添加TCPSSL監(jiān)聽(tīng)
在需要超高性能和大規(guī)模TLS卸載的場(chǎng)景中,如果您需要轉(zhuǎn)發(fā)來(lái)自客戶端加密的TCP協(xié)議請(qǐng)求,您可以在NLB實(shí)例上添加一個(gè)TCPSSL監(jiān)聽(tīng)。
前提條件
您已經(jīng)創(chuàng)建NLB實(shí)例。具體操作,請(qǐng)參見(jiàn)創(chuàng)建和管理NLB實(shí)例。
您已經(jīng)創(chuàng)建可用的后端服務(wù)器組。具體操作,請(qǐng)參見(jiàn)創(chuàng)建和管理服務(wù)器組。
操作指引
本文為您提供以下兩種方式創(chuàng)建TCPSSL監(jiān)聽(tīng),您可以根據(jù)需求選擇其中一種方式創(chuàng)建TCPSSL監(jiān)聽(tīng)。
創(chuàng)建TCPSSL監(jiān)聽(tīng):您可以根據(jù)業(yè)務(wù)定制全端口、高級(jí)配置等功能。
快速創(chuàng)建TCPSSL監(jiān)聽(tīng):您可以快速創(chuàng)建監(jiān)聽(tīng),只需配置監(jiān)聽(tīng)協(xié)議、監(jiān)聽(tīng)端口、服務(wù)器證書、TLS安全策略和轉(zhuǎn)發(fā)的后端服務(wù)器組。
創(chuàng)建TCPSSL監(jiān)聽(tīng)
步驟一:配置監(jiān)聽(tīng)
- 登錄網(wǎng)絡(luò)型負(fù)載均衡NLB控制臺(tái)。
在頂部菜單欄,選擇NLB實(shí)例所屬的地域。
在實(shí)例頁(yè)面,找到目標(biāo)實(shí)例,選擇以下一種方法,打開(kāi)監(jiān)聽(tīng)配置向?qū)А?
在操作列單擊創(chuàng)建監(jiān)聽(tīng)。
單擊實(shí)例ID,然后單擊監(jiān)聽(tīng)頁(yè)簽,在監(jiān)聽(tīng)頁(yè)簽,單擊監(jiān)聽(tīng)列表上方的創(chuàng)建監(jiān)聽(tīng)。
單擊實(shí)例ID,在實(shí)例詳情頁(yè)單擊配置向?qū)е械?b data-tag="uicontrol" id="uicontrol-veb-5ov-1kp" class="uicontrol">創(chuàng)建監(jiān)聽(tīng)。
單擊實(shí)例ID,在實(shí)例詳情頁(yè)的右上角單擊創(chuàng)建監(jiān)聽(tīng)。
在配置監(jiān)聽(tīng)配置向?qū)ы?yè)面,完成以下配置,然后單擊下一步。
監(jiān)聽(tīng)配置
說(shuō)明
選擇監(jiān)聽(tīng)協(xié)議
選擇一種監(jiān)聽(tīng)協(xié)議。本文選擇TCPSSL。
全端口功能
選擇是否開(kāi)啟全端口功能。開(kāi)啟全端口功能后,NLB可以對(duì)監(jiān)聽(tīng)端口段的所有端口進(jìn)行監(jiān)聽(tīng),并將監(jiān)聽(tīng)端口上接收到的請(qǐng)求直接轉(zhuǎn)發(fā)至后端服務(wù)器的對(duì)應(yīng)端口。
說(shuō)明添加至全端口監(jiān)聽(tīng)的服務(wù)器組需開(kāi)啟全端口轉(zhuǎn)發(fā)功能。
監(jiān)聽(tīng)端口段
全端口功能開(kāi)啟時(shí),需輸入監(jiān)聽(tīng)端口段的起始端口和結(jié)束端口。
重要監(jiān)聽(tīng)創(chuàng)建成功后,監(jiān)聽(tīng)端口段的范圍不支持修改。
監(jiān)聽(tīng)端口
輸入用來(lái)接收請(qǐng)求并向后端服務(wù)器進(jìn)行請(qǐng)求轉(zhuǎn)發(fā)的監(jiān)聽(tīng)端口。
