- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
-
API参考
- 使用前必读
- API概览
- API版本选择建议
- 如何调用API
- API(V3)
- API(V2)
- API(OpenStack API)
- 应用示例
- 权限和授权项
- 历史API
- 附录
- SDK参考
- 常见问题
- 视频帮助
- 产品术语
-
更多文档
- 用户指南(阿布扎比区域)
- API参考(阿布扎比区域)
-
用户指南 (巴黎区域)
- 产品介绍
- 快速入门
- 负载均衡器
- 监听器
- HTTP/HTTPS监听器高级配置
- 后端服务器组
- 后端服务器(独享型)
- 后端服务器(共享型)
- 证书管理
- 访问控制管理
- TLS安全策略
- 标签管理
- 访问日志
- 监控
- 审计
- 权限管理
- 关于配额
-
常见问题
- 高频常见问题
- 为什么通过负载均衡无法访问后端业务?
- 如何检查弹性负载均衡服务不通或异常中断?
- 如何排查ELB的异常返回码?
- 弹性负载均衡器是否可以单独使用?
- ELB是否支持TCP长连接?
- 弹性负载均衡是否支持后端FTP服务?
- 弹性负载均衡分配的EIP是否为独占?
- 单个用户默认可以创建多少个负载均衡器或监听器?
- ELB权限和使用范围是什么?
- 当负载均衡器正在运行中是否可以调整后端服务器的数量?
- 弹性负载均衡是否可以添加不同操作系统的服务器?
- ELB添加后端的端口号是否可以不一致?
- ELB支持跨用户、跨VPC使用么?
- 负载均衡器的后端服务器可以反过来访问公网/私网负载均衡器上的端口吗?
- ELB能否实现前端是HTTPS协议,后端也是HTTPS协议?
- ELB所属的VPC和子网支持修改吗?
- 是否支持在业务不中断的前提下,将共享型负载均衡升级为独享型负载均衡?
- ELB对于IPv6网络的支持情况是怎样的?
- 如何检查弹性负载均衡前后端流量不一致?
- 如何检查请求不均衡?
- 如何检查弹性负载均衡业务访问延时大?
- 如何检查压测性能上不去?
- 负载均衡器
- 监听器
-
后端服务器
- 为什么后端服务器上收到的健康检查报文间隔和设置的间隔时间不一致?
- 使用ELB后,后端服务器能否访问公网?
- 为什么100开头的IP在频繁访问后端服务器?
- ELB可以跨区域关联后端服务器么?
- 公网负载均衡的后端服务器要不要绑定EIP?
- 如何检查后端服务器网络状态?
- 如何检查后端服务器网络配置?
- 如何检查后端服务器服务状态?
- 后端服务器什么时候被认为是健康的?
- 如何检查通过EIP访问后端云服务器?
- 为什么云监控服务统计的ELB活跃连接数与后端服务器上的连接数不一致?
- 为什么配置了白名单后还能访问后端服务器?
- ELB修改后端服务器权重后多久生效?
- 为什么开启跨VPC后端需要确保负载均衡所属子网至少拥有16个可用IP地址?
- 健康检查
- 获取源IP
- HTTP/HTTPS监听器
- 会话保持
- 证书管理
- 监控
- 修订记录
- API参考 (巴黎区域)
- 用户指南(吉隆坡区域)
- API参考(吉隆坡区域)
- 用户指南(安卡拉区域)
- API参考(安卡拉区域)
- 通用参考
链接复制成功!
