在需要超高效能和大規模TLS卸載的情境中,如果您需要轉寄來自用戶端加密的TCP協議請求,您可以在NLB執行個體上添加一個TCPSSL監聽。
前提條件
您已經建立NLB執行個體。具體操作,請參見建立和管理NLB執行個體。
您已經建立可用的後端伺服器組。具體操作,請參見建立和管理伺服器組。
操作指引
本文為您提供以下兩種方式建立TCPSSL監聽,您可以根據需求選擇其中一種方式建立TCPSSL監聽。
建立TCPSSL監聽:您可以根據業務定製全連接埠、進階配置等功能。
快速建立TCPSSL監聽:您可以快速建立監聽,只需配置監聽協議、監聽連接埠、伺服器憑證、TLS安全性原則和轉寄的後端伺服器組。
建立TCPSSL監聽
步驟一:配置監聽
- 登入網路型負載平衡NLB控制台。
在頂部功能表列,選擇NLB執行個體所屬的地區。
在執行個體頁面,找到目標執行個體,選擇以下一種方法,開啟監聽設定精靈。
在操作列單擊建立監聽。
單擊執行個體ID,然後單擊監聽頁簽,在監聽頁簽,單擊監聽列表上方的建立監聽。
單擊執行個體ID,在執行個體詳情頁單擊設定精靈中的建立監聽。
單擊執行個體ID,在執行個體詳情頁的右上方單擊建立監聽。
在配置監聽設定精靈頁面,完成以下配置,然後單擊下一步。
監聽配置
說明
選擇監聽協議
選擇一種監聽協議。本文選擇TCPSSL。
全連接埠功能
選擇是否開啟全連接埠功能。開啟全連接埠功能後,NLB可以對監聽連接埠段的所有連接埠進行監聽,並將監聽連接埠上接收到的請求直接轉寄至後端伺服器的對應連接埠。
說明添加至全連接埠監聽的伺服器組需開啟全連接埠轉寄功能。
監聽連接埠段
全連接埠功能開啟時,需輸入監聽連接埠段的開始端點口和結束連接埠。
重要監聽建立成功後,監聽連接埠段的範圍不支援修改。
監聽連接埠
輸入用來接收請求並向後端伺服器進行請求轉寄的監聽連接埠。
您可以直接單擊常用監聽連接埠快捷填寫,或者輸入連接埠。監聽連接埠範圍:1~65535。
當全連接埠功能開啟時,無需配置該參數。
監聽名稱
自訂監聽的名稱。
標籤
設定標籤鍵和標籤值。
設定標籤後,您可以在監聽頁簽使用標籤篩選監聽。
進階配置
單擊修改展開進階配置。
串連空閑逾時時間
指定TCPSSL串連的逾時時間,在逾時時間內一直沒有訪問請求,NLB會暫時中斷當前串連,直到下一次請求來臨時重建立立新的串連。
建立串連限速
選擇是否開啟建立串連限速功能。
每秒建立串連數上限
開啟建立串連限速後,設定該執行個體在每個可用性區域(VIP)處理的每秒建立串連數上限。
重要該限速值僅作用於當前監聽,訪問其他監聽不會受該限速影響。其他監聽的限速值以各自配置為準。
開啟ProxyProtocol
選擇是否開啟ProxyProtocol。開啟後表示支援通過ProxyProtocol協議攜帶用戶端源地址到後端伺服器。
更多資訊,請參見通過NLB擷取用戶端真實IP。
開啟Alpn策略
選擇是否開啟ALPN策略。ALPN策略允許用戶端和服務端更好地控制他們之間的通訊協定,從而提高通訊的效能和安全性。例如優先使用HTTP2.0可以減少延遲和頻寬。
定義:應用程式層協議協商ALPN(Application-Layer Protocol Negotiation)是一個傳輸層安全性通訊協定(TLS)的擴充欄位,它允許用戶端和服務端在TLS握手期間協商應用程式層協議,這使得用戶端和服務端能夠選擇最合適的協議來通訊,例如HTTP1.0、HTTP1.1、HTTP2.0等。
說明:ALPN是在TLS握手的擴充欄位中定義的,當NLB使用TCPSSL監聽並開啟ALPN策略時,TLS握手將會在用戶端和NLB之間進行。用戶端會向NLB發送一份支援的協議列表,NLB會在這些協議中選擇一個來使用,並在握手結束後通知用戶端選擇的協議。
Alpn策略
開啟ALPN策略後,選擇一個ALPN策略。
HTTP1Only:只協商使用HTTP1.x協議,優先順序為HTTP1.1>HTTP1.0。
HTTP2Only:只協商使用HTTP2.0協議。
