HTTPS协议适用于需要加密传输的应用。您可以添加一个HTTPS监听转发来自HTTPS协议的请求。

前提条件

您已经创建负载均衡实例,具体操作,请参见创建负载均衡实例

步骤一:配置监听

  1. 登录传统型负载均衡CLB控制台
  2. 选择实例的地域。
  3. 选择以下一种方法,打开监听配置向导。
    • 实例管理页面,单击目标实例操作列的监听配置向导
    • 实例管理页面,单击目标实例ID,然后选择监听页签,单击添加监听
  4. 完成以下配置,然后单击下一步
    监听配置 说明
    选择负载均衡协议 选择监听的协议类型。

    本操作,选择HTTPS
    监听端口 用来接收请求并向后端服务器进行请求转发的监听端口。端口范围为1~65535。
    监听名称 设置监听的名称,自定义。
    高级配置 单击修改 展开高级配置。
    调度算法 选择调度算法。
    • 加权轮询(WRR):权重值越高的后端服务器,被轮询到的次数(概率)也越高。
    • 轮询(RR):按照访问顺序依次将外部请求分发到后端服务器。
    • 一致性哈希(CH)
      • 源IP:基于源IP地址的一致性hash,相同的源地址会调度到相同的后端服务器。
      • 四元组:基于四元组的一致性hash(源IP、目的IP、源端口和目的端口),相同的流会调度到相同的后端服务器。
      说明 仅性能保障型实例支持一致性哈希(CH)调度算法。
    开启会话保持

    选择是否开启会话保持。

    开启会话保持功能后,负载均衡会把来自同一客户端的访问请求分发到同一台后端服务器上进行处理。

    HTTP协议会话保持基于Cookie。负载均衡提供了两种Cookie处理方式:

    • 植入Cookie:您只需要指定Cookie的过期时间。

      客户端第一次访问时,负载均衡会在返回请求中植入Cookie(即在HTTP或HTTPS响应报文中插入ServerId),下次客户端携带此Cookie访问,负载均衡服务会将请求定向转发给之前记录到的后端服务器上。

    • 重写Cookie:可以根据需要指定HTTPS或HTTP响应中插入的Cookie。您需要在后端服务器上维护该Cookie的过期时间和生存时间。

      负载均衡服务发现用户自定义了Cookie,将会对原来的Cookie进行重写,下次客户端携带新的Cookie访问,负载均衡服务会将请求定向转发给之前记录到的后端服务器。
    启用HTTP2.0 选择是否开启SLB前端协议版本为HTTP 2.0。
    启用访问控制 选择是否启用访问控制。

    开启访问控制后,选择一种访问控制方式,并设置访问控制策略组,作为该监听的白名单或黑名单。

    • 白名单:允许特定IP访问负载均衡SLB,仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求,白名单适用于应用只允许特定IP访问的场景。

      设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP可以访问负载均衡监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则负载均衡监听不会转发请求。

    • 黑名单:禁止特定IP访问负载均衡SLB,来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发,黑名单适用于应用只限制某些特定IP访问的场景。

      如果开启了黑名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。

    说明 IPv6实例只能绑定IPv6访问控制策略组,IPv4实例只能绑定IPv4访问控制策略组。详情参见创建访问控制策略组
    开启监听带宽限速

    选择是否配置监听带宽。

    对于按带宽计费的负载均衡实例,您可以针对不同监听设定不同的带宽峰值来限定监听的流量。实例下所有监听的带宽峰值总和不能超过该实例的带宽。默认不开启,各监听共享实例的总带宽。

    说明 使用流量计费方式的实例默认不限制带宽峰值。
    连接空闲超时时间 指定连接空闲超时时间,取值范围为1~60秒。

    在超时时间内一直没有访问请求,负载均衡会暂时中断当前连接,直到下一次请求来临时重新建立新的连接。
    连接请求超时时间 指定请求超时时间,取值范围为1~180秒。

    在超时时间内后端服务器一直没有响应,负载均衡将放弃等待,给客户端返回HTTP 504错误码。
    Gzip数据压缩 开启该配置对特定文件类型进行压缩。

    目前Gzip支持压缩的类型包括:text/xml、text/plain、text/css、application/javascript、application/x-javascript、application/rss+xml、application/atom+xml和application/xml。
    附加HTTP头字段 选择您要添加的自定义HTTP header字段:
    • 添加X-Forwarded-For字段获取客户端的真实IP地址。
    • 添加SLB-ID字段获取实例ID。
    • 添加SLB-IP字段获取实例的公网IP。
    • 添加X-Forwarded-Proto字段获取实例的监听协议。
    获取客户端真实IP 获取来访者的真实IP地址,默认开启。
    创建完毕自动启动监听 是否在监听配置完成后启动负载均衡监听,默认开启。

