在需要超高性能和大规模TLS卸载的场景中,如果您需要转发来自客户端加密的TCP协议请求,您可以在NLB实例上添加一个TCPSSL监听。
前提条件
您已经创建NLB实例。具体操作,请参见创建和管理NLB实例。
您已经创建可用的后端服务器组。具体操作,请参见创建和管理服务器组。
操作指引
本文为您提供以下两种方式创建TCPSSL监听,您可以根据需求选择其中一种方式创建TCPSSL监听。
创建TCPSSL监听:您可以根据业务定制全端口、高级配置等功能。
快速创建TCPSSL监听:您可以快速创建监听,只需配置监听协议、监听端口、服务器证书、TLS安全策略和转发的后端服务器组。
创建TCPSSL监听
步骤一:配置监听
- 登录网络型负载均衡NLB控制台。
在顶部菜单栏,选择NLB实例所属的地域。
在实例页面,找到目标实例,选择以下一种方法,打开监听配置向导。
在操作列单击创建监听。
单击实例ID,然后单击监听页签,在监听页签,单击监听列表上方的创建监听。
单击实例ID,在实例详情页单击配置向导中的创建监听。
单击实例ID,在实例详情页的右上角单击创建监听。
在配置监听配置向导页面,完成以下配置,然后单击下一步。
监听配置
说明
选择监听协议
选择一种监听协议。本文选择TCPSSL。
全端口功能
选择是否开启全端口功能。开启全端口功能后,NLB可以对监听端口段的所有端口进行监听,并将监听端口上接收到的请求直接转发至后端服务器的对应端口。
说明添加至全端口监听的服务器组需开启全端口转发功能。
监听端口段
全端口功能开启时,需输入监听端口段的起始端口和结束端口。
重要监听创建成功后,监听端口段的范围不支持修改。
监听端口
输入用来接收请求并向后端服务器进行请求转发的监听端口。
您可以直接单击常用监听端口快捷填写,或者输入端口。监听端口范围:1~65535。
当全端口功能开启时,无需配置该参数。
监听名称
自定义监听的名称。
标签
设置标签键和标签值。
设置标签后,您可以在监听页签使用标签筛选监听。
高级配置
单击修改展开高级配置。
连接空闲超时时间
指定TCPSSL连接的超时时间,在超时时间内一直没有访问请求,NLB会暂时中断当前连接,直到下一次请求来临时重新建立新的连接。
新建连接限速
选择是否开启新建连接限速功能。
每秒新建连接数上限
开启新建连接限速后,设置该监听在每个可用区(VIP)处理的每秒新建连接数上限。
重要该限速值仅作用于当前监听,访问其他监听不会受该限速影响。其他监听的限速值以各自配置为准。
开启ProxyProtocol
选择是否开启ProxyProtocol。开启后表示支持通过ProxyProtocol协议携带客户端源地址到后端服务器。
更多信息,请参见通过NLB获取客户端真实IP。
开启Alpn策略
选择是否开启ALPN策略。ALPN策略允许客户端和服务端更好地控制他们之间的通信协议,从而提高通信的性能和安全性。例如优先使用HTTP2.0可以减少延迟和带宽。
定义:应用层协议协商ALPN(Application-Layer Protocol Negotiation)是一个传输层安全协议(TLS)的扩展字段,它允许客户端和服务端在TLS握手期间协商应用层协议,这使得客户端和服务端能够选择最合适的协议来通信,例如HTTP1.0、HTTP1.1、HTTP2.0等。
说明:ALPN是在TLS握手的扩展字段中定义的,当NLB使用TCPSSL监听并开启ALPN策略时,TLS握手将会在客户端和NLB之间进行。客户端会向NLB发送一份支持的协议列表,NLB会在这些协议中选择一个来使用,并在握手结束后通知客户端选择的协议。
Alpn策略
开启ALPN策略后,选择一个ALPN策略。
HTTP1Only:只协商使用HTTP1.x协议,优先级为HTTP1.1>HTTP1.0。
HTTP2Only:只协商使用HTTP2.0协议。
