當您需要在同一個監聽中將不同網域名稱的HTTPS訪問請求轉寄至不同的後端伺服器組,您可使用CLB的擴充網域名稱功能,通過在HTTPS監聽掛載多個SSL認證,將來自不同訪問網域名稱的請求轉寄至不同的後端伺服器組。
基本概念
伺服器名稱指示(Server Name Indication,SNI),是對SSL/TLS協議的擴充,允許在單個IP地址上承載多個SSL認證。當用戶端訪問負載平衡時,預設使用訪問網域名稱配置的認證解密。如果找不到匹配的認證,則使用監聽配置的認證。
使用限制
僅效能保障型CLB執行個體支援SNI。
目前CLB支援如下公開金鑰演算法:
RSA 1024
RSA 2048
RSA 4096
ECDSA P-256
ECDSA P-384
ECDSA P-521
前提條件
添加擴充網域名稱
在執行個體管理頁面,單擊目標執行個體ID。
在監聽頁簽,找到已建立的HTTPS監聽,在操作列選擇>擴充網域名稱管理。
在擴充網域名稱管理面板,單擊添加擴充網域名稱。
輸入擴充網域名稱。
合法網域名稱檢測,請參見阿里雲網域名稱偵查工具。
網域名稱轉寄策略支援精確匹配和萬用字元匹配兩種模式:
精確網域名稱:www.aliyun.com
萬用字元網域名稱(泛網域名稱): *.aliyun.com, *.market.aliyun.com
當前端請求同時匹配多條網域名稱策略時,策略的匹配優先順序為:精確匹配>小範圍萬用字元匹配>大範圍萬用字元匹配。
說明下表中”✓“代表匹配,“×”代表不匹配。
模式
請求測試URL
配置的網域名稱轉寄策略
www.aliyun.com
*.aliyun.com
*.market.aliyun.com
精確匹配
www.aliyun.com
✓
×
×
泛網域名稱匹配
market.aliyun.com
×
✓
×
泛網域名稱匹配
info.market.aliyun.com
×
×
✓
選擇該網域名稱關聯的伺服器憑證。
說明認證中的網域名稱和您添加的擴充網域名稱必須一致。
如果您配置了泛網域名稱認證,則只有第一個泛網域名稱認證可以被自動匹配。
單擊確定。
擴充網域名稱需要和轉寄策略配合使用才會生效。
可選:執行以下步驟,配置轉寄策略。
在提示頁面,單擊去配置,或者在執行個體管理頁面,單擊目標執行個體ID進入監聽頁簽,找到已建立的HTTPS監聽,在操作列單擊配置轉寄策略。
在配置轉寄策略面板,輸入欄位名並配置URL及轉寄規則,單擊添加轉寄策略。
更多資訊,請參見基於網域名稱或URL路徑進行轉寄。
說明請保證式轉送策略中配置的網域名稱和您添加的擴充網域名稱一致。
編輯擴充網域名稱
您可以替換已添加的擴充網域名稱使用的認證。
- 登入傳統型負載平衡CLB控制台。
在執行個體管理頁面,單擊執行個體的ID。
單擊監聽頁簽,找到已建立的HTTPS監聽,在操作列選擇 >擴充網域名稱管理。
在擴充網域名稱管理頁面,找到目標擴充網域名稱,在操作列單擊編輯。
在修改擴充網域名稱頁面,選擇新的認證,然後單擊確定。
刪除擴充網域名稱
當擴充網域名稱不需要使用時,可以刪除擴充網域名稱。
- 登入傳統型負載平衡CLB控制台。
在執行個體管理頁面,單擊執行個體的ID。
單擊監聽頁簽,找到已建立的HTTPS監聽,在操作列選擇>擴充網域名稱管理。
在擴充網域名稱管理頁面,找到目標擴充網域名稱,在操作列單擊刪除。
在彈出的刪除對話方塊中,單擊確定。
相關文檔
多網域名稱網站配置教程,您可參考單CLB執行個體配置多網域名稱HTTPS網站。
如果您想將來自相同網域名稱不同路徑的請求轉寄給不同的後端伺服器組,您可參考通過配置相同網域名稱不同路徑的轉寄策略實現精準流量轉寄。