配置TLS安全策略实现加密通信
操作场景
对于银行,金融类加密传输的应用 ,在创建和配置HTTPS监听器时,您可以选择使用安全策略,可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套件。
共享型负载均衡仅支持选择默认安全策略。
添加安全策略
- 进入弹性负载均衡列表页面。
- 在弹性负载均衡列表页面,单击需要创建安全策略的监听器的负载均衡器名称。
- 在该负载均衡界面的“监听器”区域,单击“添加监听器”。
- 在“添加监听器”界面,前端协议选择“HTTPS”。
- 在“添加监听器”界面,选择“高级配置 > 安全策略”。
共享型负载均衡器支持的默认策略如表1所示。
表1 默认安全策略参数说明 名称
支持的TLS版本类型
使用的加密套件列表
TLS-1-0
TLS 1.2
TLS 1.1
TLS 1.0
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-ECDSA-AES128-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- ECDHE-ECDSA-AES256-SHA
- AES128-SHA
- AES256-SHA
TLS-1-1
TLS 1.2
TLS 1.1
TLS-1-2
TLS 1.2
TLS-1-2-Strict
TLS 1.2
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-GCM-SHA256
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-SHA256
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES256-SHA384
说明:
- 共享型负载均衡安全策略最高支持TLS 1.2协议。
- 上述列表为ELB支持的加密套件,同时客户端也支持多个加密套件,这样在实际使用时,加密套件的选择范围为:ELB和客户端支持的加密套件的交集,加密套件的选择顺序为:ELB支持的加密套件顺序。
- 配置完成,单击“确定”。
安全策略差异说明
安全策略 |
tls-1-0 |
tls-1-1 |
tls-1-2 |
tls-1-0-inherit |
tls-1-2-strict |
tls-1-0-with-1-3 |
tls-1-2-fs-with-1-3 |
tls-1-2-fs |
hybrid-policy-1-0 |
---|---|---|---|---|---|---|---|---|---|
TLS 协议 |
|||||||||
Protocol-TLS 1.3 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
Protocol-TLS 1.2 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Protocol-TLS 1.1 |
√ |
√ |
- |
√ |
- |
√ |
- |
- |
√ |
Protocol-TLS 1.0 |
√ |
- |
- |
√ |
- |
√ |
- |
- |
- |
加密套件 |
|||||||||
EDHE-RSA-AES128-GCM-SHA256 |
√ |
√ |
√ |
- |
√ |
- |
- |
- |
- |
ECDHE-RSA-AES256-GCM-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-RSA-AES128-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-RSA-AES256-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
AES128-GCM-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
- |
- |
√ |
AES256-GCM-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
- |
- |
√ |
AES128-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
- |
- |
√ |
AES256-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
- |
- |
√ |
ECDHE-RSA-AES128-SHA |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
ECDHE-RSA-AES256-SHA |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
AES128-SHA |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
AES256-SHA |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
ECDHE-ECDSA-AES128-GCM-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES128-SHA256 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES128-SHA |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
ECDHE-ECDSA-AES256-GCM-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES256-SHA384 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
ECDHE-ECDSA-AES256-SHA |
√ |
√ |
√ |
√ |
- |
√ |
- |
- |
√ |
ECDHE-RSA-AES128-GCM-SHA256 |
- |
- |
- |
√ |
- |
√ |
√ |
√ |
√ |
TLS_AES_256_GCM_SHA384 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
TLS_CHACHA20_POLY1305_SHA256 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
TLS_AES_128_GCM_SHA256 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
TLS_AES_128_CCM_8_SHA256 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
TLS_AES_128_CCM_SHA256 |
- |
- |
- |
- |
- |
√ |
√ |
√ |
- |
DHE-RSA-AES128-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
DHE-DSS-AES128-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
CAMELLIA128-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
EDH-RSA-DES-CBC3-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
DES-CBC3-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
ECDHE-RSA-RC4-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
RC4-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
DHE-RSA-AES256-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
DHE-DSS-AES256-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
DHE-RSA-CAMELLIA256-SHA |
- |
- |
- |
√ |
- |
- |
- |
- |
- |
ECC-SM4-SM3 |
- |
- |
- |
- |
- |
- |
- |
- |
√ |
ECDHE-SM4-SM3 |
- |
- |
- |
- |
- |
- |
- |
- |
√ |
修改安全策略
修改安全策略时,后端服务器需要放通安全组,放开对ELB健康检查的限制(100.125IP的限制,UDP健康检查icmp报文的限制等),否则后端健康检查没上线,会影响业务。
- 进入弹性负载均衡列表页面。
- 在弹性负载均衡列表页面,单击需要修改安全策略的监听器的负载均衡器名称。
- 切换至“监听器”页签,单击需要修改安全策略的监听器名称。
- 在监听器的基本信息页面,单击“编辑监听器”。
- 在“编辑监听器”界面,展开高级配置,选择安全策略参数。
- 单击“确定”。