负载均衡器配置:监听器配置
对外访问端口
路由对接的负载均衡器对外暴露的访问端口
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
k8s annotation: kubernetes.io/elb.port |
1-65535 |
无 |
允许 |
CCE Standard/CCE Turbo |
负载均衡器对外端口:
取值范围:1~65535。
部分端口为高危端口,默认被屏蔽,如21端口。
配置建议:
同集群的路由支持对接到相同的监听器
不同集群的路由不支持对接到相同的监听器;不支持对接到手动创建的监听器,会出现端口冲突的报错
安全策略
路由对接的监听器使用的安全策略
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
k8s annotation: kubernetes.io/elb.tls-ciphers-policy |
tls-1-0-inherit,tls-1-0, tls-1-1, tls-1-2,tls-1-2-strict,tls-1-2-fs,tls-1-0-with-1-3, tls-1-2-fs-with-1-3, hybrid-policy-1-0 |
tls-1-2 |
允许 |
CCE Standard/CCE Turbo |
监听器使用的安全策略。取值:tls-1-0-inherit,tls-1-0, tls-1-1, tls-1-2,tls-1-2-strict,tls-1-2-fs,tls-1-0-with-1-3, tls-1-2-fs-with-1-3, hybrid-policy-1-0。
使用说明:
仅对HTTPS协议类型的监听器且关联LB为独享型时有效。
QUIC监听器不支持该字段。
若同时设置了security_policy_id和tls_ciphers_policy,则仅security_policy_id生效。
加密套件的优先顺序为ecc套件、rsa套件、tls1.3协议的套件(即支持ecc又支持rsa)
配置建议:
在加密套件支持的情况下,请尽量使用安全级别高的安全策略
缺省支持的安全策略为tls-1-2,客户端需配合支持安全策略类型
自定义安全策略
路由对接的监听器使用的自定义安全策略的ID
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
k8s annotation: kubernetes.io/elb.security_policy_id |
无 |
无 |
允许 |
CCE Standard/CCE Turbo |
自定义安全策略的ID。
使用说明:
仅对HTTPS协议类型的监听器且关联LB为独享型时有效。
QUIC监听器不支持该字段。
若同时设置了security_policy_id和tls_ciphers_policy,则仅security_policy_id生效。
加密套件的优先顺序为ecc套件、rsa套件、tls1.3协议的套件 (即支持ecc又支持rsa)
请配置正确的安全策略ID
服务器证书ID
监听器对接已有的服务器证书和SNI证书,推荐使用此配置作为HTTPS监听器的证书配置
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
k8s annotation: kubernetes.io/elb.tls-certificate-ids |
无 |
无 |
允许 |
CCE Standard/CCE Turbo |
监听器使用的服务器证书和SNI证书。
该字段支持填写多个证书ID,通过逗号(,)分隔。第一个证书为监听器默认服务器证书,后续的证书为SNI证书。
配置建议:
推荐使用此配置作为HTTPS监听器的证书配置
一个HTTPS监听器最多支持配置50个SNI证书,超过此值后将不生效
TLS证书
监听器使用的服务器证书信息
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
spec.tls[].secrectName |
无 |
无 |
允许 |
CCE Standard/CCE Turbo |
监听器使用的服务器证书信息,此配置方式和tls-certificate-ids选其一。需要创建kubernetes.io/tls或者IngressTLS类型的secret存放监听器的证书信息
推荐您使用对接已有证书的方式配置
SNI证书
监听器使用的SNI证书(带域名的服务器证书)
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
spec.tls[].(secrectName + hosts) |
无 |
无 |
允许 |
CCE Standard/CCE Turbo |
客户端连接空闲超时时间
客户端连接空闲超时时间,在超过keepalive_timeout时长一直没有请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
k8s annotation: kubernetes.io/elb.keepalive_timeout |
0-4000,单位为s |
60s |
允许 |
CCE Standard/CCE Turbo |
客户端连接空闲超时时间,在超过keepalive_timeout时长一直没有请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。
取值:
HTTP/HTTPS协议,取值范围为(0-4000s)默认值为60s。
UDP监听器不支持此字段。
配置建议:
取值范围为(0-4000s)默认值为60s
UDP监听器不支持此字段
客户端请求超时时间
等待客户端请求超时时间
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
k8s annotation: kubernetes.io/elb.client_timeout |
1-300,单位为s |
60s |
允许 |
CCE Standard/CCE Turbo |
等待客户端请求超时时间,包括两种情况:
读取整个客户端请求头的超时时长:如果客户端未在超时时长内发送完整个请求头,则请求将被中断
两个连续body体的数据包到达LB的时间间隔,超出client_timeout将会断开连接。
取值范围为1-300s,默认值为60s。
使用说明:仅协议为HTTP/HTTPS的监听器支持该字段。
配置建议:
取值范围为1-300s,默认值为60s
仅协议为HTTP/HTTPS的监听器支持该字段
后端服务器响应超时时间
等待后端服务器响应超时时间
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
k8s annotation: kubernetes.io/elb.member_timeout |
1-300,单位为s |
60s |
允许 |
CCE Standard/CCE Turbo |
等待后端服务器响应超时时间。请求转发后端服务器后,在等待超时member_timeout时长没有响应,负载均衡将终止等待,并返回 HTTP504错误码。
取值:1-300s,默认为60s。
使用说明:仅支持协议为HTTP/HTTPS的监听器。
配置建议:
取值:1-300s,默认为60s
仅支持协议为HTTP/HTTPS的监听器
是否开启HTTP/2
客户端与LB之间的HTTPS请求的HTTP2功能的开启状态。 开启后,可提升客户端与LB间的访问性能,但LB与后端服务器间仍采用HTTP1.X协议
|
参数名 |
取值范围 |
默认值 |
是否允许修改 |
作用范围 |
|---|---|---|---|---|
|
k8s annotation: kubernetes.io/elb.http2-enable |
true/false |
false |
允许 |
CCE Standard/CCE Turbo |
客户端与LB之间的HTTPS请求的HTTP2功能的开启状态。 开启后,可提升客户端与LB间的访问性能,但LB与后端服务器间仍采用HTTP1.X协议。
使用说明:
仅HTTPS协议监听器有效。
仅HTTPS协议的监听器生效
