本文介紹如何使用ALB配置全鏈路HTTPS加密通訊。
應用情境
隨著企業的業務大量上雲,雲上承載業務的安全性變得越來越重要,尤其在金融、政府等行業,為了保障業務的安全性,往往會存在全鏈路加密的要求。這就要求負載平衡在提供服務的時候,不僅要保障前端(用戶端到負載平衡)通訊的安全,還要保障後端(負載平衡到商務服務器)通訊的安全。
ALB提供全鏈路HTTPS加密功能,可以實現用戶端到ALB、ALB到後端伺服器之間的全鏈路加密通訊,提升敏感業務的安全性。
配置全鏈路HTTPS訪問
- 登入應用型負載平衡ALB控制台。
在頂部功能表列,選擇ALB執行個體的所屬地區。
在左側導覽列,選擇。
在伺服器組頁面,單擊建立伺服器組,部分參數可參考下表配置,其他參數請保持預設,完成後單擊建立。
配置
說明
伺服器群組類型
選擇伺服器群組類型。本文選擇伺服器類型。
伺服器組名稱
輸入伺服器組名稱。
請選擇VPC的資源群組
選擇VPC歸屬的資源群組。
VPC
從VPC下拉式清單中選擇一個VPC。本文選擇ALB執行個體所在的VPC。
選擇後端協議
選擇一種後端協議。本文選擇HTTPS。
選擇調度演算法
選擇一種調度演算法。本文使用預設值加權輪詢。
選擇資源群組
選擇歸屬的資源群組。
開啟IPv6掛載
VPC開啟IPv6功能後可選擇是否開啟IPv6掛載功能,預設關閉。不開啟時,伺服器組僅支援掛載IPv4類型的後端伺服器;開啟IPv6掛載功能後,伺服器組支援掛載IPv4、IPv6類型的後端伺服器。
開啟會話保持
選擇是否開啟會話保持功能,預設關閉。不開啟時,ALB會將每個用戶端請求分別分發到不同的後端伺服器;開啟會話保持功能後,ALB會把來自同一用戶端的訪問請求分發到同一台後端伺服器。本文保持預設設定,即關閉會話保持。
開啟後端長串連
選擇是否開啟後端長串連,預設開啟。開啟後端長串連,ALB到後端伺服器之間會維持一定數量的TCP長串連,當新請求到達時,如果有閒置TCP長串連,ALB優先使用TCP長串連轉寄請求到後端伺服器,從而減少TCP握手建連次數,減輕後端伺服器壓力。
開啟健全狀態檢查
開啟或關閉健全狀態檢查。本文保持預設設定,即開啟健全狀態檢查。
健全狀態檢查配置
本文使用預設配置。更多資訊,請參見建立和管理伺服器組。
在伺服器組頁面,找到目標伺服器組,然後在操作列單擊編輯後端伺服器。
在後端伺服器頁簽,單擊添加後端伺服器。
在添加後端伺服器面板,選擇後端伺服器類型,選中目標伺服器,然後單擊下一步。
設定伺服器的連接埠為443,權重保持預設值,然後單擊確定。
建立HTTPS監聽,具體操作,請參見添加HTTPS監聽。
說明在選擇伺服器組設定精靈中,您需要選擇剛建立的後端伺服器組。