更新时间:2025-08-05 GMT+08:00

添加TLS监听器

操作场景

TLS协议适用于需要超高性能和大规模TLS卸载的场景。您可以添加一个TLS监听器转发来自客户端加密的TCP协议请求。

该功能陆续上线中,已发布区域请以控制台实际为准。

约束与限制

  • 仅支持TLS新建连接数的网络型(TCP/UDP/TLS)负载均衡实例可以创建TLS监听器。
  • TLS监听器仅支持添加后端协议为TCP或TLS的后端服务器组。

添加TLS监听器

  1. 进入弹性负载均衡列表页面
  2. 在弹性负载均衡列表页面,单击需要添加监听器的负载均衡名称。
  3. 切换到“监听器”页签,单击“添加监听器”配置监听器参数参见表1
    表1 独享型负载均衡配置TLS监听器参数说明

    参数

    说明

    前端协议

    客户端与负载均衡监听器建立流量分发连接的协议。

    协议选择TLS。

    监听端口

    负载均衡器对外提供服务时接收请求的端口。

    • 单端口监听:仅对设置的一个监听端口进行监听。
    • 全端口监听:前端协议是TCP、UDP或TLS协议时,支持全端口监听。全端口监听可以对监听端口段内的所有端口进行监听,并将监听端口上接收到的请求转发到后端服务器的后端端口。

    名称(可选)

    监听器名称。

    获取客户端IP

    TLS监听器下,获取客户端IP功能失效,可通过开启ProxyProtocol功能获取客户端真实IP。

    ProxyProtocol

    支持通过ProxyProtocol协议携带客户端真实IP到后端服务器。

    警告:

    请确保后端服务器具有解析ProxyProtocol协议的能力,否则会导致业务中断,请谨慎开启。

    访问控制

    您可以使用ELB监听器的访问控制功能来控制访问ELB监听器的IP地址,更多信息请参见访问控制策略

    监听器的访问控制默认支持“允许所有IP访问”。

    您可以为访问控制设置白名单黑名单,并选择适用的IP地址组。
    • 白名单:只有白名单中的IP可以访问ELB的监听器。监听器仅转发来自所选访问控制IP地址组中设置的IP地址或网段的请求。
    • 黑名单:黑名单中的IP禁止访问ELB的监听器。监听器不会转发来自所选访问控制策略组中设置的IP地址或网段的请求。

    证书配置

    SSL解析方式

    请选择客户端到服务器端认证方式。

    • 单向认证:仅客户端对服务器端的身份进行认证。
    • 双向认证:客户端对服务器端的身份进行认证,服务器端也需要对客户端的身份进行认证。

    CA证书

    协议类型为TLS时,且SSL解析方式为“双向认证”时,需绑定CA证书。

    CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者。在进行双向认证时,只有当客户端能够出具指定CA签发的证书,HTTPS连接才能成功。

    服务器证书

    协议类型为TLS时,需绑定服务器证书。

    服务器证书用于SSL握手协商,需提供证书内容和私钥。

    SNI

    SNI(Server Name Indication 服务器名称指示)是一种TLS协议的扩展,用于解决在一个监听器托管多个域名时,需要根据不同的请求域名匹配证书进行认证的问题。

    客户端在发起SSL握手请求时提交请求的域名信息,ELB在收到请求后,会根据请求的域名查找证书。

    如果能够找到请求域名对应的SNI证书,则使用该证书进行认证。

    如果没有找到请求域名对应的SNI证书,则使用服务器证书进行认证。

    详情请参见开启SNI证书实现多域名访问

    SNI证书

    开启SNI之后,您需要为监听器配置至少一个SNI证书。

    只能选择指定了SNI扩展域名的服务器证书。

    更多配置(可选)

    安全策略

    支持选择可用的安全策略,更多信息请参见安全策略

    空闲超时时间(秒)

    如果在空闲超时时间内一直没有访问请求,负载均衡会中断当前连接,直到下一次请求到来时再重新建立新的连接。

    时间取值范围[0-4000]。

    每秒新建连接限速(每可用区)

    默认不限速,支持选择“限速”并输入限速值。

    限速值代表当前监听器下,负载均衡实例在每个可用区支持的每秒新建连接数上限。

    取值范围:1~1,000,000。当限速值大于弹性负载均衡的实例规格时,以实例规格为上限。

    说明:

    该功能陆续上线中,已发布区域请以控制台实际为准。

    每秒并发连接限速(每可用区)

    默认不限速,支持选择“限速”并输入限速值。

    限速值代表当前监听器下,负载均衡实例在每个可用区支持的每秒并发连接数上限。

    取值范围:1~1,000,000。当限速值大于弹性负载均衡的实例规格时,以实例规格为上限。

    降低并发连接限速,已建立连接不受影响。

    说明:

    该功能陆续上线中,已发布区域请以控制台实际为准。

    标签

    可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的,其中“键”值是唯一的。

    描述

    对于监听器描述。

    字数范围:0/255。

  4. 单击“下一步:配置后端分配策略”,配置监听器的默认后端服务器组。
    1. 推荐选择“使用已有”后端服务器组。
    2. 您也可选择“新创建”后端服务器组,添加后端服务器并配置健康检查,
      1. 配置后端服务器组参数请参见表3
      2. 单击“下一步:添加后端服务器”,添加后端服务器并配置健康检查。

        添加后端服务器详见后端服务器概述,配置健康检查参数请参见表4

  5. 单击“下一步:确认配置”。
  6. 确认配置无误后,单击“提交”。

高频问题