使用GA連接埠映射提升應用靈活性與安全性 - Global Accelerator

出於安全考慮，企業通常需要將外部存取連接埠與後端應用連接埠進行隔離。您可以在GA中配置連接埠映射，自訂監聽連接埠與後端應用連接埠的映射關係，提升應用部署的靈活性和安全性。

連接埠映射功能簡介

預設情況下，GA會使用建立監聽時指定的協議和連接埠範圍，將訪問流量轉寄至終端節點群組。智能路由類型監聽支援連接埠映射功能，您可以在配置終端節點群組時，指定監聽連接埠與終端節點連接埠的映射關係。配置後，GA會在監聽連接埠接收訪問流量，並根據映射關係將流量轉寄至實際提供服務的終端節點連接埠，從而實現靈活的網路設定。

適用情境

主要適用於監聽連接埠與終端節點提供服務的連接埠不一致的情境：

公司專屬應用程式的安全訪問：企業通常需要將外部存取連接埠與後端應用連接埠隔離，以提高安全性。通過GA連接埠映射，可以將外部請求通過標準連接埠（如TCP 80）接收，並轉寄到後端應用連接埠（如8080），從而避免直接暴露內部服務連接埠。
多租戶SaaS應用的連接埠隔離：在SaaS應用中，通過GA連接埠映射為每個租戶分配不同的外部存取連接埠（如8001, 8002, 8003），並將這些連接埠映射到後端特定連接埠（如8080），確保租戶之間的隔離和安全性。
HTTPS安全加速訪問HTTP網站：運行在HTTP 80連接埠的網站可通過GA連接埠映射，對用戶端的訪問請求進行HTTPS加密。例如，可以配置HTTPS 443監聽，並將其映射到後端HTTP 80連接埠，從而實現HTTPS安全加速訪問HTTP網站，提升用戶端訪問HTTP網站的速度與安全性。

使用限制

如果您的標準型GA執行個體不支援為TCP或UDP監聽配置連接埠映射，可能是由於執行個體版本不支援。如需使用，請向商務經理申請升級執行個體。
配置連接埠映射關係時，監聽連接埠必須包含在當前監聽所配置的連接埠範圍內；終端節點連接埠的輸入範圍為1-65535。
對於TCP和UDP監聽，支援單擊添加連接埠映射添加多對連接埠映射關係，且多對連接埠映射關係之間的監聽連接埠不能重複。最多可添加30對連接埠映射關係。
對於HTTP和HTTPS監聽，最多可添加1對連接埠映射關係。
對於TCP監聽：
- 虛擬終端節點群組不支援配置連接埠映射。
- 如果監聽下已存在虛擬終端節點群組，則預設終端節點群組無法配置連接埠映射。
- 如果預設終端節點群組已配置連接埠映射，則無法添加虛擬終端節點群組。
配置連接埠映射後，後續監聽變更時有以下限制：
- 監聽協議：僅支援HTTP與HTTPS協議間的切換，其餘協議間的切換均不支援。
- 監聽連接埠：修改的監聽連接埠範圍，必須包含所有已存在連接埠映射關係的監聽連接埠。
  例如，當監聽連接埠範圍為80-82，並配置連接埠映射至終端節點連接埠100-102時，後續修改的監聽連接埠範圍必須包含80-82，即：可以修改為80-90，但不支援縮小為80-81。
如果後端服務有安全性群組等訪問限制，請確保入方向允許流量訪問連接埠映射中指定的終端節點連接埠。
例如，當監聽連接埠為80，並配置連接埠映射至終端節點連接埠8080時，您需要確保終端節點的後端服務允許在8080連接埠接收流量。

情境樣本

GA的四層（TCP和UDP）和七層（HTTP和HTTPS）監聽均支援配置連接埠映射。本文通過以下兩種情境來說明GA連接埠映射的能力。

四層（TCP和UDP）監聽連接埠映射

某遊戲公司在阿里雲美國（矽谷）地區，通過NLB後端伺服器組掛載了遊戲伺服器ECS01與ECS02，ECS中均部署了大型多人線上遊戲。其中，對戰邏輯處理模組運行在8080連接埠，聊天模組運行在8090連接埠。

該公司現面臨以下問題：

遊戲終端使用者遍布全球多個地區，因跨國公網不穩定，終端使用者經常出現延遲、抖動、丟包等網路問題。
遊戲需要通過不同的連接埠區分不同的邏輯處理模組，並將相應連接埠的流量轉寄至對應的後端模組中。
直接暴露遊戲伺服器的真實連接埠，存在安全風險，且難以管理。

