本文介紹如何通過配置流量規則來控制流量到后端的加密類型和負載均衡方式,從而控制網關到后端的流量。
管理后端服務證書加密配置
如果您希望訪問后端服務使用TLS加密的方式,可以開啟證書加密配置。
登錄MSE網關管理控制臺,并在頂部菜單欄選擇地域。
在左側導航欄,選擇云原生網關 > 網關列表,單擊目標網關名稱。
在左側導航欄,選擇路由管理,然后選擇服務頁簽。
單擊需要加密的服務操作列下的
> 策略配置。在流量管理區域,單擊證書加密配置右側的編輯。參數
說明
TLS模式
默認為關閉。
關閉:即不通過HTTPS與后端服務進行連接。
單向 TLS:使用TLS與后端服務連接。
雙向 TLS(mTLS):會攜帶指定的客戶端證書與服務端進行連接,服務端如果開啟雙向TLS會對Client證書進行校驗。
證書ID
僅當TLS模式使用雙向 TLS(mTLS)時,需使用客戶端證書ID。
CA證書公鑰
僅當TLS模式使用雙向 TLS(mTLS)時,需驗證服務端證書時使用的CA證書公鑰。
服務名稱標識
當TLS模式使用單向 TLS或雙向 TLS(mTLS)時,可選參數。配置詳情,請參見TLS協議拓展字段。
配置完畢后,單擊確定。
管理后端服務的負載均衡策略
登錄MSE網關管理控制臺,并在頂部菜單欄選擇地域。
在左側導航欄,選擇云原生網關 > 網關列表,單擊目標網關名稱。
在左側導航欄,選擇路由管理,然后選擇服務頁簽。
單擊需要負載均衡的服務操作列下的
> 策略配置。在流量管理區域,單擊負載均衡配置右側的編輯。參數
說明
負載均衡類型
支持輪詢、最小請求數、隨機、一致性hash類型。
說明最小請求數均衡是根據后端服務當前處理中的請求數情況,轉發給處理中請求數最少的實例。
兼容其他網關對于HTTP1的最小連接數均衡,因為HTTP/1連接上只存在1個請求;而HTTP/2場景(如gRPC)下基于最小連接數沒法正確負載均衡。
一致性hash方式
僅當使用一致性hash時使用。支持源地址哈希、Header哈希、Cookie哈希和請求參數哈希。
基于源IP:根據源地址中的內容獲取哈希,將流量按照請求源IP地址的哈希值進行調度。
基于請求參數:將以HTTP請求中的Query參數計算哈希,哈希相同的請求將會轉發至同一個實例進行處理。
請求參數:您需要輸入Query參數。
基于Header:將以HTTP請求中的Header參數計算哈希,哈希相同的請求將會轉發至同一個實例進行處理。
請求頭:您需要輸入Header中對應的參數的Key的值。
基于Cookie:將以HTTP請求中的所有Cookie計算哈希,哈希相同的請求將會轉發至同一個實例進行處理。
Cookie 名稱:輸入Cookie名稱,支持大小寫字母、數字、下劃線(_)和短劃線(-),不超過64個字符。
Cookie 生命周期:輸入Cookie過期時間。
Cookie 使用路徑:輸入Cookie路徑。
預熱時間
當負載均衡類型為輪詢、最小請求數時需要配置。單位為秒,在預熱時間內,新注冊的后端服務節點流量會線性增加。
配置完畢后,單擊確定。
負載均衡規則配置完成并開啟后,您可根據實際業務驗證負載均衡規則是否生效。