配置全链路HTTPS访问实现加密通信

本文介绍如何使用ALB配置全链路HTTPS加密通信。

应用场景

随着企业的业务大量上云,云上承载业务的安全性变得越来越重要,尤其在金融、政府等行业,为了保障业务的安全性,往往会存在全链路加密的要求。这就要求负载均衡在提供服务的时候,不仅要保障前端(客户端到负载均衡)通信的安全,还要保障后端(负载均衡到业务服务器)通信的安全。

ALB提供全链路HTTPS加密功能,可以实现客户端到ALB、ALB到后端服务器之间的全链路加密通信,提升敏感业务的安全性。

全链路HTTPS加密

配置全链路HTTPS访问

  1. 登录应用型负载均衡ALB控制台
  2. 在顶部菜单栏,选择ALB实例的所属地域。

  3. 在左侧导航栏,选择应用型负载均衡ALB > 服务器组

  4. 服务器组页面,单击创建服务器组,部分参数可参考下表配置,其他参数请保持默认,完成后单击创建

    配置

    说明

    服务器组类型

    选择服务器组类型。本文选择服务器类型

    服务器组名称

    输入服务器组名称。

    请选择VPC的资源组

    选择VPC归属的资源组。

    VPC

    从VPC下拉列表中选择一个VPC。本文选择ALB实例所在的VPC。

    选择后端协议

    选择一种后端协议。本文选择HTTPS

    选择调度算法

    选择一种调度算法。本文使用默认值加权轮询

    选择资源组

    选择归属的资源组。

    开启IPv6挂载

    VPC开启IPv6功能后可选择是否开启IPv6挂载功能,默认关闭。不开启时,服务器组仅支持挂载IPv4类型的后端服务器;开启IPv6挂载功能后,服务器组支持挂载IPv4、IPv6类型的后端服务器。

    开启会话保持

    选择是否开启会话保持功能,默认关闭。不开启时,ALB会将每个客户端请求分别分发到不同的后端服务器;开启会话保持功能后,ALB会把来自同一客户端的访问请求分发到同一台后端服务器。本文保持默认设置,即关闭会话保持。

    开启后端长连接

    选择是否开启后端长连接,默认开启。开启后端长连接,ALB到后端服务器之间会维持一定数量的TCP长连接,当新请求到达时,如果有空闲的TCP长连接,ALB优先使用TCP长连接转发请求到后端服务器,从而减少TCP握手建连次数,减轻后端服务器压力。

    开启健康检查

    开启或关闭健康检查。本文保持默认设置,即开启健康检查。

    健康检查配置

    本文使用默认配置。更多信息,请参见创建和管理服务器组

  5. 服务器组页面,找到目标服务器组,然后在操作列单击编辑后端服务器

  6. 后端服务器页签,单击添加后端服务器

  7. 添加后端服务器面板,选择后端服务器类型,选中目标服务器,然后单击下一步

  8. 设置服务器的端口为443,权重保持默认值,然后单击确定

  9. 创建HTTPS监听,具体操作,请参见添加HTTPS监听

    说明

    选择服务器组配置向导中,您需要选择刚创建的后端服务器组。