HTTP2Optional:優先使用HTTP1.x協議,但也接受HTTP2.0協議,優先順序為HTTP1.1>HTTP1.0>HTTP2.0。
HTTP2Preferred:優先使用HTTP2.0協議,但也接受HTTP1.x協議,優先順序為HTTP2.0>HTTP1.1>HTTP1.0。
步驟二:配置SSL認證
添加TCPSSL監聽,您需要配置SSL認證以確保您的業務受到加密保護並得到權威機構的身份認證,如下表所示。
認證 | 說明 | 單向認證是否需要 | 雙向認證是否需要 |
伺服器憑證 | 用來證明伺服器的身份。 您的瀏覽器用來檢查伺服器發送的認證是否是由自己信賴的中心簽發的。更多資訊,請參見什麼是SSL認證。 | 是 您可在認證中心購買或上傳伺服器憑證,NLB從認證中心擷取該認證並使用。 | 是 您可在認證中心購買或上傳伺服器憑證,NLB從認證中心擷取該認證並使用。 |
CA認證 | 伺服器用CA認證驗證用戶端認證的簽名。如果沒有通過驗證,拒絕串連。 說明 用戶端使用者在與伺服器端通訊時,用戶端認證用來證明用戶端使用者的真實身份。用戶端認證僅需要在用戶端安裝。 | 否 | 是 您可在認證中心購買CA認證,NLB從認證中心擷取該認證並使用。 |
如果您有多網域名稱訪問或掛載多個伺服器憑證的需求,配置完TCPSSL監聽後,您可以選擇為該TCPSSL監聽添加擴充認證。具體操作,請參見添加擴充認證。
在配置SSL認證設定精靈頁面,在選擇伺服器憑證下拉框中選擇一個伺服器憑證。
可選:開啟進階配置中的啟用雙向認證。選擇CA認證來源為阿里雲簽發,在選擇預設CA認證下拉框中選擇一個CA認證。
如果沒有可選的CA認證,您可以在下拉框中單擊購買CA認證建立新認證。更多資訊,請參見購買及啟用私人CA。
說明開啟雙向認證後,如果您後續需要關閉雙向認證,請參考以下步驟。
在執行個體頁面,單擊目標執行個體ID。
在監聽頁簽,單擊目標TCPSSL協議監聽ID。
在監聽詳情頁簽,在SSL認證地區關閉雙向認證開關。
選擇TLS安全性原則,單擊下一步。
如果沒有可選的TLS安全性原則,您可以在下拉框中單擊建立TLS安全性原則。更多資訊,請參見TLS安全性原則。
步驟三:選擇伺服器組
在選擇伺服器組設定精靈頁面,選擇後端伺服器組,並查看後端伺服器資訊,然後單擊下一步。
TCPSSL監聽不能選擇已開啟用戶端地址保持功能的伺服器組。
步驟四:組態稽核
在組態稽核設定精靈頁面,確認配置資訊,單擊提交。
快速建立TCPSSL監聽
選擇快速建立監聽,您只需配置監聽協議、監聽連接埠、伺服器憑證、TLS安全性原則和轉寄的後端伺服器組。
- 登入網路型負載平衡NLB控制台。
在頂部功能表列,選擇NLB執行個體所屬的地區。
在左側導覽列,選擇。
在執行個體頁面,找到目標執行個體,單擊執行個體ID。
單擊監聽頁簽,在監聽頁簽單擊快速建立監聽。
在快速建立監聽對話方塊中,完成以下參數的配置,然後單擊確定。
相關文檔
教程類:
如果您需要在流量入口部署NLB並配置SSL認證,實現TCPSSL卸載(單向認證),請參見通過NLB實現TCPSSL卸載(單向認證)。
如果您需要在流量入口部署NLB並配置SSL認證和CA認證,實現TCPSSL卸載(雙向認證),請參見通過NLB實現TCPSSL卸載(雙向認證)。
API類:
CreateListener:為網路型Server Load Balancer執行個體建立TCP、UDP或TCPSSL監聽。
DeleteListener:刪除網路型負載平衡監聽。
ListListeners:查詢網路型負載平衡監聽列表。
UpdateListenerAttribute:更新網路型負載平衡監聽的配置。
StartListener:啟動網路型負載平衡監聽。
StopListener:停止網路型Server Load Balancer執行個體的監聽。
GetListenerAttribute:查詢網路型Server Load Balancer執行個體的監聽詳情。
GetListenerHealthStatus:查詢網路型Server Load Balancer執行個體監聽的健全狀態檢查狀態。