步骤二:配置负载均衡
添加防护网站后,您需要使用华为云弹性负载均衡(Elastic Load Balance,简称ELB)为WAF独享引擎实例配置负载均衡和健康检查,以确保WAF的可靠性和稳定性。
华为云ELB按流量单独计费。有关ELB的计费详情,请参见ELB价格详情。
前提条件
- 已添加独享模式防护网站。
- 已购买独享型负载均衡。有关ELB类型的详细介绍,请参见共享型弹性负载均衡与独享型负载均衡的功能区别。
2023年4月之前的独享引擎版本,不支持与独享ELB网络型配合使用。因此,如果您使用了独享ELB网络型(TCP/UDP)负载均衡,请确认独享WAF实例已升级到最新版本(2023年4月及之后的版本),独享引擎版本详情请参见独享引擎版本迭代。
- 在该独享引擎实例所在安全组中已放开了相关端口。
有关添加安全组规则的详细操作,请参见添加安全组规则。
约束条件
- 配置健康检查后,独享引擎实例的“健康检查结果”的“状态”必须为“正常”,否则会导致网站不能正常接入WAF。健康检查异常的排查思路请参见健康检查异常。
- 后端服务器的“业务端口”需要与WAF独享引擎实例实际监听的业务端口一致,即与步骤一:添加防护网站(独享模式)时设置的“防护对象端口”保持一致。
- 由于WAF是七层代理产品,配置监听器时,“前端协议”只能选择HTTP或HTTPS协议。
系统影响
“分配策略类型”选择“加权轮询算法”时,请关闭“会话保持”,如果开启会话保持,相同的请求会转发到相同的WAF独享引擎实例上,当WAF独享引擎实例出现故障时,再次到达该引擎的请求将会出错。
添加监听器
配置健康检查后,独享引擎实例的“健康检查结果”的“状态”必须为“正常”,否则会导致网站不能正常接入WAF。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择“负载均衡器”页面。 ,进入
- 在负载均衡器所在行的“名称”列,单击目标负载均衡器名称,进入ELB“监听器”页面。
- 单击“添加监听器”,配置监听器信息。
- “前端端口”:客户端与负载均衡监听器建立流量分发连接的端口,可配置为任意端口,此处建议配置为WAF中配置的源站端口。
- “前端协议”:只能选择HTTP或HTTPS协议 。
图1 配置监听信息
- 单击“下一步:配置后端分配策略”,配置后端服务器组。
图2 配置后端服务器组
- “分配策略类型”选择“加权轮询算法”时,请关闭“会话保持”,如果开启会话保持,相同的请求会转发到相同的WAF独享引擎实例上,当WAF独享引擎实例出现故障时,再次到达该引擎的请求将会出错。
- 有关ELB流量分配策略的详细介绍,请参见流量分配策略。
- 单击“下一步:添加后端服务器”,配置健康检查。
- 配置健康检查后,“健康检查结果”的“状态”必须为“正常”,否则会导致网站不能正常接入WAF。有关配置健康检查的详细操作,请参见配置健康检查。
- 单击“下一步:确认配置”。
- 单击“提交”,监听器添加成功。
将WAF实例添加到ELB
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择“安全总览”页面。 ,进入
- 在左侧导航树中,选择“独享引擎”页面。
,进入图3 独享引擎列表
- 在目标实例所在行的“操作”列,单击 。
- 在“添加到ELB”页面中,选择添加监听器中配置的“ELB(负载均衡器)”、“ELB监听器”和“后端服务器组”。
图4 添加到ELB
“健康检查结果”的“状态”必须为“正常”,否则会导致网站不能正常接入WAF。健康检查异常的排查思路请参见健康检查异常。
- 单击“确认”,为WAF实例配置业务端口,“业务端口”需要配置为WAF独享引擎实例实际监听的业务端口,即步骤一:添加防护网站(独享模式)中配置的“防护对象端口”。
图5 配置业务端口
生效条件
当WAF独享引擎实例的“健康检查结果”为“正常”时,说明弹性负载均衡配置成功。