當您使用四層負載平衡時,如果安全性要求較高需要使用SSL加密,但在每個後端伺服器上配置SSL認證會降低業務處理效率,此時您可以使用NLB提供的大規模SSL卸載功能。通過在流量入口部署NLB並配置SSL認證,後端伺服器無需配置SSL,NLB即可通過TCPSSL監聽來接收加密流量,並將其解析為明文流量然後將流量分發至後端伺服器。這種方式可以提高後端業務的處理效率,簡化了後端伺服器和SSL的配置,同時仍然保證了通訊的安全性。
前提條件
已建立NLB執行個體。具體操作,請參見建立和管理NLB執行個體。
已建立NLB後端伺服器組。具體操作,請參見建立和管理伺服器組。
重要伺服器組後端協議必須為TCP協議。
TCPSSL類型的監聽不能選擇開啟用戶端地址保持功能的伺服器組。請確保建立的伺服器組已經關閉該功能。
已在後端伺服器組中分別添加ECS01和ECS02執行個體,並在ECS01和ECS02中部署了應用服務。
步驟一:準備伺服器憑證
您可以從阿里雲購買伺服器憑證,或者在其他服務位址購買伺服器憑證並上傳。
步驟二:配置TCPSSL監聽
在左側導覽列,選擇
。在頂部功能表列處,選擇執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,然後在操作列單擊建立監聽。
在配置監聽頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇監聽協議
選擇TCPSSL。
監聽連接埠
本文配置連接埠443。
在配置SSL認證頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇伺服器憑證
選擇步驟一中準備的伺服器憑證。
TLS安全性原則
根據實際安全性原則需求選擇。如果選擇較高版本需要注意與用戶端的相容性。
在選擇伺服器組頁面配置以下資訊,其他參數可保持預設值或根據實際情況修改。完成後單擊下一步。
配置
說明
選擇伺服器組
選擇此前已建立好的伺服器組。
在組態稽核頁面,檢查配置參數是否有誤,無誤的話單擊提交,等待監聽建立完成。
步驟三:佈建網域名解析
實際業務情境中,建議您使用自有網域名稱,通過CNAME解析的方式將自有網域名稱指向NLB執行個體網域名稱。
在左側導覽列,選擇 。
在執行個體頁面,複製已建立的NLB執行個體的DNS名稱。
執行以下步驟添加CNAME解析記錄。
說明對於非阿里雲註冊網域名稱,需先將網域名稱添加到雲解析控制台,才可以進行網域名稱解析設定。具體操作,請參見網域名稱管理。如果您是阿里雲註冊的網域名稱,請直接執行以下步驟。
登入網域名稱解析控制台。
在權威網域名稱解析頁面,找到目標網域名稱,在操作列單擊解析設定。
在解析設定頁面,單擊添加記錄。
在添加記錄面板,配置以下資訊完成CNAME解析配置,然後單擊確定。
配置
說明
記錄類型
在下拉式清單中選擇CNAME。
主機記錄
您的網域名稱的首碼。本文輸入@。
說明建立網域名稱為根網域名稱時,主機記錄為@。
解析請求來源
選擇預設。
記錄值
輸入欄位名對應的CNAME地址,此處為NLB執行個體的DNS名稱。
TTL
全稱Time To Live,表示DNS記錄在DNS伺服器上的緩衝時間,本文使用預設值。
步驟四:訪問測試
在瀏覽器中輸入NLB對應綁定的網域名稱,並多次重新整理頁面,您可以看到請求正通過HTTPS協議訪問後端服務,且請求在兩台ECS之間轉換。
由於瀏覽器緩衝問題,四層負載平衡驗證時,請您每次使用無痕瀏覽器訪問DNS網域名稱。
相關文檔
如您需要使用非阿里雲簽發的伺服器憑證,認證要求及上傳操作相關注意事項可參考上傳和共用SSL認證。
添加TCPSSL監聽詳細操作可參考添加TCPSSL監聽。
如您有更高的安全需求,您可參考通過NLB實現TCPSSL卸載(雙向認證),實現對伺服器和用戶端的雙向認證,為您的業務提供更高的安全性。