本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
通過在一個全球加速實例上配置多個證書,可實現同時加速訪問多個HTTPS域名。
場景示例
本文以下圖場景為例。某公司的總部在美國硅谷,總部在阿里云上創建了兩臺服務器,兩臺服務器均部署了Web服務,并通過不同的域名對外提供服務。客戶端主要分布在中國香港地域,該公司的Web服務面臨以下挑戰:
公網傳輸不穩定,經常出現延遲、抖動、丟包等網絡問題。
多臺服務器通過不同的域名對外提供服務,為網站配置加速服務時,一般需要分別為每個域名進行加速,成本較高。
為解決上述問題,該公司計劃部署全球加速服務,并配置HTTPS協議監聽。HTTPS協議監聽可以通過以下功能實現同時加速多個HTTPS域名訪問:
支持綁定多個證書,可以將多個域名關聯到同一個HTTPS協議監聽上。
支持配置基于域名的轉發策略,通過匹配不同的域名訪問請求,將訪問請求轉發至后端相應的服務器。
支持對客戶端的訪問請求進行數據加密,能有效保障數據傳輸的安全性。
當前該公司Web服務器的服務信息以及該公司使用全球加速服務后對客戶端訪問請求的轉發規劃如下:
配置規劃 | 訪問域名1 | 訪問域名2 |
監聽協議 | HTTPS | |
監聽端口 | 443 | |
對應證書 | 默認證書A | 擴展證書B |
對應轉發策略 | 默認轉發策略 | 自定義轉發策略 |
對應終端節點組 | 默認終端節點組 | 虛擬終端節點組 |
對應服務器 | 服務器1 | 服務器2 |
服務器服務協議 | HTTP | HTTPS |
服務器服務端口 | 80 | 443 |
服務器公網IP | 47.XX.XX.62 | 47.XX.XX.34 |
全球加速中配置的證書用于加密從客戶端至全球加速階段的數據。從全球加速至后端服務器階段的數據加密通過后端服務器安裝的證書實現。全球加速中配置的證書可以與后端服務器安裝的證書相同。
前提條件
您已將證書文件上傳至后端服務器。具體操作,請參見通過云助手上傳文件到ECS實例。
您的后端服務器1和服務器2已分別配置了HTTP 80和HTTPS 443服務。
您已分別為域名1
xxxtest.cloud
和域名2xxxtest.fun
配置了DNS解析,即已配置了A記錄將域名指向后端服務器的公網IP。
本文使用Nginx配置后端HTTP 80和HTTPS 443服務,并使用阿里云云解析 DNS(Alibaba Cloud DNS)配置解析記錄為例。
關于如何部署Nginx服務,請參見步驟二:安裝Nginx。
關于如何配置解析記錄,請參見添加解析記錄。如果您使用的DNS解析服務為非阿里云云解析DNS,請參見您的DNS服務商操作指導。
配置步驟
步驟一:配置實例基礎信息
登錄全球加速管理控制臺。
在實例列表頁面,單擊創建標準型按量付費實例。
在實例基礎配置配置向導頁面,根據以下信息進行配置,然后單擊下一步。
配置
說明
全球加速實例名稱
輸入全球加速實例名稱。
實例計費方式
默認為按量付費。
使用按量付費的標準型全球加速實例,產生的費用包括:實例費、性能容量單位CU費和流量費。
關于實例費、性能容量單位CU費的更多信息,請參見按量付費全球加速實例計費。
關于流量費,請參見流量計費。
資源組
選擇標準型全球加速實例所屬的資源組。
該資源組為當前阿里云賬號在資源管理中創建的資源組。更多信息,請參見創建資源組。
步驟二:配置加速區域
為全球加速實例配置加速區域,指定可以加速訪問后端服務的用戶所在的地域并為其分配加速帶寬。
在配置加速區域配置向導頁面,根據以下信息配置加速區域,然后單擊下一步。
配置 | 說明 |
加速區域 | 在下拉列表中選中需要進行訪問加速的一個地域或多個地域,然后單擊添加至列表。 本文在亞太區域下選中中國(香港)地域。 |
分配帶寬 | |
帶寬峰值 | 設置加速地域的帶寬。每個加速地域支持分配的帶寬范圍為2~10000 Mbps。 此處帶寬峰值僅作限速,產生的流量費用統一由CDT結算出賬。 本文保持默認值200 Mbps。 重要 如果帶寬峰值設置過低,可能出現限速從而導致流量被丟棄,請合理規劃帶寬峰值,確保和業務需求匹配。 |
