Jika Anda menggunakan load balancer Lapisan 4 dan ingin meningkatkan keamanan dengan enkripsi SSL, Anda dapat mengonfigurasi sertifikat SSL di setiap server backend. Namun, pendekatan ini tidak efisien. Sebagai solusi, Anda dapat memanfaatkan fitur SSL offloading dari Network Load Balancer (NLB). Dengan mengonfigurasi instance NLB sebagai titik masuk lalu lintas dan menambahkan sertifikat SSL, instance NLB akan mendekripsi lalu lintas terenkripsi menjadi teks biasa sebelum didistribusikan ke server backend. Hal ini meningkatkan efisiensi layanan backend, menyederhanakan konfigurasi server, serta memastikan keamanan.
Prasyarat
Sebuah instance NLB telah dibuat. Untuk informasi lebih lanjut, lihat Buat dan Kelola Instance NLB.
Grup server backend NLB telah dibuat. Untuk informasi lebih lanjut, lihat Buat dan Kelola Grup Server.
PentingProtokol backend grup server harus berupa TCP. Permintaan yang dikirim dari NLB ke server backend telah di-decrypt SSL, sehingga server backend tidak perlu melakukan dekripsi SSL pada permintaan yang diterima.
Anda tidak dapat mengaitkan listener yang menggunakan SSL melalui TCP dengan grup server yang memiliki client IP preservation diaktifkan. Pastikan fitur tersebut dinonaktifkan untuk grup server.
ECS01 dan ECS02 telah ditambahkan ke grup server backend, dan layanan telah diterapkan di ECS01 dan ECS02.
Langkah 1: Siapkan sertifikat server
Anda dapat membeli sertifikat server dari Alibaba Cloud atau membelinya dari penyedia layanan lain dan mengunggahnya.
Dalam contoh ini, sertifikat server dibeli dari Alibaba Cloud.
Untuk informasi lebih lanjut tentang cara membeli sertifikat server, lihat Beli Sertifikat SSL.
Untuk informasi lebih lanjut tentang cara mengunggah sertifikat, lihat Unggah Sertifikat SSL.
Pastikan bahwa nama domain yang ingin Anda asosiasikan dengan sertifikat SSL telah terdaftar dan memiliki nomor Penyedia Konten Internet (ICP). Untuk informasi lebih lanjut, lihat Daftarkan Nama Domain di Alibaba Cloud dan Ikhtisar Aplikasi Pengarsipan ICP.
Langkah 2: Konfigurasikan listener yang menggunakan SSL melalui TCP
Masuk ke Konsol NLB.
Di bilah navigasi di sebelah kiri, pilih .
Di bilah navigasi atas, pilih wilayah tempat instance NLB diterapkan.
Di halaman Instances, temukan instance NLB, dan klik Create Listener di kolom Actions.
Di langkah Configure Listener, konfigurasikan parameter berikut. Anda dapat menggunakan nilai default atau nilai kustom untuk parameter lainnya. Klik Next.
Parameter
Deskripsi
Listener Protocol
Pilih TCPSSL.
Listener Port
Dalam contoh ini, digunakan port 443.
Di langkah Configure SSL Certificate, konfigurasikan parameter berikut. Anda dapat menggunakan nilai default atau nilai kustom untuk parameter lainnya. Klik Next.
Parameter
Deskripsi
Server Certificate
Pilih sertifikat server yang diperoleh di Langkah 1.
TLS Security Policy
Pilih kebijakan keamanan berdasarkan kebutuhan bisnis Anda. Jika Anda memilih versi yang lebih baru, pastikan kebijakan keamanan kompatibel dengan klien Anda.
Di langkah Select Server Group, konfigurasikan parameter berikut. Anda dapat menggunakan nilai default atau nilai kustom untuk parameter lainnya. Klik Next.
Parameter
Deskripsi
Server Group
Pilih grup server yang telah Anda buat.
Di langkah Configuration Review, periksa apakah parameter telah diatur dengan benar dan klik Submit.
Langkah 3: Buat record DNS
Dalam skenario bisnis nyata, kami menyarankan Anda menggunakan Record CNAME untuk memetakan nama domain kustom ke nama domain instance NLB Anda.
Di bilah navigasi di sebelah kiri, pilih .
Di halaman Instances, salin nama domain NLB instance yang ingin Anda kelola.
Lakukan langkah-langkah berikut untuk membuat Record CNAME:
CatatanJika nama domain Anda tidak didaftarkan menggunakan Alibaba Cloud Domains, Anda harus menambahkan nama domain Anda ke Alibaba Cloud DNS sebelum dapat mengonfigurasi record DNS. Untuk informasi lebih lanjut, lihat Kelola Nama Domain. Jika nama domain Anda didaftarkan menggunakan Alibaba Cloud Domains, lewati langkah ini.
Masuk ke Konsol DNS Alibaba Cloud.
Di halaman Authoritative DNS Resolution, temukan nama domain Anda dan klik DNS Settings di kolom Actions.
Di tab DNS Settings halaman detail nama domain, klik Add DNS Record.
Di panel Add DNS Record, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.
Parameter
Deskripsi
Record Type
Pilih CNAME dari daftar drop-down.
Hostname
Awalan nama domain. Dalam contoh ini, @ dimasukkan.
CatatanJika nama domain adalah nama domain root, masukkan @.
DNS Request Source
Pilih Default.
Record Value
Masukkan CNAME, yaitu nama domain instance NLB.
TTL Period
Tentukan nilai time-to-live (TTL) untuk Record CNAME agar disimpan di cache pada server DNS. Dalam contoh ini, nilai default digunakan.
Langkah 4: Uji konektivitas jaringan
Masukkan nama domain yang terkait dengan instance NLB Anda di browser dan segarkan halaman beberapa kali. Permintaan diteruskan ke layanan backend melalui HTTPS dan didistribusikan antara instance ECS.
Dalam kasus masalah cache browser, kami sarankan Anda menggunakan browser dalam mode penjelajahan pribadi untuk mengakses nama domain saat menguji kemampuan Layer 4 Server Load Balancer (SLB) instance.
Referensi
Jika Anda perlu menggunakan sertifikat server pihak ketiga, lihat Unggah dan Bagikan Sertifikat SSL.
Untuk informasi lebih lanjut tentang cara menambahkan listener yang menggunakan SSL melalui TCP, lihat Tambahkan Listener yang Menggunakan SSL melalui TCP.
Jika Anda ingin mengimplementasikan otentikasi dua arah untuk memenuhi persyaratan keamanan yang lebih tinggi, lihat Gunakan NLB untuk Mengaktifkan SSL Offloading melalui TCP (Otentikasi Dua Arah).