当您使用四层负载均衡时,如果安全性要求较高需要使用SSL加密,但在每个后端服务器上配置SSL认证会降低业务处理效率,此时您可以使用NLB提供的大规模SSL卸载功能。通过在流量入口部署NLB并配置SSL证书,后端服务器无需配置SSL,NLB即可通过TCPSSL监听来接收加密流量,并将其解析为明文流量然后将流量分发至后端服务器。这种方式可以提高后端业务的处理效率,简化了后端服务器和SSL的配置,同时仍然保证了通信的安全性。
前提条件
已创建NLB实例。具体操作,请参见创建和管理NLB实例。
已创建NLB后端服务器组。具体操作,请参见创建和管理服务器组。
重要服务器组后端协议必须为TCP协议。
TCPSSL类型的监听不能选择开启客户端地址保持功能的服务器组。请确保创建的服务器组已经关闭该功能。
已在后端服务器组中分别添加ECS01和ECS02实例,并在ECS01和ECS02中部署了应用服务。
步骤一:准备服务器证书
您可以从阿里云购买服务器证书,或者在其他服务商处购买服务器证书并上传。
步骤二:配置TCPSSL监听
在左侧导航栏,选择。
在顶部菜单栏处,选择实例所属的地域。
在实例页面,找到目标实例,然后在操作列单击创建监听。
在配置监听页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步。
配置
说明
选择监听协议
选择TCPSSL。
监听端口
本文配置端口443。
在配置SSL证书页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步。
配置
说明
选择服务器证书
选择步骤一中准备的服务器证书。
TLS安全策略
根据实际安全策略需求选择。如果选择较高版本需要注意与客户端的兼容性。
在选择服务器组页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步。
配置
说明
选择服务器组
选择此前已创建好的服务器组。
在配置审核页面,检查配置参数是否有误,无误的话单击提交,等待监听创建完成。
步骤三:配置域名解析
实际业务场景中,建议您使用自有域名,通过CNAME解析的方式将自有域名指向NLB实例域名。
在左侧导航栏,选择。
在实例页面,复制已创建的NLB实例的DNS名称。
执行以下步骤添加CNAME解析记录。
说明对于非阿里云注册域名,需先将域名添加到云解析控制台,才可以进行域名解析设置。具体操作,请参见域名管理。如果您是阿里云注册的域名,请直接执行以下步骤。
登录域名解析控制台。
在权威域名解析页面,找到目标域名,在操作列单击解析设置。
在解析设置页面,单击添加记录。
在添加记录面板,配置以下信息完成CNAME解析配置,然后单击确定。
配置
说明
记录类型
在下拉列表中选择CNAME。
主机记录
您的域名的前缀。本文输入@。
说明创建域名为根域名时,主机记录为@。
解析请求来源
选择默认。
记录值
输入域名对应的CNAME地址,此处为NLB实例的DNS名称。
TTL
全称Time To Live,表示DNS记录在DNS服务器上的缓存时间,本文使用默认值。
步骤四:访问测试
在浏览器中输入NLB对应绑定的域名,并多次刷新页面,您可以看到请求正通过HTTPS协议访问后端服务,且请求在两台ECS之间转换。
由于浏览器缓存问题,四层负载均衡验证时,请您每次使用无痕浏览器访问DNS域名。
相关文档
如您需要使用非阿里云签发的服务器证书,证书要求及上传操作相关注意事项可参考上传和共享SSL证书。
添加TCPSSL监听详细操作可参考添加TCPSSL监听。
如您有更高的安全需求,您可参考通过NLB实现TCPSSL卸载(双向认证),实现对服务器和客户端的双向认证,为您的业务提供更高的安全性。