HTTP2Optional:优先使用HTTP1.x协议,但也接受HTTP2.0协议,优先级为HTTP1.1>HTTP1.0>HTTP2.0。
HTTP2Preferred:优先使用HTTP2.0协议,但也接受HTTP1.x协议,优先级为HTTP2.0>HTTP1.1>HTTP1.0。
步骤二:配置SSL证书
添加TCPSSL监听,您需要配置SSL证书以确保您的业务受到加密保护并得到权威机构的身份认证,如下表所示。
证书 | 说明 | 单向认证是否需要 | 双向认证是否需要 |
服务器证书 | 用来证明服务器的身份。 您的浏览器用来检查服务器发送的证书是否是由自己信赖的中心签发的。更多信息,请参见什么是SSL证书。 | 是 您可在证书中心购买或上传服务器证书,NLB从证书中心获取该证书并使用。 | 是 您可在证书中心购买或上传服务器证书,NLB从证书中心获取该证书并使用。 |
CA证书 | 服务器用CA证书验证客户端证书的签名。如果没有通过验证,拒绝连接。 说明 客户端用户在与服务器端通信时,客户端证书用来证明客户端用户的真实身份。客户端证书仅需要在客户端安装。 | 否 | 是 您可在证书中心购买CA证书,NLB从证书中心获取该证书并使用。 |
如果您有多域名访问或挂载多个服务器证书的需求,配置完TCPSSL监听后,您可以选择为该TCPSSL监听添加扩展证书。具体操作,请参见添加扩展证书。
在配置SSL证书配置向导页面,在选择服务器证书下拉框中选择一个服务器证书。
可选:开启高级配置中的启用双向认证。选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。
如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA。
说明开启双向认证后,如果您后续需要关闭双向认证,请参考以下步骤。
在实例页面,单击目标实例ID。
在监听页签,单击目标TCPSSL协议监听ID。
在监听详情页签,在SSL证书区域关闭双向认证开关。
选择TLS安全策略,单击下一步。
如果没有可选的TLS安全策略,您可以在下拉框中单击创建TLS安全策略。更多信息,请参见TLS安全策略。
步骤三:选择服务器组
在选择服务器组配置向导页面,选择后端服务器组,并查看后端服务器信息,然后单击下一步。
TCPSSL监听不能选择已开启客户端地址保持功能的服务器组。
步骤四:配置审核
在配置审核配置向导页面,确认配置信息,单击提交。
快速创建TCPSSL监听
选择快速创建监听,您只需配置监听协议、监听端口、服务器证书、TLS安全策略和转发的后端服务器组。
- 登录网络型负载均衡NLB控制台。
在顶部菜单栏,选择NLB实例所属的地域。
在左侧导航栏,选择 。
在实例页面,找到目标实例,单击实例ID。
单击监听页签,在监听页签单击快速创建监听。
在快速创建监听对话框中,完成以下参数的配置,然后单击确定。
相关文档
教程类:
如果您需要在流量入口部署NLB并配置SSL证书,实现TCPSSL卸载(单向认证),请参见通过NLB实现TCPSSL卸载(单向认证)。
如果您需要在流量入口部署NLB并配置SSL证书和CA证书,实现TCPSSL卸载(双向认证),请参见通过NLB实现TCPSSL卸载(双向认证)。
API类:
CreateListener:为网络型负载均衡实例创建TCP、UDP或TCPSSL监听。
DeleteListener:删除网络型负载均衡监听。
ListListeners:查询网络型负载均衡监听列表。
UpdateListenerAttribute:更新网络型负载均衡监听的配置。
StartListener:启动网络型负载均衡监听。
StopListener:停止网络型负载均衡实例的监听。
GetListenerAttribute:查询网络型负载均衡实例的监听详情。
GetListenerHealthStatus:查询网络型负载均衡实例监听的健康检查状态。