您可以直接單擊常用監(jiān)聽(tīng)端口快捷填寫,或者輸入端口。監(jiān)聽(tīng)端口范圍:1~65535。
當(dāng)全端口功能開(kāi)啟時(shí),無(wú)需配置該參數(shù)。
監(jiān)聽(tīng)名稱
自定義監(jiān)聽(tīng)的名稱。
標(biāo)簽
設(shè)置標(biāo)簽鍵和標(biāo)簽值。
設(shè)置標(biāo)簽后,您可以在監(jiān)聽(tīng)頁(yè)簽使用標(biāo)簽篩選監(jiān)聽(tīng)。
高級(jí)配置
單擊修改展開(kāi)高級(jí)配置。
連接空閑超時(shí)時(shí)間
指定TCPSSL連接的超時(shí)時(shí)間,在超時(shí)時(shí)間內(nèi)一直沒(méi)有訪問(wèn)請(qǐng)求,NLB會(huì)暫時(shí)中斷當(dāng)前連接,直到下一次請(qǐng)求來(lái)臨時(shí)重新建立新的連接。
新建連接限速
選擇是否開(kāi)啟新建連接限速功能。
每秒新建連接數(shù)上限
開(kāi)啟新建連接限速后,設(shè)置該監(jiān)聽(tīng)在每個(gè)可用區(qū)(VIP)處理的每秒新建連接數(shù)上限。
重要該限速值僅作用于當(dāng)前監(jiān)聽(tīng),訪問(wèn)其他監(jiān)聽(tīng)不會(huì)受該限速影響。其他監(jiān)聽(tīng)的限速值以各自配置為準(zhǔn)。
開(kāi)啟ProxyProtocol
選擇是否開(kāi)啟ProxyProtocol。開(kāi)啟后表示支持通過(guò)ProxyProtocol協(xié)議攜帶客戶端源地址到后端服務(wù)器。
更多信息,請(qǐng)參見(jiàn)通過(guò)NLB獲取客戶端真實(shí)IP。
開(kāi)啟Alpn策略
選擇是否開(kāi)啟ALPN策略。ALPN策略允許客戶端和服務(wù)端更好地控制他們之間的通信協(xié)議,從而提高通信的性能和安全性。例如優(yōu)先使用HTTP2.0可以減少延遲和帶寬。
定義:應(yīng)用層協(xié)議協(xié)商ALPN(Application-Layer Protocol Negotiation)是一個(gè)傳輸層安全協(xié)議(TLS)的擴(kuò)展字段,它允許客戶端和服務(wù)端在TLS握手期間協(xié)商應(yīng)用層協(xié)議,這使得客戶端和服務(wù)端能夠選擇最合適的協(xié)議來(lái)通信,例如HTTP1.0、HTTP1.1、HTTP2.0等。
說(shuō)明:ALPN是在TLS握手的擴(kuò)展字段中定義的,當(dāng)NLB使用TCPSSL監(jiān)聽(tīng)并開(kāi)啟ALPN策略時(shí),TLS握手將會(huì)在客戶端和NLB之間進(jìn)行。客戶端會(huì)向NLB發(fā)送一份支持的協(xié)議列表,NLB會(huì)在這些協(xié)議中選擇一個(gè)來(lái)使用,并在握手結(jié)束后通知客戶端選擇的協(xié)議。
Alpn策略
開(kāi)啟ALPN策略后,選擇一個(gè)ALPN策略。
HTTP1Only:只協(xié)商使用HTTP1.x協(xié)議,優(yōu)先級(jí)為HTTP1.1>HTTP1.0。
HTTP2Only:只協(xié)商使用HTTP2.0協(xié)議。
HTTP2Optional:優(yōu)先使用HTTP1.x協(xié)議,但也接受HTTP2.0協(xié)議,優(yōu)先級(jí)為HTTP1.1>HTTP1.0>HTTP2.0。
HTTP2Preferred:優(yōu)先使用HTTP2.0協(xié)議,但也接受HTTP1.x協(xié)議,優(yōu)先級(jí)為HTTP2.0>HTTP1.1>HTTP1.0。
步驟二:配置SSL證書
添加TCPSSL監(jiān)聽(tīng),您需要配置SSL證書以確保您的業(yè)務(wù)受到加密保護(hù)并得到權(quán)威機(jī)構(gòu)的身份認(rèn)證,如下表所示。