為解決以上問題，該遊戲公司計劃部署Global Acceleration服務。通過GA可實現遊戲請求就近接入阿里雲，經過阿里雲的內網到達遊戲伺服器，從而縮短公網傳輸路徑，減少延時、抖動、丟包等網路問題；同時，通過GA的連接埠映射功能，將外部請求通過連接埠TCP 80和90接收，並轉寄到後端服務連接埠8080和8090，從而實現業務模組的連接埠隔離，避免直接暴露內部服務連接埠的風險。

前提條件

已建立NLB執行個體。
已為NLB執行個體建立了開啟全連接埠轉寄功能的伺服器組和監聽。

已在NLB的伺服器組中分別添加ECS01和ECS02執行個體，且ECS01和ECS02中均使用多個連接埠部署了不同的服務模組。

本文以Alibaba Cloud Linux 3作業系統為例，使用Nginx配置同時支援8080和8090連接埠的測試服務。

ECS01部署測試服務命令參考

執行以下命令，安裝Nginx，並部署測試應用樣本。

yum install -y nginx
cd /usr/share/nginx/html/
echo "Hello World! This is ECS01, service running on port 8080." > index8080.html
echo "Hello World! This is ECS01, service running on port 8090." > index8090.html

執行以下命令，進入Nginx設定檔nginx.conf，配置8080和8090連接埠的服務模組，然後儲存並退出。

vim /etc/nginx/nginx.conf

配置如下：

http {
    ...
    # Existing configuration

    # 新增8080連接埠的server塊
    server {
        listen 8080;
        server_name localhost;

        location / {
            root /usr/share/nginx/html;
            index index8080.html;
        }
    }

    # 新增8090連接埠的server塊
    server {
        listen 8090;
        server_name localhost;

        location / {
            root /usr/share/nginx/html;
            index index8090.html;
        }
    }
}

執行以下命令，重啟Nginx服務。
```
systemctl restart nginx.service
```

ECS01與ECS02執行個體加入的安全性群組已經允許存取8080和8090連接埠。
您已為業務網域名稱配置DNS解析記錄，即已配置了指向NLB的CNAME記錄。
如果您使用的DNS解析服務為非阿里雲Alibaba Cloud DNS，請參見您的DNS服務商操作指導。

操作步驟

步驟一：配置執行個體基礎資訊

本文以隨用隨付的標準型GA執行個體為例。

在Global Acceleration控制台的標準型執行個體 > 執行個體列表列表頁面，單擊建立標準型隨用隨付執行個體。
在執行個體基礎配置嚮導頁面，配置基礎資訊，單擊下一步。

步驟二：配置加速地區

在配置加速地區嚮導頁面，添加加速地區並為其分配頻寬，然後單擊下一步。

本文以中國香港地區為例，加速地區添加為中國香港，公網品質類型配置為BGP（多線），加速地區其他參數配置可保持預設值或根據實際情況修改。

重要

加速地區包含中國內地地區時，自有網域名稱必須完成ICP備案才可對外提供服務。
如果頻寬峰值設定過低，可能出現限速從而導致流量被丟棄，請合理規劃頻寬峰值，確保和業務需求匹配。

GA加速地區.png

步驟三：配置監聽

在配置監聽設定精靈頁面，配置轉寄協議與連接埠，然後單擊下一步。

本文情境中，協議配置為TCP，連接埠配置需要包括80和90連接埠，例如：80-90，其他參數可保持預設值或根據實際情況修改。監聽配置詳細資料，請參見添加和管理智能路由類型監聽。

GA 監聽80-90.png

步驟四：配置終端節點群組與終端節點

在配置終端節點群組設定精靈頁面，配置終端節點後端服務，然後單擊下一步。
本文情境中，地區選擇美國（矽谷），後端服務類型選擇NLB，後端服務選擇目標NLB執行個體，在連接埠映射中配置監聽連接埠80到終端節點連接埠8080、監聽連接埠90到終端節點連接埠8090的映射關係，然後閱讀並選中資料跨境合規承諾，其他參數可保持預設值或根據實際情況修改。終端節點群組配置詳細資料，請參見添加和管理智能路由類型監聽的終端節點群組。
在組態稽核設定精靈頁面，確認GA的配置資訊，然後單擊提交。

步驟五：配置CNAME

實際業務情境中，建議您使用自有網域名稱。通過CNAME解析的方式將自有網域名稱指向GA執行個體分配的CNAME，使業務流量切換至GA，以實現訪問加速。

本文情境中，如果您已有指向後端伺服器的A記錄，您可以先指定中國香港地區來添加指向GA的CNAME記錄，以進行測試。待測試成功後，再逐步擴充至其他地區或僅保留指向GA的CNAME記錄。

