您可以在负载均衡器实例上添加一个 TCP SSL 监听器转发来自客户端加密的 TCP 协议请求。

适用场景

SSL 协议适用于需要超高性能、大规模 TLS 卸载的场景。

前提条件

操作步骤

  1. 登录管理控制台,选择产品与服务 > 网络服务 > 负载均衡,进入负载均衡器页面。

  2. 在负载均衡器列表,找到目标实例,点击实例 ID 号,进入实例详情页。

    add monitor

  3. 监听器页签,点击创建监听器,弹出添加监听器页面。

    add ssl monitor

  4. 配置监听器参数。

    参数说明如下表。

    参数 说明

    名称

    自定义监听器名称。

    监听协议

    客户端与负载均衡监听器建立流量分发连接的协议。
    本操作中需选择 SSL

    端口

    用来接收请求并向后端服务器转发请求的端口。
    取值范围为:[1-65535]。

    说明

    添加监听器后,需要在负载均衡器所属安全组中,放行监听端口下行流量,否则从外网无法访问您的服务。

    负载方式

    选择负载均衡的调度算法。

    • 轮询:依据后端服务器的权重,将请求轮流发送给后端服务器。

    • 最少连接:优先将请求发给拥有最少连接数的后端服务器。

    • 源地址:基于源 IP 地址的一致性哈希,相同的源地址会调度到相同的后端服务器。

    服务器证书

    点击添加服务器证书,选择已创建的证书。

    高级选项

    点击显示高级选项,进行以下高级选项配置。

    健康检查

    设置健康检查方式及健康检查选项,以定期检查后端服务的运行状态。
    关于健康检查设置的详细说明,请参考健康检查概述

    场景

    监听场景。使用默认设置即可。

    超时时间

    连接超时时间。
    如果在超时时间内一直没有访问请求,负载均衡器会中断当前连接,直到下一次请求到来时再重新建立新的连接。
    取值范围为:10 ~ 86400。默认 50。单位:秒。

    隧道超时时间

    通过隧道连接的超时时间。
    取值范围为:10 ~ 86400。默认 3600。单位:秒。

    附加选项

    • 获取客户端 IP:也称为“透明代理”,启用后,后端服务器可以获取到客户端的真实 IP 地址。

    • 拒绝 TCP 连接请求:开启后,当所有后端不可用时,不再接受连接,而是直接拒绝 TCP 连接请求。

    说明

    启用获取客户端 IP后,负载均衡器对于后端完全透明,后端云服务器 TCP 连接得到的源地址是客户端的 IP,而不是负载均衡器的 IP,会导致内网请求失败,请在只提供公网服务(绑定了公网 IP)时开启。

    加密选项

    选择需要启用或禁用的加密方式。
    支持启用安全的加密方式禁用不安全的加密方式启用兼容 IE 的加密方式以及启用全部加密方式,具体每种选项所支持的加密方式请参考界面提示。

    选择 TLS 版本

    TLS 协议版本,支持 TLSv1.0、TLSv1.1、TLSv1.2 和 TLSv1.3。
    请确保客户端支持所选择的tls版本,避免无法协商成功而带来的业务影响。

  5. 配置确认无误后,点击提交,开始创建监听器。

    创建成功后,您可以在监听器页面查看到已创建的监听器。

  6. 点击应用修改,更新负载均衡器配置。

关联操作