配置 TCP SSL 监听器

最近更新时间:2024-10-31 10:32:22

我的收藏
您可以在负载均衡实例上添加一个 TCP SSL 监听器转发来自客户端加密的 TCP 协议请求。TCP SSL 协议适用于需要超高性能、大规模 TLS 卸载的场景。TCP SSL 协议的监听器,后端服务器可直接获取客户端的真实 IP。
说明:
TCP SSL 监听器目前仅支持负载均衡实例类型,不支持传统型负载均衡。
使用 TCP SSL 监听器,访问 CLB 的请求为 HTTPS 协议,CLB 校验证书后通过 HTTP 协议转发到后端。

应用场景

TCP SSL适用于 TCP 协议下对安全性要求非常高的场景:
TCP SSL 监听器支持配置证书,阻止未经授权的访问。
支持统一的证书管理服务,由 CLB 完成解密操作。
支持单向认证和双向认证。
服务端可直接获取客户端 IP。

前提条件

操作步骤

步骤一:配置监听器

1. 登录 负载均衡控制台,在左侧导航栏单击实例管理
2. 在 CLB 实例列表页面左上角选择地域,在实例列表右侧的操作列中单击配置监听器
3. 在 TCP/UDP/TCP SSL/QUIC 监听器下,单击新建,在弹出的创建监听器对话框中配置 TCP SSL 监听器。
3.1 基本配置
监听器基本配置
说明
示例
名称
监听器的名称。
test-tcpssl-9000    
监听协议端口
监听协议:本示例选择 TCP SSL。
监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535。
同一个负载均衡实例内,监听端口不可重复。
TCP SSL:9000
SSL 解析方式
支持单向认证和双向认证。
单向认证
服务器证书
可以选择 SSL 证书平台 中已有的证书,或新建证书。
选择已有证书
均衡方式
TCP SSL 监听器中,负载均衡支持加权轮询(WRR)和加权最小连接数(WLC)两种调度算法
加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值越高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。
加权最小连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
加权轮询
3.2 健康检查
健康检查详情请参见 TCP SSL 健康检查
3.3 会话保持(暂不支持)
TCP SSL 监听器暂不支持会话保持。

步骤二:绑定后端服务器

1. 监听器管理页面,单击刚才创建的监听器,如上述 TCP SSL:9000 监听器,即可在监听器右侧查看已绑定的后端服务。
2. 单击绑定,在弹出框中选择需绑定的后端服务器,并配置服务端口和权重。
说明:
默认端口功能:先填写“默认端口”,再选择后端服务器后,每台后端服务器的端口均为默认端口。

步骤三:安全组(可选)

您可以配置负载均衡的安全组来进行公网流量的隔离,详情请参见 配置负载均衡安全组

步骤四:修改/删除监听器(可选)

如果您需要修改或删除已创建的监听器,请在“监听器管理”页面,单击已创建完毕的监听器,单击

图标修改或

图标删除。