您可以在NLB实例上添加一个TCPSSL监听转发来自客户端加密的TCP协议请求。TCPSSL协议多用于需要超高性能和大规模TLS卸载的场景。
前提条件
- 您已经创建NLB实例。具体操作,请参见创建和管理NLB实例。
- 您已经创建可用的后端服务器组。具体操作,请参见创建和管理服务器组。
操作指引
- 创建TCPSSL监听:您可以根据业务定制全端口、高级配置等功能。
- 快速创建TCPSSL监听:您可以快速创建监听,只需配置监听协议、监听端口、服务器证书、TLS安全策略和转发的后端服务器组。
创建TCPSSL监听
步骤一:配置监听
- 登录网络型负载均衡NLB控制台。
- 在顶部菜单栏,选择NLB实例的所属地域。
- 在实例页面,找到目标实例,选择以下一种方法,打开监听配置向导。
- 在操作列单击创建监听。
- 单击实例ID,然后单击监听页签,在监听页签,单击监听列表上方的创建监听。
- 单击实例ID,在实例详情页单击配置向导中的创建监听。
- 单击实例ID,在实例详情页的右上角单击创建监听。
- 在配置监听配置向导页面,完成以下配置,然后单击下一步。
监听配置 说明 选择负载均衡协议 选择一种负载均衡协议。本文选择TCPSSL。 全端口功能 选择是否开启全端口功能。开启全端口功能后,NLB可以对监听端口段的所有端口进行监听,并将监听端口上接收到的请求直接转发至后端服务器的对应端口。 说明- 一个NLB实例最多支持创建一个TCP(含TCPSSL)类型的全端口监听和一个UDP类型的全端口监听。
- 添加至全端口监听的服务器组需开启全端口转发功能。
监听端口段 全端口功能开启时,需输入监听端口段的起始端口和结束端口。
监听端口 输入用来接收请求并向后端服务器进行请求转发的监听端口。
您可以直接单击常用监听端口快捷填写,或者输入端口。监听端口范围:1~65535。
当全端口功能开启时,无需配置该参数。
监听名称 自定义监听的名称。 高级配置 展开高级配置。 连接空闲超时时间 指定TCPSSL连接的超时时间,在超时时间内一直没有访问请求,NLB会暂时中断当前连接,直到下一次请求来临时重新建立新的连接。 新建连接限速 选择是否开启新建连接限速功能。 每秒新建连接数上限 开启新建连接限速后,输入每秒新建连接数上限。 开启ProxyProtocol 选择是否开启ProxyProtocol。开启后表示支持通过ProxyProtocol协议携带客户端源地址到后端服务器。
步骤二:配置SSL证书
添加TCPSSL监听,您需要配置SSL证书以确保您的业务受到加密保护并得到权威机构的身份认证,如下表所示。
| 证书 | 说明 | 单向认证是否需要 | 双向认证是否需要 |
|---|---|---|---|
| 服务器证书 | 用来证明服务器的身份。 您的浏览器用来检查服务器发送的证书是否是由自己信赖的中心签发的。更多信息,请参见SSL证书。 |
是 您可在证书中心购买或上传服务器证书,NLB从证书中心获取该证书并使用。 |
是 您可在证书中心购买或上传服务器证书,NLB从证书中心获取该证书并使用。 |
| 客户端证书 | 用来证明客户端的身份。 用于证明客户端用户的身份,使得客户端用户在与服务器端通信时可以证明其真实身份。 |
否 | 是 需要客户端进行安装。 |
| CA证书 | 服务器用CA证书验证客户端证书的签名。如果没有通过验证,拒绝连接。 | 否 | 是 您可在证书中心购买或上传CA证书,NLB从证书中心获取该证书并使用。 |
| TLS安全策略 | TLS安全策略包含TCPSSL可选的TLS协议版本和配套的加密算法套件,更多信息,请参见TLS安全策略。 | 是 | 是 |
- 在配置SSL证书配置向导页面,在选择服务器证书下拉框中选择一个服务器证书。
- 可选:开启高级配置中的启用双向认证。
- 选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。
如果没有可选的CA证书,您可以在下拉框中单击购买CA证书创建新证书。更多信息,请参见购买及启用私有CA。
- 选择CA证书来源为非阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。
如果没有可选的自签名CA证书,您可以在下拉框中单击上传自签CA证书,在证书仓库页面,创建数据来源为上传证书的仓库,然后通过证书应用仓库上传自签名根CA或自签名子根CA证书。更多信息,请参见上传三方私有证书。
说明 开启双向认证后,如果您后续需要关闭双向认证,请参考以下步骤。- 在实例页面,单击目标实例ID。
- 在监听页签,单击目标TCPSSL协议监听ID。
- 在监听详情页签,在SSL证书区域关闭双向认证开关。
- 选择CA证书来源为阿里云签发,在选择默认CA证书下拉框中选择一个CA证书。
- 选择TLS安全策略,单击下一步。
如果没有可选的TLS安全策略,您可以在下拉框中单击 创建TLS安全策略。更多信息,请参见 TLS安全策略。
步骤三:选择服务器组
步骤四:配置审核
在配置审核配置向导页面,确认配置信息,单击提交。
快速创建TCPSSL监听
选择快速创建监听,您只需配置监听协议、监听端口、服务器证书、TLS安全策略和转发的后端服务器组。
- 在左侧导航栏,选择。
- 在实例页面,找到目标实例,单击实例ID。
- 单击监听页签,在监听页签单击快速创建监听。
- 在快速创建监听对话框中,完成以下参数的配置,然后单击确定。
监听配置 说明 选择负载均衡协议 选择一种负载均衡协议。本文选择TCPSSL。 监听端口 设置前端协议端口,即用来接收请求并向后端服务器进行请求转发的监听端口。
您可以直接单击常用监听端口快捷填写,或者输入端口。监听端口范围:1~65535。
选择服务器证书 在下拉框中选择一个服务器证书。 如果没有可选的服务器证书,您可以在下拉框中单击创建证书创建新证书。更多信息,请参见购买SSL证书。
TLS安全策略 在下拉框中选择一个TLS安全策略。 如果没有可选的TLS安全策略,您可以在下拉框中单击创建TLS安全策略。更多信息,请参见TLS安全策略。
转发的后端服务器组 选择服务器类型及服务器类型下的后端服务器组。
相关文档
- CreateListener:为网络型负载均衡实例创建TCP、UDP或TCPSSL监听。
- DeleteListener:删除网络型负载均衡监听。
- ListListeners:查询网络型负载均衡监听列表。
- UpdateListenerAttribute:更新网络型负载均衡监听的配置。
- StartListener:启动网络型负载均衡监听。
- StopListener:停止网络型负载均衡实例的监听。
- GetListenerAttribute:查询网络型负载均衡实例的监听详情。
- GetListenerHealthStatus:查询网络型负载均衡实例监听的健康检查状态。