本文介紹如何使用ALB配置全鏈路HTTPS加密通信。
應用場景
隨著企業的業務大量上云,云上承載業務的安全性變得越來越重要,尤其在金融、政府等行業,為了保障業務的安全性,往往會存在全鏈路加密的要求。這就要求負載均衡在提供服務的時候,不僅要保障前端(客戶端到負載均衡)通信的安全,還要保障后端(負載均衡到業務服務器)通信的安全。
ALB提供全鏈路HTTPS加密功能,可以實現客戶端到ALB、ALB到后端服務器之間的全鏈路加密通信,提升敏感業務的安全性。
配置全鏈路HTTPS訪問
- 登錄應用型負載均衡ALB控制臺。
在頂部菜單欄,選擇ALB實例的所屬地域。
在左側導航欄,選擇。
在服務器組頁面,單擊創建服務器組,部分參數可參考下表配置,其他參數請保持默認,完成后單擊創建。
配置
說明
服務器組類型
選擇服務器組類型。本文選擇服務器類型。
服務器組名稱
輸入服務器組名稱。
請選擇VPC的資源組
選擇VPC歸屬的資源組。
VPC
從VPC下拉列表中選擇一個VPC。本文選擇ALB實例所在的VPC。
選擇后端協議
選擇一種后端協議。本文選擇HTTPS。
選擇調度算法
選擇一種調度算法。本文使用默認值加權輪詢。
選擇資源組
選擇歸屬的資源組。
開啟IPv6掛載
VPC開啟IPv6功能后可選擇是否開啟IPv6掛載功能,默認關閉。不開啟時,服務器組僅支持掛載IPv4類型的后端服務器;開啟IPv6掛載功能后,服務器組支持掛載IPv4、IPv6類型的后端服務器。
開啟會話保持
選擇是否開啟會話保持功能,默認關閉。不開啟時,ALB會將每個客戶端請求分別分發到不同的后端服務器;開啟會話保持功能后,ALB會把來自同一客戶端的訪問請求分發到同一臺后端服務器。本文保持默認設置,即關閉會話保持。
開啟后端長連接
選擇是否開啟后端長連接,默認開啟。開啟后端長連接,ALB到后端服務器之間會維持一定數量的TCP長連接,當新請求到達時,如果有空閑的TCP長連接,ALB優先使用TCP長連接轉發請求到后端服務器,從而減少TCP握手建連次數,減輕后端服務器壓力。
開啟健康檢查
開啟或關閉健康檢查。本文保持默認設置,即開啟健康檢查。
健康檢查配置
本文使用默認配置。更多信息,請參見創建和管理服務器組。
在服務器組頁面,找到目標服務器組,然后在操作列單擊編輯后端服務器。
在后端服務器頁簽,單擊添加后端服務器。
在添加后端服務器面板,選擇后端服務器類型,選中目標服務器,然后單擊下一步。
設置服務器的端口為443,權重保持默認值,然后單擊確定。
創建HTTPS監聽,具體操作,請參見添加HTTPS監聽。
說明在選擇服務器組配置向導中,您需要選擇剛創建的后端服務器組。