添加HTTPS监听器
操作场景
HTTPS协议适用于需要加密传输的应用。您可以添加一个HTTPS监听转发来自HTTPS协议的请求。ELB对于用户的HTTPS的请求进行解密,然后发送至后端服务器;后端服务器处理完请求后的返回包首先发送至ELB,由ELB进行加密后,再传回用户侧。
添加HTTPS监听器时,要求后端子网预留足够的IP地址,可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。添加子网后,请取消对应子网的ACL配置,否则可能导致负载均衡访问异常。
如果您不希望负载均衡器对HTTPS流量进行解密,可以通过配置相同端口的TCP监听器将HTTPS流量透传到后端服务器。具体原理参见TCP监听器将HTTPS流量透传到后端服务器。
约束与限制
共享型负载均衡前端协议为“HTTPS”时,后端协议默认为“HTTP”,且不支持修改。
添加共享型负载均衡HTTPS监听器
- 登录管理控制台。
- 在管理控制台左上角单击
图标,选择区域和项目。 - 单击页面左上角的
,选择“网络 > 弹性负载均衡”。 - 在“负载均衡器”界面,单击需要添加监听器的负载均衡名称。
- 切换到“监听器”页签,单击“添加监听器”,配置监听器。配置监听器参数参见表1。
表1 共享型负载均衡配置监听器参数说明 参数
说明
名称
监听器名称。
前端协议
客户端与负载均衡监听器建立流量分发连接的协议。
协议选择HTTPS。
前端端口
客户端与负载均衡监听器建立流量分发连接的端口。
取值范围为:[1-65535]。
SSL解析方式
确保服务安全,请选择客户端到服务器端认证方式。
可选择“单向认证”或“双向认证”。
- 如仅进行服务器端认证,请选择单向认证。
- 双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。
CA证书
双向认证开启后需要配置CA证书。
详见创建证书。
服务器证书
协议类型为HTTPS时,需绑定服务器证书。
服务器证书用于SSL握手协商,需提供证书内容和私钥。
详见创建证书。
开启SNI
HTTPS协议的负载均衡可以选择是否开启SNI。
SNI是为了解决一个服务器使用多个域名和证书的TLS扩展。
开启SNI后,允许客户端在发起SSL握手请求时就提交请求的域名信息,ELB收到SSL请求后,会根据域名去查找证书,如果找到域名对应的证书,则返回该证书;如果没有找到域名对应的证书,则返回缺省证书。详见开启SNI证书实现多域名访问。
SNI证书
HTTPS协议的负载均衡设置开启SNI后需要选择域名对应的证书。
可选择已创建或者创建新的SNI证书。
详见创建证书。
访问控制
支持通过白名单和黑名单进行访问控制,更多信息请参见访问控制策略:
- 允许所有IP访问
- 黑名单
- 白名单
IP地址组
设置白名单或者黑名单时,必须选择一个IP地址组。如果还未创建IP地址组,需要先创建IP地址组,更多关于IP地址组的信息请参见访问控制IP地址组。
获取客户端IP
HTTPS监听器默认开启此开关且不支持关闭,后端服务器可以获取到客户端的真实IP地址。
高级配置
安全策略
支持选择可用的安全策略,更多信息请参见TLS安全策略。
HTTP/2
协议类型为HTTPS时,可选择是否支持该协议类型。详见开启HTTP/2提升通信效率。
获取弹性公网IP
通过X-Forwarded-ELB-IP头字段获取ELB实例公网IP地址。
若您需要将ELB公网IP透传到后端,只需在创建HTTP监听器时,打开该开关。
空闲超时时间(秒)
如果在超时时间内一直没有访问请求,负载均衡会中断当前连接,直到下一次请求到来时再重新建立新的连接。
时间取值范围[0-4000]。
请求超时时间(秒)
客户端向负载均衡发起请求,如果在超时时间内客户端没有完成整个请求的传输,负载均衡将放弃等待关闭连接。
时间取值范围[1-300]。
响应超时时间(秒)
负载均衡向后端服务器发起请求,如果超时时间内接收请求的后端服务器无响应,负载均衡会向其他后端服务器重试请求。如果重试期间后端服务器一直没有响应,则负载均衡会给客户端返回HTTP 504错误码。
时间取值范围[1-300]。
说明:当开启了会话保持功能时,响应超时时间内如果对应的后端服务器无响应,则直接会返回HTTP 504错误码。
描述
对于监听器描述。
字数范围:0/255。
- 单击“下一步:配置后端分配策略”,配置监听器的默认后端服务器组。
- 单击“下一步:确认配置”。
- 确认配置无误后,单击“提交”。
