本教程指导您使用全球加速服务(GA)实现HTTPS安全加速访问HTTP网站,提升客户端访问HTTP网站的速度和安全性。

配置场景

本教程以下图场景为例。某公司的总部在美国硅谷,总部有一台自建服务器,服务器上部署了HTTP网站,客户端主要分布在中国香港。该公司的网站服务面临以下挑战:
  • HTTP以明文方式传输数据,缺乏对网站验证的方法,导致网站系统面临极大的安全风险。
  • 跨国公网不稳定,经常出现延迟、抖动、丢包等网络问题。
您可以部署全球加速服务,并配置HTTPS协议监听,加速中国香港用户访问美国硅谷地域的HTTP网站,同时对客户端的访问请求进行HTTPS加密,有效保障数据传输的安全性。业务场景图

前提条件

开始前,请确保满足以下条件:
  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 目前,HTTPS安全加速功能白名单开放。如需使用,请提交工单
  • 您已经购买了SSL证书,并申请了该SSL证书。详细信息,请参见证书选型与购买申请证书

配置步骤

配置步骤

步骤一:填写加速业务

您可以在全球加速控制台填写自己的加速业务,系统会根据您的加速业务智能推荐需要购买的加速实例和基础带宽包。

完成以下操作,填写加速业务。

  1. 登录全球加速管理控制台
  2. 实例列表页面,单击右上角的购买向导
    说明 如果您是首次使用全球加速服务,请忽略该步骤。
    购买向导
  3. 智能推荐产品方案,选择以下与您业务相关的选项区域,根据以下信息填写加速业务。
    • 您需要加速的地域:选择需要进行访问加速的地域。本教程选择中国(香港)
    • 服务所在地域:选择目标服务器所在的地域。本教程选择美国(硅谷)
    • 是否有ICP备案:如果您的加速服务是Web服务,请选择是否有ICP备案。如果加速服务不是Web服务,请选择无备案。本教程选择无备案
      说明 所有对中国内地(大陆)提供服务的网站都必须先进行ICP备案,才可开通服务。详细信息,请参见什么是备案
    • 服务端部署在:选择后端服务部署在阿里云还是非阿里云。本教程选择非阿里云
    • 峰值带宽的范围:输入业务高峰期需要的带宽用量,单位是Mbps。本教程输入10
    • 最大并发连接数:最大并发连接数定义了一个全球加速实例能够承载的最大连接数量。当实例上的连接超过规格定义的最大连接数时,新建连接请求将被丢弃。本教程选择5千
  4. 单击点击生成方案
    生成方案后,您可以查看系统根据您的加速业务智能推荐的加速方案。智能推荐方案

步骤二:组合购买实例

您可以根据系统推荐的加速方案,组合购买加速业务所需要的加速实例和基础带宽包。

完成以下操作,组合购买实例。

  1. 单击去组合购买
    组合购买入口
  2. 在购买页面,根据以下信息购买加速业务所需要的实例。
    • 订购时间:选择实例的订购时间。
      说明 该订购时间是组合购的所有实例的订购时间。例如,您选择订购时间为1年,即全球加速实例和基础带宽包的订购时间都为1年。
    • 规格:选择购买全球加速实例的规格。 本教程选择小型Ⅰ
      全球加速支持小型Ⅰ、小型Ⅱ、小型Ⅲ、中型Ⅰ、中型Ⅱ、中型Ⅲ六种规格,每种规格提供的加速服务如下。
      规格 加速地域个数 最大带宽处理能力 最大并发连接数
      小型Ⅰ 1 20Mbps 5000
      小型Ⅱ 2 40Mbps 10000
      小型Ⅲ 3 60Mbps 15000
      中型Ⅰ 5 100Mbps 25000
      中型Ⅱ 8 160Mbps 40000
      中型Ⅲ 10 200Mbps 50000
    • 带宽类型:选择购买基础带宽包的带宽类型。本教程选择精品加速带宽
      基础带宽包支持标准加速带宽、增强加速带宽和精品加速带宽三种带宽类型。带宽类型不同,加速类型、加速后端服务和加速范围也不同,如下表所示。
      带宽类型 加速类型 加速后端服务 加速范围
      标准加速带宽 阿里云上应用加速
      • 云服务器ECS
      • 负载均衡SLB
      • 阿里云公网IP
      默认加速中国内地区域
      增强加速带宽
      • 阿里云上应用加速
      • 阿里云下应用加速
      • 云服务器ECS
      • 负载均衡SLB
      • 阿里云公网IP
      • 自定义IP
      • 自定义域名
      默认加速中国内地区域
      精品加速带宽
      • 阿里云上应用加速
      • 阿里云下应用加速
      • 云服务器ECS
      • 负载均衡SLB
      • 阿里云公网IP
      • 自定义IP
      • 自定义域名
      默认加速全球区域(中国内地到海外区域间的加速通过香港加速点上车)
      说明 目前,将云服务器ECS和负载均衡SLB作为终端节点的功能白名单开放。如需使用,请提交工单
    • 带宽峰值:选择购买基础带宽包的带宽峰值。本教程选择10Mb
  3. 单击立即购买并完成支付。

