要配置HTTPS单向认证的监听,您仅需要在配置监听时上传服务器证书。
前提条件
操作流程
步骤一:上传服务器证书
在配置HTTPS监听(单向认证)前,您需要购买服务器证书,并将服务器证书上传到负载均衡的证书管理系统。上传后,无需在后端ECS上进行其它证书配置。
- 登录传统型负载均衡CLB控制台。
- 在左侧导航栏,选择传统型负载均衡 CLB(原SLB) > 证书管理。
- 在证书管理页面,单击创建证书。
- 在创建证书面板配置以下信息,然后单击创建。
参数 描述 请选择证书来源 本文选中阿里云签发证书。 证书列表 在下拉列表中选择证书所在的区域和证书。 所属资源组 在下拉列表中选择资源组。 证书部署地域 选择证书要部署的地域。
步骤二:创建传统型负载均衡实例
- 登录传统型负载均衡CLB控制台。
- 在实例管理页面,单击创建传统型负载均衡。
- 在购买页面选择一种付费方式。本文选择按量付费。更多信息,请参见按量付费。
- 根据以下信息,配置实例,然后单击立即购买。
配置 说明 地域与可用区 选择实例所属的地域,并在可用区下拉列表中选择实例的主可用区,主可用区是当前承载流量的可用区。
说明 确保实例的地域和后端添加的云服务器ECS(Elastic Compute Service)的地域相同。可用区类型 显示所选地域的可用区类型。云产品的可用区指的是一套独立的基础设施,常用数据中心IDC表示。不同的可用区之间具有基础设施(网络、电力、空调等)的独立性,就是说一个可用区的基础设施故障不影响另外一个可用区。可用区是属于某个地域的,一个地域下可能有一个或者多个可用区。 - 单可用区:实例只部署在一个可用区上。
- 多可用区:实例会部署在两个可用区上。默认启用主可用区的实例。当主可用区出现故障时,将会自动切换到备可用区继续提供负载均衡服务,可以有效提升本地可用性。
备可用区 选择实例的备可用区。备可用区默认不承载流量,主可用区不可用时才承载流量。 实例名称 自定义新建实例名称。 实例计费方式 实例计费方式包括按规格计费和按使用量计费。本文选择按使用量计费。 实例规格 选择一种性能规格。
不同的性能规格提供的性能指标也不同,更多信息,请参见实例规格。
该参数仅实例计费方式选择按规格计费时需要配置。
实例类型 根据业务场景选择配置对外公开或对内私有的负载均衡服务,系统会根据您的选择分配公网或私网服务地址。本文选择公网。 - 公网:公网实例仅提供公网IP,可以通过互联网访问负载均衡服务。
- 私网:私网实例仅提供阿里云私网IP,只能通过阿里云内部网络访问该负载均衡服务,无法从互联网访问。
更多信息,请参见实例类型。
网络类型 默认展示为专有网络。 该参数仅实例类型为私网时生效。
专有网络 选择专有网络和交换机。 该参数仅实例类型为私网时需要配置。
功能特性 展示该地域创建实例的功能特性。 该参数仅实例类型为私网时需要配置。
IP版本 选择实例的IP版本,可以设置为IPv4或者IPv6。 公网计费方式 选择一种公网计费方式。公网CLB实例支持以下公网计费方式: - 按使用流量计费
- 按固定带宽计费
实例计费方式为按使用量计费时,仅支持按使用流量计费的公网计费方式。
说明 私网实例仅展示按使用流量计费项,私网实例实际不收取流量费。数量 选择购买数量。 资源组 云资源所属的资源组。 - 在确认订单页面确认CLB实例的配置信息,选中服务协议,按照页面提示完成支付。
步骤三:添加HTTPS监听
- 登录传统型负载均衡CLB控制台。
- 在顶部菜单栏处,选择实例所属的地域。
- 选择以下一种方法,打开监听配置向导。
- 在实例管理页面,找到目标实例,然后在操作列单击监听配置向导。
- 在实例管理页面,单击目标实例ID,在实例详情页选择监听页签,然后单击添加监听。
- 在协议&监听配置向导,完成以下参数的配置,然后单击下一步。
监听配置 说明 选择负载均衡协议 选择监听的协议类型。 本文选择HTTPS。
后端协议 当本文选择的是HTTPS协议时,后端协议为HTTP协议。 监听端口 用来接收请求并向后端服务器进行请求转发的监听端口。端口范围为1~65535。 监听名称 设置自定义监听名称。 高级配置 单击修改展开高级配置。 调度算法 选择调度算法。 - 加权轮询(WRR):权重值越高的后端服务器,被轮询到的次数(概率)也越高。
- 轮询(RR):按照访问顺序依次将外部请求分发到后端服务器。
