全部產品
Search
文件中心

Server Load Balancer:通過NLB實現TCPSSL卸載(單向認證)

更新時間:Nov 16, 2024

當您使用四層負載平衡時,如果安全性要求較高需要使用SSL加密,但在每個後端伺服器上配置SSL認證會降低業務處理效率,此時您可以使用NLB提供的大規模SSL卸載功能。通過在流量入口部署NLB並配置SSL認證,後端伺服器無需配置SSL,NLB即可通過TCPSSL監聽來接收加密流量,並將其解析為明文流量然後將流量分發至後端伺服器。這種方式可以提高後端業務的處理效率,簡化了後端伺服器和SSL的配置,同時仍然保證了通訊的安全性。

前提條件

  • 已建立NLB執行個體。具體操作,請參見建立和管理NLB執行個體

  • 已建立NLB後端伺服器組。具體操作,請參見建立和管理伺服器組

    重要
    • 伺服器組後端協議必須為TCP協議。

    • TCPSSL類型的監聽不能選擇開啟用戶端地址保持功能的伺服器組。請確保建立的伺服器組已經關閉該功能。

  • 已在後端伺服器組中分別添加ECS01和ECS02執行個體,並在ECS01和ECS02中部署了應用服務。

步驟一:準備伺服器憑證

您可以從阿里雲購買伺服器憑證,或者在其他服務位址購買伺服器憑證並上傳。

本文以從阿里雲購買伺服器憑證為例。

說明

購買SSL認證時需要綁定網域名稱,請確保您已經註冊網域名稱並完成備案。具體操作,請參見註冊阿里雲網域名稱ICP備案流程

步驟二:配置TCPSSL監聽

  1. 登入網路型負載平衡NLB控制台

  2. 在左側導覽列,選擇網路型負載均衡 NLB > 執行個體

  3. 在頂部功能表列處,選擇執行個體所屬的地區。

  4. 執行個體頁面,找到目標執行個體,然後在操作列單擊建立監聽

  5. 配置監聽頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步

    配置

    說明

    選擇監聽協議

    選擇TCPSSL

    監聽連接埠

    本文配置連接埠443。

  6. 配置SSL認證頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步

    配置

    說明

    選擇伺服器憑證

    選擇步驟一中準備的伺服器憑證。

    TLS安全性原則

    根據實際安全性原則需求選擇。如果選擇較高版本需要注意與用戶端的相容性。

  7. 選擇伺服器組頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步

    配置

    說明

    選擇伺服器組

    選擇此前已建立好的伺服器組。

  8. 組態稽核頁面,檢查配置參數是否有誤,無誤的話單擊提交,等待監聽建立完成。

步驟三:佈建網域名解析

實際業務情境中,建議您使用自有網域名稱,通過CNAME解析的方式將自有網域名稱指向NLB執行個體網域名稱。

  1. 在左側導覽列,選擇網路型負載均衡 NLB > 執行個體

  2. 執行個體頁面,複製已建立的NLB執行個體的DNS名稱。

  3. 執行以下步驟添加CNAME解析記錄。

    說明

    對於非阿里雲註冊網域名稱,需先將網域名稱添加到雲解析控制台,才可以進行網域名稱解析設定。具體操作,請參見網域名稱管理。如果您是阿里雲註冊的網域名稱,請直接執行以下步驟。

    1. 登入網域名稱解析控制台

    2. 權威網域名稱解析頁面,找到目標網域名稱,在操作列單擊解析設定

    3. 解析設定頁面,單擊添加記錄

    4. 添加記錄面板,配置以下資訊完成CNAME解析配置,然後單擊確定

      配置

      說明

      記錄類型

      在下拉式清單中選擇CNAME

      主機記錄

      您的網域名稱的首碼。本文輸入@

      說明

      建立網域名稱為根網域名稱時,主機記錄為@

      解析請求來源

      選擇預設。

      記錄值

      輸入欄位名對應的CNAME地址,此處為NLB執行個體的DNS名稱。

      TTL

      全稱Time To Live,表示DNS記錄在DNS伺服器上的緩衝時間,本文使用預設值。

步驟四:訪問測試

在瀏覽器中輸入NLB對應綁定的網域名稱,並多次重新整理頁面,您可以看到請求正通過HTTPS協議訪問後端服務,且請求在兩台ECS之間轉換。

重要

由於瀏覽器緩衝問題,四層負載平衡驗證時,請您每次使用無痕瀏覽器訪問DNS網域名稱。

ECS01ECS02

相關文檔