Konfigurasikan pendengar TCPSSL untuk load balancer - Server Load Balancer

Saat menggunakan load balancer Lapisan 4, mengonfigurasi sertifikat SSL pada setiap server backend untuk enkripsi tidak efisien. Untuk meningkatkan kinerja, Anda dapat memanfaatkan fitur SSL offloading dari Network Load Balancer (NLB). Dengan men-deploy instans NLB di titik masuk lalu lintas dan mengonfigurasi sertifikat SSL di atasnya, instans NLB menangani seluruh proses dekripsi. Instans tersebut menerima lalu lintas terenkripsi melalui pendengar TCPSSL, mendekripsinya, lalu meneruskan lalu lintas teks biasa ke server backend Anda. Pendekatan ini mengalihkan beban pemrosesan dekripsi yang intensif dari server backend, menyederhanakan manajemen sertifikat, serta mempertahankan komunikasi yang aman.

Prasyarat

Instans NLB telah dibuat. Untuk informasi selengkapnya, lihat Buat dan kelola instans NLB.
Kelompok server telah dibuat untuk instans NLB. Untuk informasi selengkapnya, lihat Kelompok server NLB.
Penting
- Kelompok server harus menggunakan protokol TCP. Karena instans NLB mendekripsi lalu lintas, server backend tidak perlu memproses lalu lintas terenkripsi SSL.
- Pendengar TCPSSL tidak dapat dikaitkan dengan kelompok server yang memiliki fitur client IP preservation diaktifkan. Pastikan fitur ini dinonaktifkan pada kelompok server yang Anda buat.
Instance ECS ECS01 dan ECS02 telah ditambahkan ke kelompok server, dan layanan aplikasi telah dideploy pada keduanya.

Langkah 1: Siapkan sertifikat server

Anda dapat membeli sertifikat server dari Alibaba Cloud atau membelinya dari penyedia pihak ketiga lalu mengunggahnya.

Contoh ini menggunakan sertifikat server yang dibeli dari Alibaba Cloud.

Untuk mempelajari cara membeli sertifikat server, lihat Beli sertifikat SSL.
Untuk mempelajari cara mengunggah sertifikat, lihat Unggah sertifikat SSL.

Catatan

Saat Anda membeli sertifikat SSL, Anda harus mengikatkannya ke nama domain. Pastikan Anda telah mendaftarkan nama domain dan menyelesaikan pendaftaran ICP-nya. Untuk informasi selengkapnya, lihat Mendaftarkan nama domain di Alibaba Cloud dan Gambaran umum aplikasi pendaftaran ICP.

Langkah 2: Konfigurasikan pendengar TCPSSL

Masuk ke Konsol Network Load Balancer.
Di panel navigasi sebelah kiri, pilih NLB > Instances.
Di bilah navigasi atas, pilih wilayah instans.
Pada halaman Instances, temukan instans target lalu klik Create Listener di kolom Actions.
Pada halaman Configure Listener, atur parameter berikut, biarkan parameter lain pada nilai default-nya, lalu klik Next.

Parameter

Deskripsi

Listener Protocol

Pilih TCPSSL.

Listener Port

Contoh ini menggunakan port 443.

Pada halaman Configure SSL Certificate, atur parameter berikut, biarkan parameter lain pada nilai default-nya, lalu klik Next.

Parameter	Deskripsi
Server Certificate	Pilih sertifikat server yang telah Anda siapkan di Langkah 1.
TLS Security Policies	Pilih kebijakan yang memenuhi persyaratan keamanan Anda. Jika Anda memilih versi TLS yang lebih tinggi, pastikan versi tersebut kompatibel dengan client Anda.

Pada halaman Select Server Group, atur parameter berikut, biarkan parameter lain pada nilai default-nya, lalu klik Next.

Parameter

Deskripsi

Select Server Group

Pilih kelompok server yang telah Anda buat.
Pada halaman Configuration Review, verifikasi parameter lalu klik Submit. Tunggu hingga pendengar berhasil dibuat.

Langkah 3: Konfigurasikan rekaman DNS

Dalam skenario bisnis sesungguhnya, kami merekomendasikan agar Anda menggunakan Record CNAME untuk memetakan nama domain kustom ke nama domain instans NLB Anda.

Di panel navigasi sebelah kiri, pilih NLB > Instances.
Pada halaman Instances, salin nama domain instans NLB yang ingin Anda kelola.

Lakukan langkah-langkah berikut untuk membuat Record CNAME:

Catatan

Jika nama domain Anda tidak didaftarkan melalui Alibaba Cloud Domains, Anda harus menambahkan nama domain tersebut ke Alibaba Cloud DNS sebelum dapat mengonfigurasi rekaman DNS. Untuk informasi selengkapnya, lihat Kelola nama domain. Jika nama domain Anda didaftarkan melalui Alibaba Cloud Domains, lewati langkah ini.

Masuk ke Konsol Alibaba Cloud DNS.
Pada halaman Authoritative DNS Resolution, temukan nama domain Anda lalu klik DNS Settings di kolom Actions.
Pada tab DNS Settings di halaman detail nama domain, klik Add DNS Record.

Di panel Add Record, konfigurasi parameter lalu klik OK. Tabel berikut menjelaskan parameter tersebut.

Parameter	Deskripsi
Record Type	Pilih CNAME dari daftar drop-down.
Hostname	Awalan nama domain. Dalam contoh ini, dimasukkan `@`. Catatan Jika nama domain merupakan domain root, masukkan @.
DNS Query Source	Pilih Default.
Record Value	Masukkan CNAME, yaitu nama domain instans NLB.
TTL Period	Tentukan nilai waktu hidup (TTL) agar Record CNAME disimpan dalam cache di server DNS. Dalam contoh ini, digunakan nilai default.

Langkah 4: Uji koneksi

Masukkan nama domain yang dipetakan ke instans NLB di browser web. Muat ulang halaman beberapa kali. Permintaan dikirim ke layanan backend melalui HTTPS dan didistribusikan antara kedua instance ECS.

Penting

Karena adanya cache browser, selalu gunakan jendela privat atau penyamaran saat mengakses nama domain untuk menguji load balancer Lapisan 4.

ECS01 ECS02

Dokumen terkait

Jika Anda menggunakan sertifikat server dari penyedia selain Alibaba Cloud, lihat Unggah, sinkronkan, dan bagikan sertifikat SSL untuk persyaratan sertifikat dan instruksi pengunggahan.
Untuk informasi selengkapnya tentang cara menambahkan pendengar TCPSSL, lihat Tambahkan pendengar yang menggunakan SSL over TCP.
Untuk keamanan yang lebih tinggi, Anda dapat menerapkan otentikasi timbal balik. Untuk informasi selengkapnya, lihat Gunakan NLB untuk mengaktifkan SSL offloading over TCP (otentikasi timbal balik).

Parameter	Deskripsi
Listener Protocol	Pilih TCPSSL.
Listener Port	Contoh ini menggunakan port 443.

Parameter	Deskripsi
Select Server Group	Pilih kelompok server yang telah Anda buat.