本文介绍如何通过配置流量规则来控制流量到后端的加密类型和负载均衡方式,从而控制网关到后端的流量。
管理后端服务证书加密配置
如果您希望访问后端服务使用TLS加密的方式,可以开启证书加密配置。
登录MSE网关管理控制台,并在顶部菜单栏选择地域。
在左侧导航栏,选择云原生网关 > 网关列表,单击目标网关名称。
在左侧导航栏,选择路由管理,然后选择服务页签。
单击需要加密的服务操作列下的 > 策略配置。在流量管理区域,单击证书加密配置右侧的编辑。
参数
说明
TLS模式
默认为关闭。
关闭:即不通过HTTPS与后端服务进行连接。
单向 TLS:使用TLS与后端服务连接。
双向 TLS(mTLS):会携带指定的客户端证书与服务端进行连接,服务端如果开启双向TLS会对Client证书进行校验。
证书ID
仅当TLS模式使用双向 TLS(mTLS)时,需使用客户端证书ID。
CA证书公钥
仅当TLS模式使用双向 TLS(mTLS)时,需验证服务端证书时使用的CA证书公钥。
服务名称标识
当TLS模式使用单向 TLS或双向 TLS(mTLS)时,可选参数。配置详情,请参见TLS协议拓展字段。
配置完毕后,单击确定。
管理后端服务的负载均衡策略
登录MSE网关管理控制台,并在顶部菜单栏选择地域。
在左侧导航栏,选择云原生网关 > 网关列表,单击目标网关名称。
在左侧导航栏,选择路由管理,然后选择服务页签。
单击需要负载均衡的服务操作列下的 > 策略配置。在流量管理区域,单击负载均衡配置右侧的编辑。
参数
说明
负载均衡类型
支持轮询、最小请求数、随机、一致性hash类型。
说明最小请求数均衡是根据后端服务当前处理中的请求数情况,转发给处理中请求数最少的实例。
兼容其他网关对于HTTP1的最小连接数均衡,因为HTTP/1连接上只存在1个请求;而HTTP/2场景(如gRPC)下基于最小连接数没法正确负载均衡。
一致性hash方式
仅当使用一致性hash时使用。支持源地址哈希、Header哈希、Cookie哈希和请求参数哈希。
基于源IP:根据源地址中的内容获取哈希,将流量按照请求源IP地址的哈希值进行调度。
基于请求参数:将以HTTP请求中的Query参数计算哈希,哈希相同的请求将会转发至同一个实例进行处理。
请求参数:您需要输入Query参数。
基于Header:将以HTTP请求中的Header参数计算哈希,哈希相同的请求将会转发至同一个实例进行处理。
请求头:您需要输入Header中对应的参数的Key的值。
基于Cookie:将以HTTP请求中的所有Cookie计算哈希,哈希相同的请求将会转发至同一个实例进行处理。
Cookie 名称:输入Cookie名称,支持大小写字母、数字、下划线(_)和短划线(-),不超过64个字符。
Cookie 生命周期:输入Cookie过期时间。
Cookie 使用路径:输入Cookie路径。
预热时间
当负载均衡类型为轮询、最小请求数时需要配置。单位为秒,在预热时间内,新注册的后端服务节点流量会线性增加。
配置完毕后,单击确定。
负载均衡规则配置完成并开启后,您可根据实际业务验证负载均衡规则是否生效。