您可以在负载均衡实例上添加一个 TCP SSL 监听器转发来自客户端加密的 TCP 协议请求。TCP SSL 协议适用于需要超高性能、大规模 TLS 卸载的场景。TCP SSL 协议的监听器,后端服务器可直接获取客户端的真实 IP。
说明:
TCP SSL 监听器目前仅支持负载均衡实例类型,不支持传统型负载均衡。
使用 TCP SSL 监听器,访问 CLB 的请求为 HTTPS 协议,CLB 校验证书后通过 HTTP 协议转发到后端。
应用场景
TCP SSL适用于 TCP 协议下对安全性要求非常高的场景:
TCP SSL 监听器支持配置证书,阻止未经授权的访问。
支持统一的证书管理服务,由 CLB 完成解密操作。
支持单向认证和双向认证。
服务端可直接获取客户端 IP。
前提条件
操作步骤
步骤一:配置监听器
1. 登录 负载均衡控制台,在左侧导航栏单击实例管理。
2. 在 CLB 实例列表页面左上角选择地域,在实例列表右侧的操作列中单击配置监听器。
3. 在 TCP/UDP/TCP SSL/QUIC 监听器下,单击新建,在弹出的创建监听器对话框中配置 TCP SSL 监听器。
3.1 基本配置
监听器基本配置 | 说明 | 示例 |
名称 | 监听器的名称。 | test-tcpssl-9000 |
监听协议端口 | 监听协议:本示例选择 TCP SSL。 监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535。 同一个负载均衡实例内,监听端口不可重复。 | TCP SSL:9000 |
SSL 解析方式 | 支持单向认证和双向认证。 | 单向认证 |
服务器证书 | 选择已有证书 | |
均衡方式 | TCP SSL 监听器中,负载均衡支持加权轮询(WRR)和加权最小连接数(WLC)两种调度算法 加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值越高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。 加权最小连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。 | 加权轮询 |
3.2 健康检查
3.3 会话保持(暂不支持)
TCP SSL 监听器暂不支持会话保持。
步骤二:绑定后端服务器
1. 在监听器管理页面,单击刚才创建的监听器,如上述
TCP SSL:9000
监听器,即可在监听器右侧查看已绑定的后端服务。2. 单击绑定,在弹出框中选择需绑定的后端服务器,并配置服务端口和权重。
说明:
默认端口功能:先填写“默认端口”,再选择后端服务器后,每台后端服务器的端口均为默认端口。
步骤三:安全组(可选)
步骤四:修改/删除监听器(可选)
如果您需要修改或删除已创建的监听器,请在“监听器管理”页面,单击已创建完毕的监听器,单击
图标修改或
图标删除。