开启会话保持 选择是否开启会话保持。
开启会话保持功能后,负载均衡会把来自同一客户端的访问请求分发到同一台后端服务器上进行处理。
Cookie处理方式:- 植入Cookie:您只需要指定Cookie的过期时间。
客户端第一次访问时,负载均衡会在返回请求中植入Cookie(即在HTTP或HTTPS响应报文中插入ServerId),下次客户端携带此Cookie访问,负载均衡服务会将请求定向转发给之前记录到的后端服务器上。
会话保持超时时间:选择植入Cookie时,输入会话保持的超时时间。
- 重写Cookie:可以根据需要指定HTTPS或HTTP响应中插入的Cookie。您需要在后端服务器上维护该Cookie的过期时间和生存时间。
负载均衡服务发现用户自定义了Cookie,将会对原来的Cookie进行重写,下次客户端携带新的Cookie访问,负载均衡服务会将请求定向转发给之前记录到的后端服务器。
Cookie名称:选择重写Cookie时,输入Cookie名称。
启用HTTP2.0 选择是否开启CLB前端协议版本为HTTP 2.0。 启用访问控制 选择是否启用访问控制。 开启访问控制后,选择一种访问控制方式,并设置访问控制策略组,作为该监听的白名单或黑名单。
- 白名单:允许特定IP访问负载均衡SLB,仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求,白名单适用于只允许特定IP访问的场景。设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP可以访问负载均衡监听。
如果开启了白名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。
- 黑名单:禁止特定IP访问负载均衡SLB,不会转发来自所选访问控制策略组中设置的IP地址或地址段,黑名单适用于只限制某些特定IP访问的场景。
如果开启了黑名单访问,但访问策略组中没有添加任何IP,则负载均衡监听会转发全部请求。
说明 IPv6实例只能绑定IPv6访问控制策略组,IPv4实例只能绑定IPv4访问控制策略组。详情参见创建访问控制策略组。开启监听带宽限速 选择是否配置监听带宽。
对于按带宽计费的负载均衡实例,您可以针对不同监听设定不同的带宽峰值来限定监听的流量。实例下所有监听的带宽峰值总和不能超过该实例的带宽。默认不开启,各监听共享实例的总带宽。
说明 使用流量计费方式的实例默认不限制带宽峰值。连接空闲超时时间 指定连接空闲超时时间。 在超时时间内一直没有访问请求,负载均衡会暂时中断当前连接,直到下一次请求来临时重新建立新的连接。
连接请求超时时间 指定请求超时时间。 在超时时间内后端服务器一直没有响应,负载均衡将放弃等待,给客户端返回HTTP 504错误码。
Gzip数据压缩 开启该配置对特定文件类型进行压缩,关闭则不会对任何文件类型进行压缩。 目前Gzip支持压缩的类型包括:
text/xml、text/plain、text/css、application/javascript、application/x-javascript、application/rss+xml、application/atom+xml和application/xml。附加HTTP头字段 选择您要添加的自定义HTTP头字段: - 添加
X-Forwarded-For头字段获取客户端真实IP。 - 添加
SLB-ID头字段获取负载均衡实例的ID。 - 添加
SLB-IP头字段获取负载均衡实例IP地址。 - 添加
X-Forwarded-Proto头字段获取负载均衡的监听协议。 - 添加
X-Forwarded-Port头字段获取负载均衡实例的监听端口。 - 添加
X-Forwarded-Client-srcport头字段获取访问负载均衡实例客户端的端口。
获取客户端真实IP 获取来访者的真实IP地址,默认开启。 创建完毕自动启动监听 是否在监听配置完成后启动负载均衡监听,默认开启。 WAF安全防护 选择是否为监听开启WAF安全防护。
步骤四:测试负载均衡服务
- 负载均衡实例配置完成后,在实例管理页面,查看健康检查状态。
当状态为正常时,表示后端服务器可以正常接收处理负载均衡监听转发的请求。
- 在浏览器中输入负载均衡的公网服务地址。