在網域名稱解析頁面，找到目標業務網域名稱，在操作列單擊解析設定。
說明
對於非阿里雲註冊網域名稱，需先添加網域名稱到雲解析控制台，才可以進行網域名稱解析設定。
在解析設定頁面，單擊添加記錄，配置CNAME記錄，然後單擊確定。
本文情境中，記錄類型配置為CNAME，主機記錄配置為www，解析請求來源配置為中國香港，記錄值配置為GA執行個體的CNAME，解析記錄其他參數配置可保持預設值或根據實際情況修改。

步驟六：訪問測試

連接埠映射生效驗證

在加速地區（本文為中國香港地區）的電腦中：

使用瀏覽器訪問http://<業務網域名稱>:80。多次重新整理瀏覽器，可以在ECS01與ECS02之間切換，且可以通過80連接埠正常訪問8080連接埠的服務。
使用瀏覽器訪問http://<業務網域名稱>:90。多次重新整理瀏覽器，可以在ECS01與ECS02之間切換，且可以通過90連接埠正常訪問8090連接埠的服務。

GA加速效果驗證

本文使用一次性撥測工具，以8080連接埠的服務為例，在配置GA前後，分別對業務網域名稱及對應連接埠進行撥測，查看回應時間以瞭解資料延遲情況。具體操作，請參見使用網路撥測工具測試加速效果。

輸入http://<業務網域名稱>:8080，測試組態GA前的網路延遲情況。
執行本步驟測試前，請確保DNS解析至NLB執行個體的CNAME。
您可以查看回應時間等資訊，其中，解析結果IP為公網NLB執行個體分配的公網IP地址，表示訪問流量接入NLB中。
輸入http://<業務網域名稱>:80，測試組態GA後的網路延遲情況。
執行本步驟測試前，請確保DNS解析記錄已切換至GA執行個體的CNAME。
解析結果IP列顯示為GA執行個體的加速IP，表示訪問流量已接入GA進行加速。

經驗證，使用GA後，降低了中國香港用戶端訪問美國（矽谷）服務的延遲。

說明

GA的加速效果以您的實際業務測試為準。

七層（HTTP和HTTPS）監聽連接埠映射

某企業在阿里雲美國（矽谷）地區使用ALB部署了高可用的Web服務，Web服務運行在HTTP 8081連接埠，並為全球多地區終端使用者提供服務。

該公司現面臨以下問題：

因公網網路品質不高，部分終端使用者會出現網路延遲高等問題，影響終端使用者訪問體驗。
HTTP以明文方式傳輸資料，缺乏對網站驗證的方法，導致網站系統面臨極大的安全風險。
該Web服務一直在自訂的8081連接埠上運行，終端使用者無法直接通過標準的HTTPS 443連接埠訪問該服務。

為解決以上問題，該企業決定通過GA提升終端使用者的訪問體驗。同時，通過GA的連接埠映射功能，將外部請求通過連接埠HTTPS 443接收，並轉寄到後端服務連接埠HTTP 8081，從而實現對訪問請求的HTTPS加密，並通過標準連接埠443對外提供服務。

前提條件

已建立ALB執行個體。
已為ALB執行個體建立伺服器組並添加HTTP監聽。
已在ALB的伺服器組中分別添加ECS01和ECS02執行個體，並且ECS01和ECS02中已部署了8081連接埠的服務。
本文以Alibaba Cloud Linux 3作業系統為例，使用Nginx配置支援8081連接埠的測試服務。
ECS01部署測試服務命令參考
1. 執行以下命令，安裝Nginx，並部署測試應用樣本。
```
yum install -y nginx
cd /usr/share/nginx/html/
echo "Hello World! This is ECS01, service running on port 8081." > index8081.html
```
2. 執行以下命令，進入Nginx設定檔nginx.conf，配置8081連接埠的服務模組，然後儲存並退出。
```
vim /etc/nginx/nginx.conf
```
  配置如下：
```
http {
    ...
    # Existing configuration

    # 新增8081連接埠的server塊
    server {
        listen 8081;
        server_name localhost;

        location / {
            root /usr/share/nginx/html;
            index index8081.html;
        }
    }
}
```
3. 執行以下命令，重啟Nginx服務。
```
systemctl restart nginx.service
```
ECS01與ECS02執行個體加入的安全性群組已經允許存取8081連接埠。
您已為業務網域名稱配置DNS解析記錄，即已配置了指向ALB的CNAME記錄。
如果您使用的DNS解析服務為非阿里雲Alibaba Cloud DNS，請參見您的DNS服務商操作指導。
已購買認證或者上傳第三方認證到SSL認證服務並綁定網域名稱。關於建立認證，請參見使用正式認證為Web網站開啟HTTPS訪問。

