本文介绍如何使用ALB配置全链路HTTPS加密通信。
应用场景
随着企业的业务大量上云,云上承载业务的安全性变得越来越重要,尤其在金融、政府等行业,为了保障业务的安全性,往往会存在全链路加密的要求。这就要求负载均衡在提供服务的时候,不仅要保障前端(客户端到负载均衡)通信的安全,还要保障后端(负载均衡到业务服务器)通信的安全。
ALB提供全链路HTTPS加密功能,可以实现客户端到ALB、ALB到后端服务器之间的全链路加密通信,提升敏感业务的安全性。
配置全链路HTTPS访问
- 登录应用型负载均衡ALB控制台。
在顶部菜单栏,选择ALB实例的所属地域。
在左侧导航栏,选择。
在服务器组页面,单击创建服务器组,部分参数可参考下表配置,其他参数请保持默认,完成后单击创建。
配置
说明
服务器组类型
选择服务器组类型。本文选择服务器类型。
服务器组名称
输入服务器组名称。
请选择VPC的资源组
选择VPC归属的资源组。
VPC
从VPC下拉列表中选择一个VPC。本文选择ALB实例所在的VPC。
选择后端协议
选择一种后端协议。本文选择HTTPS。
选择调度算法
选择一种调度算法。本文使用默认值加权轮询。
选择资源组
选择归属的资源组。
开启IPv6挂载
VPC开启IPv6功能后可选择是否开启IPv6挂载功能,默认关闭。不开启时,服务器组仅支持挂载IPv4类型的后端服务器;开启IPv6挂载功能后,服务器组支持挂载IPv4、IPv6类型的后端服务器。
开启会话保持
选择是否开启会话保持功能,默认关闭。不开启时,ALB会将每个客户端请求分别分发到不同的后端服务器;开启会话保持功能后,ALB会把来自同一客户端的访问请求分发到同一台后端服务器。本文保持默认设置,即关闭会话保持。
开启后端长连接
选择是否开启后端长连接,默认开启。开启后端长连接,ALB到后端服务器之间会维持一定数量的TCP长连接,当新请求到达时,如果有空闲的TCP长连接,ALB优先使用TCP长连接转发请求到后端服务器,从而减少TCP握手建连次数,减轻后端服务器压力。
开启健康检查
开启或关闭健康检查。本文保持默认设置,即开启健康检查。
健康检查配置
本文使用默认配置。更多信息,请参见创建和管理服务器组。
在服务器组页面,找到目标服务器组,然后在操作列单击编辑后端服务器。
在后端服务器页签,单击添加后端服务器。
在添加后端服务器面板,选择后端服务器类型,选中目标服务器,然后单击下一步。
设置服务器的端口为443,权重保持默认值,然后单击确定。
创建HTTPS监听,具体操作,请参见添加HTTPS监听。
说明在选择服务器组配置向导中,您需要选择刚创建的后端服务器组。