添加HTTPS监听器
操作场景
HTTPS协议适用于需要加密传输的应用。您可以添加一个HTTPS监听转发来自HTTPS协议的请求。ELB对于用户的HTTPS的请求进行解密,然后发送至后端服务器;后端服务器处理完请求后的返回包首先发送至ELB,由ELB进行加密后,再传回用户侧。
添加HTTPS监听器时,要求后端子网预留足够的IP地址,可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。添加子网后,请取消对应子网的ACL配置,否则可能导致负载均衡访问异常。
约束与限制
- 独享型负载均衡前端协议为“HTTPS”时,后端协议可以选择“HTTP”或“HTTPS”。
- 如果您的独享型负载均衡实例类型为网络型,则无法创建HTTPS监听器。
添加HTTPS监听器
- 进入弹性负载均衡列表页面。
- 在弹性负载均衡列表页面,单击需要添加监听器的负载均衡名称。
- 切换到“监听器”页签,单击“添加监听器”,配置监听器。配置监听器参数参见表1。
表1 独享型负载均衡配置HTTPS监听器参数说明 参数
说明
前端协议
客户端与负载均衡监听器建立流量分发连接的协议。
协议选择HTTPS。
监听端口
客户端与负载均衡监听器建立流量分发连接的端口。
取值范围为:[1-65535]。
名称(可选)
监听器名称。
升级至QUIC
当您创建HTTPS监听器时,可以选择“升级至QUIC”,HTTPS可以协商升级到QUIC以降低时延和提升通信性能,尤其在弱网环境和高延迟的业务场景。
获取客户端IP
独享型ELB默认支持“获取客户端IP”。
HTTPS监听器转发时,支持通过X-Forwarded-For字段传递客户端的真实IP,X-Forwarded-For字段记录的第一个IP地址即为客户端真实IP。
更多详情请参考独享型ELB获取客户端真实IP。
高级转发策略
高级转发策略支持多样化的转发规则和转发动作,便于灵活地分流业务,合理地分配资源。
更多信息请参见高级转发策略概述。
访问控制
您可以使用ELB监听器的访问控制功能来控制访问ELB监听器的IP地址,更多信息请参见访问控制策略。
监听器的访问控制默认支持“允许所有IP访问”。
您可以为监听器的访问控制设置白名单或黑名单,并选择适用的IP地址组。- 白名单:只有白名单中的IP可以访问ELB的监听器。监听器仅转发来自所选访问控制IP地址组中设置的IP地址或网段的请求。
- 黑名单:黑名单中的IP禁止访问ELB的监听器。监听器不会转发来自所选访问控制策略组中设置的IP地址或网段的请求。
证书配置
SSL解析方式
请选择客户端到服务器端认证方式。
- 单向认证:仅客户端对服务器端的身份进行认证。
- 双向认证:客户端对服务器端的身份进行认证,服务器端也需要对客户端的身份进行认证。
CA证书
协议类型为HTTPS时,且SSL解析方式为“双向认证”时,需绑定CA证书。
CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者。在进行双向认证时,只有当客户端能够出具指定CA签发的证书,HTTPS连接才能成功。
服务器证书
协议类型为HTTPS时,需绑定服务器证书。
服务器证书用于SSL握手协商,需提供证书内容和私钥。
SNI
SNI(Server Name Indication 服务器名称指示)是一种TLS协议的扩展,用于解决在一个监听器托管多个域名时,需要根据不同的请求域名匹配证书进行认证的问题。
客户端在发起SSL握手请求时提交请求的域名信息,ELB在收到请求后,会根据请求的域名查找证书。
如果能够找到请求域名对应的SNI证书,则使用该证书进行认证。
如果没有找到请求域名对应的SNI证书,则使用服务器证书进行认证。
详情请参见开启SNI证书实现多域名访问。
SNI证书
开启SNI之后,您需要为监听器配置至少一个SNI证书。
只能选择指定了SNI扩展域名的服务器证书。
详情请参见开启SNI证书实现多域名访问。
更多配置(可选)
安全策略
支持选择可用的安全策略,更多信息请参见安全策略。
0-RTT
0-RTT数据传输,有助于减少请求响应时间。
仅当安全策略支持TLS 1.3版本的协议,支持开启0-RTT数据传输。
开启有重放攻击的安全风险,请谨慎开启。
说明:该功能陆续上线中,已发布区域请以控制台实际为准。
HTTP/2
协议类型为HTTPS时,可选择是否支持HTTP/2。
