權重,權重取值範圍:0~255。Global Accelerator根據您配置的權重按比例將流量路由到終端節點。 本文保持預設值255。
警告如果某個終端節點的權重設定為0,Global Accelerator將終止向該終端節點分發流量,請您謹慎操作。
保持客戶端源IP
預設開啟保持用戶端源IP功能,支援後端服務查看用戶端源IP地址。HTTP監聽將從HTTP的x-forward-for欄位讀取用戶端源IP地址。更多資訊,請參見保持用戶端源IP。
後端服務合約
選擇後端伺服器使用的服務合約。
預設配置為HTTP。
連接埠映射
當您監聽的連接埠和您終端節點提供服務的連接埠不相同時,您需要輸入連接埠映射關係。
監聽連接埠:只能填寫當前監聽的連接埠。本文輸入443。
終端節點連接埠:您終端節點提供服務的連接埠。本文輸入80。
流量調配
配置到不同終端節點群組的流量比例。
取值範圍:0~100。
本文保持預設值100%。
健全狀態檢查
開啟或關閉健全狀態檢查。
開啟後,可以通過健全狀態檢查來判斷終端節點的運行狀態。關於健全狀態檢查更多資訊,請參見開啟和管理健全狀態檢查。
本文保持預設關閉狀態。
在組態稽核設定精靈頁面,確認資訊,然後單擊提交。
說明建立Global Accelerator執行個體預計耗時3~5分鐘,請您耐心等待。
可選:建立任務完成後,在建立任務詳情列表下方,單擊進入執行個體詳情,然後在執行個體詳情頁,可選擇執行個體資訊、監聽、加速地區等頁簽查看執行個體配置資訊。
配置虛擬終端節點群組。
在執行個體詳情頁面,單擊監聽頁簽。
在監聽頁簽,找到目標監聽,在預設終端節點群組列單擊終端節點群組ID。
在終端節點群組頁簽下的虛擬終端節點群組地區,單擊添加虛擬終端節點群組。
在添加終端節點群組頁面,根據以下資訊進行配置,然後單擊建立。
此處配置除以下列出的參數外,其餘參數與上文預設終端節點群組配置一致。
後端服務類型:選擇阿里雲公網IP。
後端服務:輸入伺服器2的公網IP地址47.XX.XX.34。
後端服務合約:選擇HTTPS。
連接埠映射:無需配置連接埠映射關係。
如果您監聽的連接埠和您終端節點提供服務的連接埠相同,您無需填寫連接埠映射關係,Global Accelerator自動將訪問請求發送至終端節點的監聽連接埠。
步驟五:綁定擴充認證
為HTTPS監聽綁定擴充認證,可以將多個網域名稱關聯到同一個HTTPS協議監聽上。配合基於網域名稱的轉寄策略可以將不同網域名稱的訪問請求轉寄至不同的虛擬終端節點群組。
以下步驟通過為HTTPS監聽綁定認證B,將網域名稱2xxxtest.fun與HTTPS監聽關聯。
在監聽頁簽下,找到目標HTTPS協議監聽,單擊監聽ID。
在監聽詳情頁面下,單擊認證管理頁簽。
在認證管理頁簽下的擴充認證地區,單擊綁定認證。
在綁定認證對話方塊,根據以下資訊配置擴充認證,然後單擊確定。
認證:選擇需要綁定的認證。本文選擇認證B。
關聯網域名稱:選擇該認證下需要使用Global Accelerator服務加速訪問的網域名稱。本文選擇網域名稱2
xxxtest.fun。
步驟六:添加轉寄策略
HTTPS協議監聽接收到訪問請求後,會優先匹配自訂轉寄策略,在滿足匹配條件後,HTTPS協議監聽將訪問請求轉寄至對應終端節點群組中。如果訪問請求未匹配到任何自訂轉寄策略,將會直接通過預設轉寄策略被轉寄至預設終端節點群組中。
以下步驟為伺服器2對應的虛擬終端節點群組建立自訂轉寄策略,將訪問網域名稱2xxxtest.fun的所有請求轉寄至伺服器2。
在監聽頁簽下,找到目標HTTPS協議監聽,單擊監聽ID。
在監聽詳情頁面,單擊轉寄策略頁簽。
在轉寄策略頁簽下,單擊插入新策略。
在插入新策略地區,根據以下資訊配置轉寄策略,並單擊確定。
參數
說明
策略名稱稱
輸入轉寄策略的名稱。
如果(條件全部匹配)
配置轉寄條件。
本文選擇網域名稱,並輸入要匹配的網域名稱2xxxtest.fun。
那麼轉寄動作是
選擇轉寄動作類型及轉寄目標。
本文選擇轉寄至,並選擇步驟四:配置終端節點群組和終端節點已建立的虛擬終端節點群組。
步驟七:配置CNAME解析
您需要將要加速的網域名稱1xxxtest.cloud和網域名稱2xxxtest.fun通過DNS解析到Global Acceleration的CNAME地址,訪問請求才能轉寄到Global Acceleration,實現加速效果。
- 登入阿里雲Alibaba Cloud DNS控制台。
如果您是非阿里雲註冊的網域名稱,請將網域名稱添加到雲解析控制台。
說明對於非阿里雲註冊網域名稱,需先將網域名稱添加到雲解析控制台,才可以進行網域名稱解析設定。具體操作,請參見添加網域名稱。如果您的網域名稱是在阿里雲註冊的,請跳過該步驟。
在網域名稱解析頁面,找到目標網域名稱1
xxxtest.cloud,在操作列單擊解析設定。在解析設定頁面,找到已有的A記錄,在操作列單擊修改。
在修改記錄面板,選擇記錄類型為CNAME,並將記錄值修改為Global Accelerator執行個體分配的CNAME地址,然後單擊確認。
您可以在執行個體列表頁面查看Global Accelerator執行個體分配的CNAME地址。
為網域名稱2
xxxtest.fun修改已有A記錄為CNAME記錄。
如果您需要根據用戶端所屬地區智能返回解析結果,需確保Alibaba Cloud DNS已升級至企業標準版或企業旗艦版。如何升級,請參見續約。
完成升級後,您可以修改已有A記錄的預設解析線路為具體的地區解析線路,並添加CNAME記錄指向Global Accelerator執行個體分配的CNAME地址。
步驟七:訪問測試
測試用戶端是否可以通過不同網域名稱訪問部署在美國矽谷的Web服務,並實現訪問加速。
本文以阿里雲Alibaba Cloud Linux 3作業系統為例進行測試。不同類型的作業系統測試命令可能會有差異,具體測試命令請參見您作業系統的操作指南。
使用Global Accelerator服務後的加速效果以您的實際業務測試為準。
在接入地區(本文為中國香港)的電腦中開啟命令列視窗。
對網域名稱1
xxxtest.cloud和網域名稱2xxxtest.fun分別執行以下命令,驗證CNAME配置是否生效。ping <網站網域名稱>當返回的解析結果與Global Acceleration的CNAME值一致,則表示CNAME配置已經生效。
對網域名稱1
xxxtest.cloud和網域名稱2xxxtest.fun分別執行以下命令,測試網站是否連通及認證是否擷取正常。curl -v https://<網站網域名稱> --resolve <網站網域名稱>:<監聽連接埠>:<加速IP>此處以網域名稱1
xxxtest.cloud測試結果為例。當返回結果包含對應的認證資訊及響應資訊,則表示網站服務正常。
如需測試加速效果,請參見使用網路撥測工具測試加速效果。