IP地址協議 | 選擇接入全球加速服務的IP地址協議。 本文保持默認值IPv4。 |
公網質量類型 | 選擇接入全球加速服務的公網質量類型。 本文選擇BGP(多線)。 |
步驟三:配置監聽
監聽負責檢查連接請求,根據您指定的端口和協議處理來自客戶端的入站連接。每個監聽都關聯一個終端節點組,通過指定要分發流量的地域,將終端節點組與監聽關聯。關聯后,全球加速會將流量分配到與監聽關聯的終端節點組內的最佳終端節點。
在配置監聽配置向導頁面,配置監聽,然后單擊下一步。
配置 | 說明 |
監聽名稱 | 輸入監聽的名稱。 |
路由類型 | 選擇路由類型。 本文選擇智能路由。 |
協議 | 選擇監聽的協議類型。 本文選擇HTTPS。 |
端口 | 指定用來接收請求并向終端節點進行轉發的監聽端口,端口取值范圍:1-65499。 本文輸入443。 |
選擇服務器證書 | 選擇您已經申請的服務器證書。 本文選擇您已申請的證書A。 |
TLS安全策略 | 選擇您業務所需的TLS安全策略。 TLS安全策略包含HTTPS可選的TLS協議版本和配套的加密算法套件。關于TLS安全策略,請參見TLS安全策略說明。 本文不作配置時,默認選擇tls_cipher_policy_1_0。 |
客戶端親和性 | 選擇是否保持客戶端親和性。保持客戶端親和性,即客戶端訪問有狀態的應用程序時,可以將來自同一客戶端的所有請求都定向到同一終端節點。 本文選擇源IP。 |
附加HTTP頭字段 | 選中所需的附加HTTP頭字段。 本文保持默認配置。
|
步驟四:配置終端節點組和終端節點
在配置終端節點組配置向導頁面,配置終端節點組和終端節點,然后單擊下一步。
此處僅介紹本文場景強相關配置項,關于終端節點配置項更多信息,請參見添加和管理智能路由類型監聽的終端節點組。
配置
說明
地域
選擇終端節點組所屬的地域。
本文選擇美國(硅谷)。
終端節點配置
終端節點是客戶端請求訪問的目標主機。您可以根據以下信息配置終端節點:
后端服務類型:選擇阿里云公網IP。
后端服務:輸入要加速的后端服務的IP地址。本文輸入服務器1的公網IP地址47.XX.XX.62。
權重:輸入終端節點的權重,權重取值范圍:0~255。全球加速根據您配置的權重按比例將流量路由到終端節點。 本文保持默認值255。
警告如果某個終端節點的權重設置為0,全球加速將終止向該終端節點分發流量,請您謹慎操作。
保持客戶端源IP
默認開啟保持客戶端源IP功能,支持后端服務查看客戶端源IP地址。HTTP監聽將從HTTP的x-forward-for字段讀取客戶端源IP地址。更多信息,請參見保持客戶端源IP。
后端服務協議
選擇后端服務器使用的服務協議。
默認配置為HTTP。
端口映射
當您監聽的端口和您終端節點提供服務的端口不相同時,您需要輸入端口映射關系。
監聽端口:只能填寫當前監聽的端口。本文輸入443。
終端節點端口:您終端節點提供服務的端口。本文輸入80。
流量調配
配置到不同終端節點組的流量比例。
取值范圍:0~100。
本文保持默認值100%。
健康檢查
開啟或關閉健康檢查。
開啟后,可以通過健康檢查來判斷終端節點的運行狀態。關于健康檢查更多信息,請參見開啟和管理健康檢查。
本文保持默認關閉狀態。
在配置審核配置向導頁面,確認信息,然后單擊提交。
說明創建全球加速實例預計耗時3~5分鐘,請您耐心等待。
可選:創建任務完成后,在創建任務詳情列表下方,單擊進入實例詳情,然后在實例詳情頁,可選擇實例信息、監聽、加速區域等頁簽查看實例配置信息。
配置虛擬終端節點組。
在實例詳情頁面,單擊監聽頁簽。
在監聽頁簽,找到目標監聽,在默認終端節點組列單擊終端節點組ID。
在終端節點組頁簽下的虛擬終端節點組區域,單擊添加虛擬終端節點組。
在添加終端節點組頁面,根據以下信息進行配置,然后單擊創建。
此處配置除以下列出的參數外,其余參數與上文默認終端節點組配置一致。
后端服務類型:選擇阿里云公網IP。
后端服務:輸入服務器2的公網IP地址47.XX.XX.34。
后端服務協議:選擇HTTPS。
端口映射:無需配置端口映射關系。
如果您監聽的端口和您終端節點提供服務的端口相同,您無需填寫端口映射關系,全球加速自動將訪問請求發送至終端節點的監聽端口。
