當您使用四層負載平衡時,如果安全性要求較高需要使用SSL加密,但在每個後端伺服器上配置SSL認證會降低業務處理效率,此時您可以使用NLB提供的大規模SSL卸載功能。通過在流量入口部署NLB並配置SSL認證,後端伺服器無需配置SSL,NLB即可通過TCPSSL監聽來接收加密流量,並將其解析為明文流量然後將流量分發至後端伺服器。這種方式可以提高後端業務的處理效率,簡化了後端伺服器和SSL的配置,同時仍然保證了通訊的安全性。
前提條件
已建立NLB執行個體。具體操作,請參見建立和管理NLB執行個體。
已建立NLB後端伺服器組。具體操作,請參見建立和管理伺服器組。
重要伺服器組後端協議必須為TCP協議。
TCPSSL類型的監聽不能選擇開啟用戶端地址保持功能的伺服器組。請確保建立的伺服器組已經關閉該功能。
已在後端伺服器組中分別添加ECS01和ECS02執行個體,並在ECS01和ECS02中部署了應用服務。
步驟一:準備伺服器憑證
您可以從阿里雲購買伺服器憑證,或者在其他服務位址購買伺服器憑證並上傳。
步驟二:配置TCPSSL監聽
在左側導覽列,選擇。
在頂部功能表列處,選擇執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,然後在操作列單擊建立監聽。
在配置監聽頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇監聽協議
選擇TCPSSL。
監聽連接埠
本文配置連接埠443。
在配置SSL認證頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇伺服器憑證
選擇步驟一中準備的伺服器憑證。
TLS安全性原則
根據實際安全性原則需求選擇。如果選擇較高版本需要注意與用戶端的相容性。
在選擇伺服器組頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇伺服器組
選擇此前已建立好的伺服器組。
在組態稽核頁面,檢查配置參數是否有誤,無誤的話單擊提交,等待監聽建立完成。
步驟三:佈建網域名解析
在頂部功能表列選擇地區。
選擇要進行網域名稱解析的NLB執行個體,複製其對應的DNS名稱。
完成以下步驟來添加CNAME解析記錄。
登入網域名稱解析控制台。
在網域名稱解析頁面單擊添加網域名稱。
在添加網域名稱對話方塊中輸入您的主機網域名稱,然後單擊確認。
重要您的主機網域名稱需已完成TXT記錄驗證。
在目標網域名稱的操作列單擊解析設定。
在解析設定頁面單擊添加記錄。
在添加記錄面板配置以下資訊完成CNAME解析配置,然後單擊確認。
配置
說明
記錄類型
在下拉式清單中選擇CNAME。
主機記錄
您的網域名稱的首碼。
解析請求來源
選擇預設。
記錄值
輸入欄位名對應的CNAME地址,即您複製的NLB執行個體的DNS名稱。
TTL
全稱Time To Live,表示DNS記錄在DNS伺服器上的緩衝時間,本文使用預設值。
步驟四:訪問測試
在瀏覽器中輸入NLB對應綁定的網域名稱,並多次重新整理頁面,您可以看到請求正通過HTTPS協議訪問後端服務,且請求在兩台ECS之間轉換。
由於瀏覽器緩衝問題,四層負載平衡驗證時,請您每次使用無痕瀏覽器訪問DNS網域名稱。
相關文檔
如您需要使用非阿里雲簽發的伺服器憑證,認證要求及上傳操作相關注意事項可參考上傳和共用SSL認證。
添加TCPSSL監聽詳細操作可參考添加TCPSSL監聽。
如您有更高的安全需求,您可參考通過NLB實現TCPSSL卸載(雙向認證),實現對伺服器和用戶端的雙向認證,為您的業務提供更高的安全性。