通过NLB实现TCPSSL卸载(单向认证)

当您使用四层负载均衡时,如果安全性要求较高需要使用SSL加密,但在每个后端服务器上配置SSL认证会降低业务处理效率,此时您可以使用NLB提供的大规模SSL卸载功能。通过在流量入口部署NLB并配置SSL证书,后端服务器无需配置SSL,NLB即可通过TCPSSL监听来接收加密流量,并将其解析为明文流量然后将流量分发至后端服务器。这种方式可以提高后端业务的处理效率,简化了后端服务器和SSL的配置,同时仍然保证了通信的安全性。

前提条件

  • 已创建NLB实例。具体操作,请参见创建和管理NLB实例

  • 已创建NLB后端服务器组。具体操作,请参见创建和管理服务器组

    重要
    • 服务器组后端协议必须为TCP协议。

    • TCPSSL类型的监听不能选择开启客户端地址保持功能的服务器组。请确保创建的服务器组已经关闭该功能。

  • 已在后端服务器组中分别添加ECS01和ECS02实例,并在ECS01和ECS02中部署了应用服务。

步骤一:准备服务器证书

您可以从阿里云购买服务器证书,或者在其他服务商处购买服务器证书并上传。

本文以从阿里云购买服务器证书为例。

说明

购买SSL证书时需要绑定域名,请确保您已经注册域名并完成备案。具体操作,请参见注册阿里云域名ICP备案流程

步骤二:配置TCPSSL监听

  1. 登录网络型负载均衡NLB控制台

  2. 在左侧导航栏,选择网络型负载均衡 NLB > 实例

  3. 在顶部菜单栏处,选择实例所属的地域。

  4. 实例页面,找到目标实例,然后在操作列单击创建监听

  5. 配置监听页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步

    配置

    说明

    选择监听协议

    选择TCPSSL

    监听端口

    本文配置端口443。

  6. 配置SSL证书页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步

    配置

    说明

    选择服务器证书

    选择步骤一中准备的服务器证书。

    TLS安全策略

    根据实际安全策略需求选择。如果选择较高版本需要注意与客户端的兼容性。

  7. 选择服务器组页面配置以下信息,其他参数可保持默认值或根据实际情况修改。完成后单击下一步

    配置

    说明

    选择服务器组

    选择此前已创建好的服务器组。

  8. 配置审核页面,检查配置参数是否有误,无误的话单击提交,等待监听创建完成。

步骤三:配置域名解析

实际业务场景中,建议您使用自有域名,通过CNAME解析的方式将自有域名指向NLB实例域名。

  1. 在左侧导航栏,选择网络型负载均衡 NLB > 实例

  2. 实例页面,复制已创建的NLB实例的DNS名称。

  3. 执行以下步骤添加CNAME解析记录。

    说明

    对于非阿里云注册域名,需先将域名添加到云解析控制台,才可以进行域名解析设置。具体操作,请参见域名管理。如果您是阿里云注册的域名,请直接执行以下步骤。

    1. 登录域名解析控制台

    2. 权威域名解析页面,找到目标域名,在操作列单击解析设置

    3. 解析设置页面,单击添加记录

    4. 添加记录面板,配置以下信息完成CNAME解析配置,然后单击确定

      配置

      说明

      记录类型

      在下拉列表中选择CNAME

      主机记录

      您的域名的前缀。本文输入@

      说明

      创建域名为根域名时,主机记录为@

      解析请求来源

      选择默认。

      记录值

      输入域名对应的CNAME地址,此处为NLB实例的DNS名称。

      TTL

      全称Time To Live,表示DNS记录在DNS服务器上的缓存时间,本文使用默认值。

步骤四:访问测试

在浏览器中输入NLB对应绑定的域名,并多次刷新页面,您可以看到请求正通过HTTPS协议访问后端服务,且请求在两台ECS之间转换。

重要

由于浏览器缓存问题,四层负载均衡验证时,请您每次使用无痕浏览器访问DNS域名。

ECS01ECS02

相关文档