證書 | 說(shuō)明 | 單向認(rèn)證是否需要 | 雙向認(rèn)證是否需要 |
服務(wù)器證書 | 用來(lái)證明服務(wù)器的身份。 您的瀏覽器用來(lái)檢查服務(wù)器發(fā)送的證書是否是由自己信賴的中心簽發(fā)的。更多信息,請(qǐng)參見(jiàn)什么是SSL證書。 | 是 您可在證書中心購(gòu)買或上傳服務(wù)器證書,NLB從證書中心獲取該證書并使用。 | 是 您可在證書中心購(gòu)買或上傳服務(wù)器證書,NLB從證書中心獲取該證書并使用。 |
CA證書 | 服務(wù)器用CA證書驗(yàn)證客戶端證書的簽名。如果沒(méi)有通過(guò)驗(yàn)證,拒絕連接。 說(shuō)明 客戶端用戶在與服務(wù)器端通信時(shí),客戶端證書用來(lái)證明客戶端用戶的真實(shí)身份。客戶端證書僅需要在客戶端安裝。 | 否 | 是 您可在證書中心購(gòu)買或上傳CA證書,NLB從證書中心獲取該證書并使用。 |
如果您有多域名訪問(wèn)或掛載多個(gè)服務(wù)器證書的需求,配置完TCPSSL監(jiān)聽(tīng)后,您可以選擇為該TCPSSL監(jiān)聽(tīng)添加擴(kuò)展證書。具體操作,請(qǐng)參見(jiàn)添加擴(kuò)展證書。
在配置SSL證書配置向?qū)ы?yè)面,在選擇服務(wù)器證書下拉框中選擇一個(gè)服務(wù)器證書。
如果沒(méi)有可選的服務(wù)器證書,您可以在下拉框中單擊創(chuàng)建SSL證書進(jìn)入證書中心,在證書中心購(gòu)買或上傳服務(wù)器證書。更多信息,請(qǐng)參見(jiàn)購(gòu)買SSL證書和上傳SSL證書。
可選:開(kāi)啟高級(jí)配置中的啟用雙向認(rèn)證。
選擇CA證書來(lái)源為阿里云簽發(fā),在選擇默認(rèn)CA證書下拉框中選擇一個(gè)CA證書。
如果沒(méi)有可選的CA證書,您可以在下拉框中單擊購(gòu)買CA證書創(chuàng)建新證書。更多信息,請(qǐng)參見(jiàn)購(gòu)買及啟用私有CA。
選擇CA證書來(lái)源為非阿里云簽發(fā),在選擇默認(rèn)CA證書下拉框中選擇一個(gè)CA證書。
如果沒(méi)有可選的自簽名CA證書,您可以在下拉框中單擊上傳自簽CA證書,在證書應(yīng)用倉(cāng)庫(kù)頁(yè)面,創(chuàng)建數(shù)據(jù)來(lái)源為上傳CA證書的倉(cāng)庫(kù),然后通過(guò)證書應(yīng)用倉(cāng)庫(kù)上傳自簽名根CA或自簽名子根CA證書,。更多信息,請(qǐng)參見(jiàn)創(chuàng)建并管理證書應(yīng)用倉(cāng)庫(kù)。
說(shuō)明開(kāi)啟雙向認(rèn)證后,如果您后續(xù)需要關(guān)閉雙向認(rèn)證,請(qǐng)參考以下步驟。
在實(shí)例頁(yè)面,單擊目標(biāo)實(shí)例ID。
在監(jiān)聽(tīng)頁(yè)簽,單擊目標(biāo)TCPSSL協(xié)議監(jiān)聽(tīng)I(yíng)D。
在監(jiān)聽(tīng)詳情頁(yè)簽,在SSL證書區(qū)域關(guān)閉雙向認(rèn)證開(kāi)關(guān)。
選擇TLS安全策略,單擊下一步。
如果沒(méi)有可選的TLS安全策略,您可以在下拉框中單擊創(chuàng)建TLS安全策略。更多信息,請(qǐng)參見(jiàn)TLS安全策略。
步驟三:選擇服務(wù)器組
在選擇服務(wù)器組配置向?qū)ы?yè)面,選擇后端服務(wù)器組,并查看后端服務(wù)器信息,然后單擊下一步。
TCPSSL監(jiān)聽(tīng)不能選擇已開(kāi)啟客戶端地址保持功能的服務(wù)器組。
步驟四:配置審核
在配置審核配置向?qū)ы?yè)面,確認(rèn)配置信息,單擊提交。