购买完成后,系统会自动为全球加速分配CNAME,且基础带宽包会自动绑定到全球加速实例上。

图 1. 全球加速CNAME
全球加速CNAME
图 2. 基础带宽包已自动绑定到全球加速实例
基础带宽包已自动绑定到全球加速实例

步骤三:添加加速区域

购买加速业务所需要的实例后,您便可以添加加速区域,指定访问后端服务的用户的所在地域并分配加速带宽。

完成以下操作,添加加速区域。

  1. 实例列表页面,找到步骤二购买的全球加速实例,单击其实例ID。
  2. 在实例详情页,单击加速区域页签,然后单击添加加速区域
  3. 添加加速区域对话框,根据以下信息配置加速区域,然后单击确定
    • 加速区域:选择需要进行访问加速的区域。本教程选择亚太
    • 地域:选择访问加速服务用户的所属地域。本教程选择中国(香港)
    • 带宽:选择加速服务的地域带宽。本教程输入10Mbps。
    • IP地址协议:选择接入全球加速服务的IP地址协议。本教程选择IPv4
加速区域添加成功后,全球加速会为接入地域分配一个加速IP,用来加速用户访问。添加加速区域

步骤四:添加监听

监听负责检查连接请求。系统会根据您指定的端口和协议转发来自客户端的入站连接。

完成以下操作,为全球加速实例添加监听。

  1. 在实例详情页,单击监听页签,然后单击添加监听
  2. 配置监听和协议页面,根据以下信息配置监听。
    • 监听名称:输入监听的名称。

      名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)和短横线(-)。

    • 协议:选择监听的协议类型。本教程选择HTTPS
    • 端口:指定用来接收请求并向终端节点进行转发的监听端口,端口取值范围:1~65499。本教程输入443
    • 客户端亲和性:选择是否保持客户端亲和性。保持客户端亲和性,即客户端访问有状态的应用程序时,可以将来自同一客户端的所有请求都定向到同一终端节点。本教程选择源IP
    配置监听
  3. 单击下一步配置SSL证书。

步骤五:配置SSL证书

配置SSL证书后,网站使用HTTPS协议对网站数据的传输进行加密,有效保护敏感数据的传输。

完成以下操作,配置SSL证书。

  1. 配置SSL证书页面,根据以下信息配置SSL证书。
    • 选择服务器证书:选择您已经申请的SSL证书。
    • 后端端口:输入后端服务器的服务端口。本教程输入80
    配置SSL证书
  2. 单击下一步配置终端节点组。

步骤六:设置终端节点组

每个监听都关联一个终端节点组,通过指定要分发流量的地域,将终端节点组与监听关联。关联后,全球加速会将流量分配到与监听关联的终端节点组内的最佳终端节点。

完成以下操作,设置终端节点组。

  1. 配置终端节点页面,根据以下信息配置终端节点组。
    • 节点组名称:输入节点组名称。

      名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)和短横线(-)。

    • 地域:选择终端节点组所属的地域,即请求要访问的目标服务器的所属地域。

      本教程选择美国(硅谷)

    • 后端服务部署在:选择后端服务部署在阿里云还是非阿里云。

      本教程选择非阿里云

    • 保持客户端源IP:默认开启保持客户端源IP功能,HTTPS监听将从HTTP的x-forward-for字段读取客户端源IP地址。
      说明 目前,保持客户端源IP功能白名单开放,如需使用请提交工单
    • 终端节点配置
      • 后端服务类型:选择自定义IP
      • 后端服务:输入要加速的后端服务的IP地址。
      • 权重:输入终端节点的权重,权重取值范围:0~255。全球加速根据您配置的权重按比例将流量路由到终端节点。
        注意 如果某个终端节点的权重设置为0,全球加速将终止向该终端节点分发流量,请您谨慎操作。
    配置终端节点组
  2. 单击下一步审核配置,确认无误后,再单击下一步

步骤七:修改DNS解析

您需要将DNS解析到全球加速分配的CNAME,访问加速域名的请求才能转发到全球加速,实现加速效果。本示例以阿里云云解析DNS为例,为您介绍如何配置DNS解析。
说明 如果您使用的DNS解析服务为非阿里云云解析DNS,请登录您的DNS服务商系统修改网站域名的解析记录。

完成以下操作,修改DNS解析。

  1. 登录阿里云云解析DNS控制台
  2. 域名解析页面,找到目标域名,单击操作列下的解析设置
  3. 解析设置页面,找到要修改的解析记录,单击操作列下的修改
  4. 修改记录对话框,选择记录类型CNAME,并将记录值修改为步骤二组合购买实例后分配的CNAME地址。详细信息,请参见步骤二:组合购买实例修改记录
  5. 单击确认

步骤八:访问测试

完成以下操作,测试客户端通过HTTPS方式访问部署在美国硅谷的HTTP网站。

  1. 在接入地域(本教程为中国香港)的电脑中打开浏览器。
  2. 输入https:[网站域名]访问部署在美国硅谷的HTTP网站。
    经测试,可以通过HTTPS方式访问部署在美国硅谷的HTTP网站。访问测试
  3. 在接入地域(本教程为中国香港)的电脑中打开命令行窗口。
  4. 执行以下命令,查看数据包延迟情况。
    curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "https://<网站域名>"
    其中:
    • time_connect:连接时间,从开始到建立TCP连接完成所用的时间。
    • time_starttransfer:开始传输时间。在客户端发出请求后,到后端服务器响应第一个字节所用的时间。
    • time_total:连接总时间。客户端发出请求后,到后端服务器响应会话所用的时间。
    经测试,使用全球加速后,降低了中国香港用户访问美国硅谷HTTP网站的延迟。
    图 3. 加速前的访问延迟情况
    加速前,访问延迟情况
    图 4. 加速后的访问延迟情况
    加速后,访问延迟情况
    说明 使用全球加速服务后的加速效果以您的实际业务测试为准。