添加TLS监听器
操作场景
TLS协议适用于需要超高性能和大规模TLS卸载的场景。您可以添加一个TLS监听器转发来自客户端加密的TCP协议请求。
该功能陆续上线中,已发布区域请以控制台实际为准。
约束与限制
- 仅支持TLS新建连接数的网络型(TCP/UDP/TLS)负载均衡实例可以创建TLS监听器。
- TLS监听器仅支持添加后端协议为TCP或TLS的后端服务器组。
添加TLS监听器
- 进入弹性负载均衡列表页面。
- 在弹性负载均衡列表页面,单击需要添加监听器的负载均衡名称。
- 切换到“监听器”页签,单击“添加监听器”配置监听器参数参见表1。
表1 独享型负载均衡配置TLS监听器参数说明 参数
说明
名称
监听器名称。
前端协议
客户端与负载均衡监听器建立流量分发连接的协议。
协议选择TLS。
全端口监听
仅独享型负载均衡的TCP/UDP/TLS监听器支持此开关,开启后不支持关闭。
开启此开关,监听器可以对前端端口段内的所有端口进行监听,并将前端端口上接收到的请求转发到后端服务器的后端端口。
说明:全端口监听开启时,需输入前端端口的起始端口和结束端口。
前端端口
客户端与负载均衡监听器建立流量分发连接的端口。
取值范围为:[1-65535]。
说明:全端口监听开启时,需输入前端端口的起始端口和结束端口。
SSL解析方式
确保服务安全,请选择客户端到服务器端认证方式。
可选择“单向认证”或“双向认证”。
- 如仅进行服务器端认证,请选择单向认证。
- 双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。
服务器证书
协议类型为TLS时,需绑定服务器证书。
服务器证书用于SSL握手协商,需提供证书内容和私钥。
CA证书
协议类型为TLS时,且SSL解析方式为“双向认证”时,需绑定CA证书。
CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。
开启SNI
TLS协议的负载均衡可以选择是否开启SNI。
SNI是为了解决一个服务器使用多个域名和证书的TLS扩展。
开启SNI后,允许客户端在发起SSL握手请求时就提交请求的域名信息,ELB收到SSL请求后,会根据域名去查找证书,如果找到域名对应的证书,则返回该证书;如果没有找到域名对应的证书,则返回缺省证书。详见开启SNI证书实现多域名访问。
SNI证书
HTTPS协议的负载均衡设置开启SNI后需要选择域名对应的证书。
可选择已创建或者创建新的SNI证书。
访问控制
支持通过白名单和黑名单进行访问控制,更多信息请参见访问控制策略。
- 允许所有IP访问
- 黑名单
- 白名单
IP地址组
设置白名单或者黑名单时,必须选择一个IP地址组。如果还未创建IP地址组,需要先创建IP地址组,更多关于IP地址组的信息请参见访问控制IP地址组。
获取客户端IP
TLS监听器下,获取客户端IP功能失效,可通过开启ProxyProtocol功能获取客户端真实IP。
ProxyProtocol
支持通过ProxyProtocol协议携带客户端真实IP到后端服务器。
说明:请确保后端服务器具有解析ProxyProtocol协议的能力,否则会导致业务中断,请谨慎开启。
高级配置
安全策略
支持选择可用的安全策略,更多信息请参见安全策略。
空闲超时时间(秒)
如果在超时时间内一直没有访问请求,负载均衡会中断当前连接,直到下一次请求到来时再重新建立新的连接。
时间取值范围[0-4000]。
每秒新建连接限速(每可用区)
当前监听器下,负载均衡实例在每个可用区支持的每秒新建连接数上限。
取值范围:0~1000000,0表示不限速。当限速值大于弹性负载均衡的实例规格时,以实例规格为上限。
说明:该功能陆续上线中,已发布区域请以控制台实际为准。
每秒并发连接限速(每可用区)
当前监听器下,负载均衡实例在每个可用区支持的每秒并发连接数上限。
取值范围:0~1000000,0表示不限速。当限速值大于弹性负载均衡的实例规格时,以实例规格为上限。
降低并发连接限速,已建立连接不受影响。
说明:该功能陆续上线中,已发布区域请以控制台实际为准。
标签
可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的,其中“键”值是唯一的。
描述
对于监听器描述。
字数范围:0/255。
- 单击“下一步:配置后端分配策略”,配置监听器的默认后端服务器组。
- 单击“下一步:确认配置”。
- 确认配置无误后,单击“提交”。
