HTTP協議適用於需要加密傳輸的應用。您可以添加一個HTTPS監聽轉寄來自HTTPS協議的請求。
前提條件
步驟一 開啟監聽設定精靈
- 登入負載平衡管理主控台。
- 在左側導覽列,單擊 。
- 選擇執行個體的地域。
- 選擇以下一種方法,開啟監聽設定精靈:
- 在執行個體管理頁面,找到目標執行個體,然後單擊添加設定精靈。
- 在執行個體管理頁面,單擊目標執行個體ID。在監聽頁面,單擊添加監聽。
步驟二 配置協議監聽
- 在協議&監聽頁面,根據以下資訊配置HTTPS監聽。
監聽配置 說明 監聽協議 選擇監聽的協議類型。 本操作,選擇HTTPS。
監聽通信埠 用來接收請求並向後端伺服器進行請求轉寄的監聽通信埠。 通信埠範圍為1-65535。
说明 在同一個Server Load Balancer執行個體內,監聽通信埠不可重複。調度演算法 負載平衡支援輪詢、加權輪詢(WRR)、加權最小串連數(WLC)三種調度演算法。 - 加權輪詢:權重值越高的後端伺服器,被輪詢到的次數(機率)也越高。
- 輪詢:按照訪問順序依次將外部請求依序分發到後端伺服器。
- 加權最小串連數:除了根據每台後端伺服器設定的權重值來進行輪詢,同時還考慮後端伺服器的實際負載(即串連數)。當權重值相同時,當前串連數越小的後端伺服器被輪詢到的次數(機率)也越高。
進階配置 會話保持 選擇是否開啟會話保持。
開啟會話保持功能後,負載平衡會把來自同一用戶端的訪問請求分發到同一台後端伺服器上進行處理。
HTTP協議會話保持基於Cookie。負載平衡提供了兩種Cookie處理方式:
- 植入Cookie:您只需要指定Cookie的過期時間。
用戶端第一次訪問時,負載平衡會在返回請求中植入Cookie(即在HTTP/HTTPS響應報文中插入SERVERID),下次用戶端攜帶此Cookie訪問,負載平衡服務會將請求定向轉寄給之前記錄到的後端伺服器上。
- 重寫Cookie:可以根據需要指定HTTPS/HTTP響應中插入的Cookie。您需要在後端伺服器上維護該Cookie的過期時間和存留時間。
負載平衡服務發現使用者自訂了Cookie,將會對原來的Cookie進行重寫,下次用戶端攜帶新的Cookie訪問,負載平衡服務會將請求定向轉寄給之前記錄到的後端伺服器。詳情參考會話保持規則配置。
啟用HTTP2.0 選擇是否啟HTTP 2.0協議。 啟用存取控制 選擇是否啟用存取控制。 存取控制方式 開啟存取控制後,選擇一種存取控制方式:
- 白名單:僅轉寄來自所選存取控制策略組中設定的IP地址或地址段的請求,白名單適用於應用只允許特定IP訪問的場景。
設定白名單存在一定業務風險。一旦設定白名單,就只有白名單中的IP可以訪問負載平衡監聽。如果開啟了白名單訪問,但存取原則組中沒有添加任何IP,則負載平衡監聽會轉寄全部請求。
- 黑名單:來自所選存取控制策略組中設定的IP地址或地址段的所有請求都不會轉寄,黑名單適用於應用只限制某些特定IP訪問的場景。
如果開啟了黑名單訪問,但存取原則組中沒有添加任何IP,則負載平衡監聽會轉寄全部請求。
選擇存取控制策略組 選擇存取控制策略組,作為該監聽的白名單或黑名單。 说明 IPv6執行個體只能綁定IPv6存取控制策略組,IPv4執行個體只能綁定IPv4存取控制策略組。詳情參見設定存取控制。開啟頻寬峰值 選擇是否配置監聽頻寬。
對於按頻寬計費的Server Load Balancer執行個體,您可以針對不同監聽設定不同的頻寬峰值來限定監聽的流量。執行個體下所有監聽的頻寬峰值總和不能超過該執行個體的頻寬。
預設不開啟,各監聽共用執行個體的總頻寬。
说明 使用流量計費方式的執行個體預設不限制頻寬峰值。串連空閑逾時時間 指定串連空閑逾時時間,取值範圍為1-60秒。 在逾時時間內一直沒有訪問請求,負載平衡會暫時中斷當前串連,直到一下次請求來臨時重新建立新的串連。
該功能已經在全部地域開放。
請求逾時時間 指定請求逾時時間,取值範圍為1-180秒。 在逾時時間內後端伺服器一直沒有響應,負載平衡將放棄等待,給用戶端返回HTTP 504錯誤碼。
該功能已經在全部地域開放。
TLS安全性原則 選擇使用的TLS安全性原則。