操作步驟

步驟一：配置執行個體基礎資訊

本文以隨用隨付的標準型GA執行個體為例。

在Global Acceleration控制台的標準型執行個體 > 執行個體列表列表頁面，單擊建立標準型隨用隨付執行個體。
在執行個體基礎配置嚮導頁面，配置基礎資訊，單擊下一步。

步驟二：配置加速地區

在配置加速地區嚮導頁面，添加加速地區並為其分配頻寬，然後單擊下一步。

重要

加速地區包含中國內地地區時，自有網域名稱必須完成ICP備案才可對外提供服務。
如果頻寬峰值設定過低，可能出現限速從而導致流量被丟棄，請合理規劃頻寬峰值，確保和業務需求匹配。

GA加速地區.png

步驟三：配置監聽

在配置監聽設定精靈頁面，配置轉寄協議與連接埠，然後單擊下一步。

本文情境中，協議配置為HTTPS，連接埠配置為443，選擇伺服器憑證下拉式清單中選擇網域名稱對應的SSL認證。其他參數可保持預設值或根據實際情況修改。監聽配置詳細資料，請參見添加和管理智能路由類型監聽。

GA HTTPS監聽.png

步驟四：配置終端節點群組與終端節點

在配置終端節點群組設定精靈頁面，配置終端節點後端服務，然後單擊下一步。
本文情境中，地區選擇美國（矽谷），後端服務類型選擇ALB，後端服務選擇目標ALB執行個體，在連接埠映射中配置監聽連接埠443到終端節點連接埠8081的映射關係，然後閱讀並選中資料跨境合規承諾，其他參數可保持預設值或根據實際情況修改。終端節點群組配置詳細資料，請參見添加和管理智能路由類型監聽的終端節點群組。
在組態稽核設定精靈頁面，確認GA的配置資訊，然後單擊提交。

步驟五：配置CNAME

實際業務情境中，建議您使用自有網域名稱。通過CNAME解析的方式將自有網域名稱指向GA執行個體分配的CNAME，使業務流量切換至GA，以實現訪問加速。

在網域名稱解析頁面，找到目標業務網域名稱，在操作列單擊解析設定。
說明
對於非阿里雲註冊網域名稱，需先添加網域名稱到雲解析控制台，才可以進行網域名稱解析設定。
在解析設定頁面，單擊添加記錄，配置CNAME記錄，然後單擊確定。
本文情境中，記錄類型配置為CNAME，主機記錄配置為www，解析請求來源配置為中國香港，記錄值配置為GA執行個體的CNAME，解析記錄其他參數配置可保持預設值或根據實際情況修改。

步驟六：訪問測試

連接埠映射生效驗證

在加速地區（本文為中國香港地區）的電腦中，使用瀏覽器訪問https://<業務網域名稱>:443。多次重新整理瀏覽器，可以在ECS01與ECS02之間切換，且可以通過443連接埠正常訪問8081連接埠的服務。

ECS01 訪問.png

ECS02 訪問.png

GA加速效果驗證

本文使用一次性撥測工具，在配置GA前後，分別對業務網域名稱及對應連接埠進行撥測，查看回應時間以瞭解資料延遲情況。具體操作，請參見使用網路撥測工具測試加速效果。

輸入http://<業務網域名稱>:8081，測試組態GA前的網路延遲情況。
執行本步驟測試前，請確保DNS解析至ALB執行個體的CNAME。
您可以查看回應時間等資訊，其中，解析結果IP為公網ALB執行個體分配的公網IP地址，表示訪問流量接入ALB中。
輸入https://<業務網域名稱>:443，測試組態GA後的網路延遲情況。
執行本步驟測試前，請確保DNS解析記錄已切換至GA執行個體的CNAME。
解析結果IP列顯示為GA執行個體的加速IP，表示訪問流量已接入GA進行加速。

經驗證，使用GA後，降低了中國香港用戶端訪問美國（矽谷）服務的延遲。

說明

GA的加速效果以您的實際業務測試為準。

Global Accelerator：使用GA連接埠映射提升應用靈活性與安全性

連接埠映射功能簡介

適用情境

使用限制

情境樣本

四層（TCP和UDP）監聽連接埠映射

前提條件

操作步驟

步驟一：配置執行個體基礎資訊

步驟二：配置加速地區

步驟三：配置監聽

步驟四：配置終端節點群組與終端節點

步驟五：配置CNAME

步驟六：訪問測試

連接埠映射生效驗證

GA加速效果驗證

七層（HTTP和HTTPS）監聽連接埠映射

前提條件

操作步驟

步驟一：配置執行個體基礎資訊

步驟二：配置加速地區

步驟三：配置監聽

步驟四：配置終端節點群組與終端節點

步驟五：配置CNAME

步驟六：訪問測試

連接埠映射生效驗證

GA加速效果驗證

相關文檔