步骤二:配置SSL证书

添加HTTPS监听,您需要上传服务器证书或CA证书和选择TLS安全策略,如下表所示。

证书 说明 单向认证是否需要 双向认证是否需要
服务器证书 用来证明服务器的身份。

用户浏览器用来检查服务器发送的证书是否是由自己信赖的中心签发的。

服务器证书需要上传到负载均衡的证书管理系统。

服务器证书需要上传到负载均衡的证书管理系统。
客户端证书 用来证明客户端的身份。

用于证明客户端用户的身份,使得客户端用户在与服务器端通信时可以证明其真实身份。您可以用自签名的CA证书为客户端证书签名。

需要客户端进行安装。
CA 证书 服务器用CA证书验证客户端证书的签名。如果没有通过验证,拒绝连接。

CA证书需要上传到负载均衡的证书管理系统。
TLS安全策略 仅性能保障型实例支持选择使用的TLS安全策略。

TLS安全策略包含HTTPS可选的TLS协议版本和配套的加密算法套件,具体说明请参见TLS安全策略说明
在上传证书前,请注意:
  • 目前阿里云负载均衡支持的公钥算法:RSA 1024、RSA 2048、RSA 4096、ECDSA P-256、ECDSA P-384和ECDSA P-521。
  • 上传的证书格式必须是PEM。
  • 证书上传到负载均衡后,负载均衡即可管理证书,不需要在后端ECS上绑定证书。
  • 因为证书的上传、加载和验证都需要一些时间,所以使用HTTPS协议的实例生效也需要一些时间。一般一分钟后就会生效,最长不会超过三分钟。
  • HTTPS监听使用的ECDHE算法簇支持前向保密技术,不支持将DHE算法簇所需要的安全增强参数文件上传,即PEM证书文件中含BEGIN DH PARAMETERS字段的字串上传。更多信息,请参见证书要求
  • 目前负载均衡HTTPS监听不支持SNI(Server Name Indication),您可以改用TCP监听在后端ECS上实现SNI功能。
  • HTTPS监听的会话ticket保持时间默认为300秒。
  • HTTPS监听实际产生的流量会比账单流量更多一些,因为会使用一些流量用于协议握手。
  • 在新建连接数很高的情况下,会占用较大的流量。
  1. SSL证书配置页面,选择已上传的服务器证书,或单击新建服务器证书上传一个服务器证书。
  2. 如果您要开启HTTPS双向认证或者设置TLS安全策略,单击高级配置后面的修改
  3. 打开双向认证,并选择一个已上传的CA证书,或新建一个CA证书。
  4. 选择TLS安全策略,更多信息,参见TLS安全策略说明

步骤三:添加后端服务器

添加处理前端请求的后端服务器。您可以使用实例配置的默认服务器组,也可以为监听配置一个虚拟服务器组或主备服务组。更多信息,请参见后端服务器概述

本操作中,以默认后端服务器组为例。

  1. 后端服务器配置页面,选择默认服务器组,然后单击继续添加
  2. 我的服务器面板,选择要添加的ECS实例,然后单击下一步
  3. 配置端口和权重页签下,配置添加的后端服务器的权重,权重越高的ECS实例将被分配到更多的访问请求。
    说明 权重设置为0,该服务器不会再接受新请求。
  4. 单击添加,配置后端服务器(ECS实例)开放用来接收请求的端口,端口范围为1~65535。

    同一个负载均衡实例内,后端服务器端口可以相同。

  5. 单击下一步

步骤四:配置健康检查

负载均衡通过健康检查来判断后端服务器(ECS实例)的业务可用性。健康检查机制提高了前端业务整体可用性,避免了后端ECS异常对总体服务的影响。单击修改更改健康检查配置,具体操作,请参见配置健康检查

步骤五:提交配置

  1. 配置审核页面,检查监听配置,您可以单击修改更改配置。
  2. 确认无误后,单击提交
  3. 等待配置成功后,单击知道了

    配置成功后,您可以在监听页面查看已创建的监听。