TLS安全性原則包含HTTPS可選的TLS協議版本和配套的密碼編譯演算法套件。
Gzip資料壓縮 開啟該配置對特定檔案類型進行壓縮。 目前Gzip支援壓縮的類型包括:text/xml、text/plain、text/css、application/javascript、application/x-javascript application/rss+xml、application/atom+xml、application/xml。
附加HTTP頭欄位 選擇您要添加的自訂HTTP header欄位: - 添加
X-Forwarded-For
欄位獲取用戶端的IP地址。 - 添加
X-Forwarded-Proto
欄位獲取執行個體的監聽協議。 - 添加
SLB-IP
欄位獲取Server Load Balancer執行個體的公網IP。 - 添加
SLB-ID
欄位獲取Server Load Balancer執行個體的ID。
獲取真實IP HTTP監聽通過 X-Forwarded-For獲取用戶端真實IP。 建立完畢自動啟動監聽 是否在監聽配置完成後啟動負載平衡監聽,預設開啟。 - 單擊下一步。
步驟三 配置SSL證書
證書 | 說明 | 單向認證是否需要 | 雙向認證是否需 |
---|---|---|---|
伺服器憑證 | 用來證明伺服器的身份。
使用者瀏覽器用來檢查伺服器發送的證書是否是由自己信賴的中心簽發的。 |
是
伺服器憑證需要上傳到負載平衡的證書管理系統。 |
是
伺服器憑證需要上傳到負載平衡的證書管理系統。 |
用戶端證書 | 用來證明用戶端的身份。
用於證明用戶端使用者的身份,使得用戶端使用者在與伺服器端通訊時可以證明其真實身份。您可以用自簽名的CA證書為用戶端證書籤名。 |
否 | 是
需要用戶端進行安裝。 |
CA 憑證 | 伺服器用CA證書驗證用戶端證書的簽名。如果沒有通過驗證,拒絕串連。 | 否 | 是
伺服器憑證需要上傳到負載平衡的證書管理系統。 |
- 上傳的證書格式必須是PEM。詳情參見證書要求。
- 證書上傳到負載平衡後,負載平衡即可管理憑證,不需要在後端ECS上綁定證書。
- 因為證書的上傳、載入和驗證都需要一些時間,所以使用HTTPS協議的執行個體生效也需要一些時間。一般一分鐘後就會生效,最長不會超過三分鐘。
- HTTPS監聽使用的ECDHE演算法簇支援前向保密技術,不支援將DHE演算法簇所需要的安全增強參數檔案上傳,即PEM證書檔案中含
BEGIN DH PARAMETERS
欄位的字串上傳。更多詳細資料,參考證書要求。 - 目前負載平衡HTTPS監聽不支援SNI(Server Name Indication),您可以改用TCP監聽在後端ECS上實現SNI功能。
- HTTPS監聽的會話ticket保持時間設定為300秒。
- HTTPS監聽實際產生的流量會比賬單流量更多一些,因為會使用一些流量用於協議握手。
- 在新建串連數很高的情況下,會佔用較大的流量。
步驟四 添加後端伺服器
添加處理前端請求的後端伺服器。您可以使用執行個體配置的預設伺服器組,也可以為監聽配置一個虛擬伺服器組或主備服務組。詳情參見後端伺服器概述。
- 選擇預設伺服器組,單擊添加。
- 選擇要添加的ECS執行個體,然後單擊加入待添加籃子。單擊確定。
- 配置添加的後端伺服器的通信埠和權重。
- 通信埠
後端伺服器(ECS執行個體)開放用來接收請求的通信埠,通信埠範圍為1-65535。同一個Server Load Balancer執行個體內,後端伺服器通信埠可以相同。
- 權重
後端伺服器(ECS執行個體)的權重。權重越高的ECS執行個體將被分配到更多的訪問請求。说明 權重設定為0,該伺服器不會再接受新請求。
- 通信埠
- 單擊下一步。
步驟五 配置健康檢查
負載平衡通過健康檢查來判斷後端伺服器(ECS執行個體)的業務可用性。健康檢查機制提高了前端業務整體可用性,避免了後端ECS異常對總體服務的影響。單擊修改更改健康檢查配置,詳情參見配置健康檢查。
步驟六 提交配置
- 在審核提交頁面,檢查監聽配置,您可以單擊修改更改配置。確認無誤後,單擊提交。
- 在組態稽核頁面,在配置成功後,單擊確定。
配置成功後,您可以在監聽頁面查看已建立的監聽。