更多详情请参见开启HTTP/2提升通信效率。
数据压缩
开启将对特定文件类型进行压缩;关闭则不会对任何文件类型进行压缩。
Brotli和Gzip支持压缩的类型:text/html text/xml text/plain text/css application/javascript application/x-javascript application/rss+xml application/atom+xml application/xml application/json。
说明:该功能陆续上线中,已发布区域请以控制台实际为准。
后端建连失败重调度
开启此开关,当ELB与后端服务器因连接错误或请求超时导致建连失败时,ELB会向后端服务器组内的其他后端服务器发起重试。
最多重试4次,若均失败,则返回502或504错误码。
- 连接错误:ELB在连接后端服务器时发生错误 ,如无法连接、拒绝连接等,返回502错误码。
- 请求超时:后端服务器没有响应,返回504错误码。
- 连接超时:ELB尝试与后端服务器建立连接,但在超时时间内没有成功。
- 等待响应超时:ELB已发送请求到后端服务器,但在超时时间内没有及时收到响应。
注意:对于非幂等性请求方法的请求,例如POST、PATCH和DELETE,如果ELB已经将请求转发到后端服务器之后发生了错误,则不会重试。
说明:该功能陆续上线中,已发布区域请以控制台实际为准。
空闲超时时间(秒)
如果在空闲超时时间内一直没有访问请求,负载均衡会中断当前连接,直到下一次请求到来时再重新建立新的连接。
时间取值范围[0-4000]。
请求超时时间(秒)
客户端向负载均衡发起请求,如果在请求超时时间内客户端没有完成整个请求的传输,负载均衡将放弃等待关闭连接。
时间取值范围[1-300]。
响应超时时间(秒)
负载均衡向后端服务器发起请求,如果响应超时时间内接收请求的后端服务器无响应,负载均衡会向其他后端服务器重试请求。如果重试期间后端服务器一直没有响应,则负载均衡会给客户端返回HTTP 504错误码。
如果开启了会话保持功能,响应超时时间内对应的后端服务器无响应,负载均衡将不会发起重试请求,直接返回HTTP 504错误码。
时间取值范围[1-300]。
每秒新建连接限速(每可用区)
默认不限速,支持选择“限速”并输入限速值。
限速值代表当前监听器下,负载均衡实例在每个可用区支持的每秒新建连接数上限。
取值范围:1~1,000,000。当限速值大于弹性负载均衡的实例规格时,以实例规格为上限。
说明:该功能陆续上线中,已发布区域请以控制台实际为准。
每秒并发连接限速(每可用区)
默认不限速,支持选择“限速”并输入限速值。
限速值代表当前监听器下,负载均衡实例在每个可用区支持的每秒并发连接数上限。
取值范围:1~1,000,000。当限速值大于弹性负载均衡的实例规格时,以实例规格为上限。
降低并发连接限速,已建立连接不受影响。
说明:该功能陆续上线中,已发布区域请以控制台实际为准。
标签
可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的,其中“键”值是唯一的。
说明:该功能陆续上线中,已发布区域请以控制台实际为准。
描述
对于监听器描述。
字数范围:0/255。
附加HTTP头字段
根据您的业务需求,您可以选择添加的HTTP头字段。
- 客户端访问信息:
- 通过重写X-Real-IP字段获取客户端的源IP地址。
- 通过重写X-Forwarded-For-Port字段获取客户端的端口。
- 通过重写X-Forwarded-Host字段获取客户端的域名。
- 负载均衡器信息:
- 通过重写X-Forwarded-Proto字段获取访问负载均衡实例的监听器的协议。
- 通过重写X-Forwarded-ELB-IP字段获取负载均衡实例的公网IP地址。
- 通过重写X-Forwarded-Port字段获取负载均衡实例的监听端口。
- 通过重写X-Forwarded-ELB-ID字段获取访问的负载均衡实例的ID。
更多详情请参考配置附加HTTP头字段。
说明:支持附加HTTP头字段功能陆续上线中,已发布区域请以控制台实际为准。
- 单击“下一步:配置后端分配策略”,配置监听器的默认后端服务器组。
- 单击“下一步:确认配置”。
- 确认配置无误后,单击“提交”。