步驟五:綁定擴展證書
為HTTPS監聽綁定擴展證書,可以將多個域名關聯到同一個HTTPS協議監聽上。配合基于域名的轉發策略可以將不同域名的訪問請求轉發至不同的虛擬終端節點組。
以下步驟通過為HTTPS監聽綁定證書B,將域名2xxxtest.fun
與HTTPS監聽關聯。
在監聽頁簽下,找到目標HTTPS協議監聽,單擊監聽ID。
在監聽詳情頁面下,單擊證書管理頁簽。
在證書管理頁簽下的擴展證書區域,單擊綁定證書。
在綁定證書對話框,根據以下信息配置擴展證書,然后單擊確定。
證書:選擇需要綁定的證書。本文選擇證書B。
關聯域名:選擇該證書下需要使用全球加速服務加速訪問的域名。本文選擇域名2
xxxtest.fun
。
步驟六:添加轉發策略
HTTPS協議監聽接收到訪問請求后,會優先匹配自定義轉發策略,在滿足匹配條件后,HTTPS協議監聽將訪問請求轉發至對應終端節點組中。如果訪問請求未匹配到任何自定義轉發策略,將會直接通過默認轉發策略被轉發至默認終端節點組中。
以下步驟為服務器2對應的虛擬終端節點組創建自定義轉發策略,將訪問域名2xxxtest.fun
的所有請求轉發至服務器2。
在監聽頁簽下,找到目標HTTPS協議監聽,單擊監聽ID。
在監聽詳情頁面,單擊轉發策略頁簽。
在轉發策略頁簽下,單擊插入新策略。
在插入新策略區域,根據以下信息配置轉發策略,并單擊確定。
參數
說明
策略名稱
輸入轉發策略的名稱。
如果(條件全部匹配)
配置轉發條件。
本文選擇域名,并輸入要匹配的域名2xxxtest.fun。
那么轉發動作是
選擇轉發動作類型及轉發目標。
本文選擇轉發至,并選擇步驟四:配置終端節點組和終端節點已創建的虛擬終端節點組。
步驟七:配置CNAME解析
您需要將要加速的域名1xxxtest.cloud
和域名2xxxtest.fun
通過DNS解析到全球加速的CNAME地址,訪問請求才能轉發到全球加速,實現加速效果。
- 登錄阿里云云解析DNS控制臺。
如果您是非阿里云注冊的域名,請將域名添加到云解析控制臺。
說明對于非阿里云注冊域名,需先將域名添加到云解析控制臺,才可以進行域名解析設置。具體操作,請參見添加域名。如果您的域名是在阿里云注冊的,請跳過該步驟。
在域名解析頁面,找到目標域名1
xxxtest.cloud
,在操作列單擊解析設置。在解析設置頁面,找到已有的A記錄,在操作列單擊修改。
在修改記錄面板,選擇記錄類型為CNAME,并將記錄值修改為全球加速實例分配的CNAME地址,然后單擊確認。
您可以在實例列表頁面查看全球加速實例分配的CNAME地址。
為域名2
xxxtest.fun
修改已有A記錄為CNAME記錄。
如果您需要根據客戶端所屬地域智能返回解析結果,需確保云解析DNS已升級至企業標準版或企業旗艦版。如何升級,請參見續費。
完成升級后,您可以修改已有A記錄的默認解析線路為具體的地域解析線路,并添加CNAME記錄指向全球加速實例分配的CNAME地址。
步驟八:訪問測試
測試客戶端是否可以通過不同域名訪問部署在美國硅谷的Web服務,并實現訪問加速。
本文以阿里云Alibaba Cloud Linux 3操作系統為例進行測試。不同類型的操作系統測試命令可能會有差異,具體測試命令請參見您操作系統的操作指南。
使用全球加速服務后的加速效果以您的實際業務測試為準。
測試網站連通性
在接入地域(本文為中國香港)的電腦中打開命令行窗口。
對域名1
xxxtest.cloud
和域名2xxxtest.fun
分別執行以下命令,驗證CNAME配置是否生效。ping <網站域名>
當返回的解析結果與全球加速的CNAME值一致,則表示CNAME配置已經生效。
對域名1
xxxtest.cloud
和域名2xxxtest.fun
分別執行以下命令,測試網站是否連通及證書是否獲取正常。curl -v https://<網站域名> --resolve <網站域名>:<監聽端口>:<加速IP>
此處以域名1
xxxtest.cloud
測試結果為例。當返回結果包含對應的證書信息及響應信息,則表示網站服務正常。
測試加速效果
如需測試加速效果,請參見使用網絡撥測工具測試加速效果。