快速創(chuàng)建TCPSSL監(jiān)聽(tīng)
選擇快速創(chuàng)建監(jiān)聽(tīng),您只需配置監(jiān)聽(tīng)協(xié)議、監(jiān)聽(tīng)端口、服務(wù)器證書、TLS安全策略和轉(zhuǎn)發(fā)的后端服務(wù)器組。
- 登錄網(wǎng)絡(luò)型負(fù)載均衡NLB控制臺(tái)。
在頂部菜單欄,選擇NLB實(shí)例所屬的地域。
在左側(cè)導(dǎo)航欄,選擇。
在實(shí)例頁(yè)面,找到目標(biāo)實(shí)例,單擊實(shí)例ID。
單擊監(jiān)聽(tīng)頁(yè)簽,在監(jiān)聽(tīng)頁(yè)簽單擊快速創(chuàng)建監(jiān)聽(tīng)。
在快速創(chuàng)建監(jiān)聽(tīng)對(duì)話框中,完成以下參數(shù)的配置,然后單擊確定。
監(jiān)聽(tīng)配置
說(shuō)明
選擇監(jiān)聽(tīng)協(xié)議
選擇一種監(jiān)聽(tīng)協(xié)議。本文選擇TCPSSL。
監(jiān)聽(tīng)端口
設(shè)置前端協(xié)議端口,即用來(lái)接收請(qǐng)求并向后端服務(wù)器進(jìn)行請(qǐng)求轉(zhuǎn)發(fā)的監(jiān)聽(tīng)端口。
您可以直接單擊常用監(jiān)聽(tīng)端口快捷填寫,或者輸入端口。監(jiān)聽(tīng)端口范圍:1~65535。
選擇服務(wù)器證書
在下拉框中選擇一個(gè)服務(wù)器證書。
如果沒(méi)有可選的服務(wù)器證書,您可以在下拉框中單擊創(chuàng)建證書創(chuàng)建新證書。更多信息,請(qǐng)參見(jiàn)購(gòu)買SSL證書。
TLS安全策略
在下拉框中選擇一個(gè)TLS安全策略。
如果沒(méi)有可選的TLS安全策略,您可以在下拉框中單擊創(chuàng)建TLS安全策略。更多信息,請(qǐng)參見(jiàn)TLS安全策略。
轉(zhuǎn)發(fā)的后端服務(wù)器組
選擇后端服務(wù)器組。
相關(guān)文檔
教程類:
如果您需要在流量入口部署NLB并配置SSL證書,實(shí)現(xiàn)TCPSSL卸載(單向認(rèn)證),請(qǐng)參見(jiàn)通過(guò)NLB實(shí)現(xiàn)TCPSSL卸載(單向認(rèn)證)。
如果您需要在流量入口部署NLB并配置SSL證書和CA證書,實(shí)現(xiàn)TCPSSL卸載(雙向認(rèn)證),請(qǐng)參見(jiàn)通過(guò)NLB實(shí)現(xiàn)TCPSSL卸載(雙向認(rèn)證)。
API類:
CreateListener:為網(wǎng)絡(luò)型負(fù)載均衡實(shí)例創(chuàng)建TCP、UDP或TCPSSL監(jiān)聽(tīng)。
DeleteListener:刪除網(wǎng)絡(luò)型負(fù)載均衡監(jiān)聽(tīng)。
ListListeners:查詢網(wǎng)絡(luò)型負(fù)載均衡監(jiān)聽(tīng)列表。
UpdateListenerAttribute:更新網(wǎng)絡(luò)型負(fù)載均衡監(jiān)聽(tīng)的配置。
StartListener:?jiǎn)?dòng)網(wǎng)絡(luò)型負(fù)載均衡監(jiān)聽(tīng)。
StopListener:停止網(wǎng)絡(luò)型負(fù)載均衡實(shí)例的監(jiān)聽(tīng)。
GetListenerAttribute:查詢網(wǎng)絡(luò)型負(fù)載均衡實(shí)例的監(jiān)聽(tīng)詳情。
GetListenerHealthStatus:查詢網(wǎng)絡(luò)型負(fù)載均衡實(shí)例監(jiān)聽(tīng)的健康檢查狀態(tài)。