You need to enable JavaScript to run this app.
导航
创建HTTPS协议监听器
最近更新时间:2024.12.16 19:15:46首次发布时间:2021.09.09 15:54:48

本章节介绍在创建CLB实例之后,如何为其添加HTTPS协议的监听器。

操作说明

  • 待添加的监听器端口不能与同一CLB实例下其他TCP、HTTP或HTTPS协议的监听端口相同。
  • CLB实例中已有监听器的带宽总值等于CLB实例规格带宽时,该CLB实例不能再创建新的监听器。如仍需创建,请先参考编辑监听器调整已有监听器的带宽或者参考变更实例规格提升CLB实例的规格,使带宽总值小于CLB实例规格的带宽。
  • 通过七层监听器(HTTP和HTTPS协议),IPv6访问请求目前仅支持被转发到IPv4后端服务器。

操作步骤

  1. 登录负载均衡控制台

  2. 在顶部导航栏,选择目标资源所属的项目和地域。

  3. 单击目标CLB实例右侧的“配置监听器”按钮,进入监听器列表页面。

  4. 单击“添加监听器”按钮,参考下表完成监听器的基本配置。

    参数
    说明取值示例
    监听器名称配置监听器的名称。 如不填写,则默认为“协议-端口” ,例如“HTTPS-80”。listener-1
    负载均衡协议选择CLB实例监听的协议类型。HTTPS
    监听端口指监听的端口,监听器将来自该端口的访问请求转发给后端服务器组。443

    调度算法

    指定监听器转发请求遵循的规则。

    • 加权轮询(WRR):权重值越高的后端服务器,被轮询到的次数(概率)越高。
    • 加权最小连接数(WLC):将请求转发给“当前连接/权重”比值最小的后端服务器。
    • 源地址哈希(SH):基于源IP地址的一致性哈希,相同源地址的请求会调度到相同的后端服务器。

    加权轮询(WRR)

  5. 参考下表,配置超时时间。

    参数
    说明取值示例

    客户端连接空闲超时时间

    输入客户端与CLB之间的长连接超时时间。若在超时时间内一直没有访问请求,CLB会中断当前连接,直到下一次请求到来时重新建立新的连接。
    输入范围:0~900秒,0表示禁用长连接。

    75秒

    客户端请求头超时时间

    输入读取客户端请求头的超时时间。客户端向CLB发起请求,若在超时时间内客户端没有传输整个报头,CLB将返回408错误码给客户端,表示请求超时。
    输入范围:30~120秒。

    60秒

    客户端请求正文超时时间

    输入读取客户端请求正文的超时时间。客户端向CLB发起请求,若在超时时间内客户端没有发送任何请求体,CLB将返回408错误码给客户端,表示请求超时。

    • 此超时时间仅针对两个连续的读操作之间设置,而非整个请求的传输过程。
    • 输入范围:30~120秒。

    60秒

    客户端转发响应超时时间

    输入CLB向客户端发送响应的超时时间。CLB向客户端发送响应,若客户端在超时时间内未收到任何内容,则连接会被关闭。

    • 此超时仅针对两个连续的写操作之间设置,而非整响应的传输过程。
    • 输入范围:1~3600秒。

    60秒

    后端响应超时时间

    输入CLB从后端服务器读取响应的超时时间。CLB向后端服务器发起请求,若在超时时间内接收请求的后端服务器无响应,则会关闭此连接。

    • 此超时时间仅针对两个连续的读操作之间设置,而非整个响应的传输过程。
    • 输入范围:30~3600秒。

    60秒

    后端转发请求超时时间

    输入CLB将请求传输到后端服务器的超时时间。CLB向后端服务器发起请求,若后端服务器在超时时间内未收到任何内容,则会关闭此连接。

    • 此超时仅针对两个连续的写操作之间设置,而非整个请求的传输过程。
    • 输入范围:30~3600秒。

    60秒

    后端建连超时时间

    输入CLB与后端服务器之间的连接建立超时时间。若在超时时间内CLB与后端服务器连接未建立,则终止建立连接操作。

    • 建议大于健康检查超时时间。
    • 输入范围:4~120秒。

    4秒

  6. 参考下表为监听器配置更多高级功能。

    参数
    说明取值示例

    访问控制

    表示监听器是否对访问请求设置黑白名单控制,即允许或禁止某些IP的访问,默认为关闭状态。详情参见访问控制概述
    开启访问控制后,请选择控制方式并配置策略组名称。

    • 控制方式
      • 黑名单:表示禁止选定策略组中的IP访问该CLB实例。如果所选策略组中没有添加任何IP,则允许所有源IP访问本监听器。
      • 白名单:表示仅允许选策略组中的IP访问该CLB实例。如果所选策略组中没有添加任何IP,则拒绝所有源IP访问本监听器,请谨慎设置。
    • 策略组名称
      选择访问控制策略组,策略组中的IP将加入监听的黑名单或白名单。最多支持选择5个策略组。如果您还未创建可用策略组,可在选择框单击“创建访问控制策略组”按钮,参考创建策略组创建。

    开启,黑名单,policy01

    会话保持

    调度算法为“加权轮询(WRR)”时,可选择是否为监听器开启会话保持。
    开启会话保持后,负载均衡基于cookie将来自同一客户端的访问请求转发到同一后端服务器。请您按需选择Cookie处理方式并设置会话保持超时时间或Cookie名称。
    Cookie处理方式:支持植入Cookie和重写Cookie两种方式。

    • 植入Cookie:负载均衡会记录客户端访问请求首次转发到的后端服务器,在响应请求中插入Cookie信息(CLBSERVERID 和 CLBSERVERCORSID),然后转发给客户端。后续该客户端发起访问请求时携带此Cookie信息,负载均衡会将访问请求转发到对应的后端服务器。
      选择此种方式时,您需要指定Cookie的过期时间,即会话保持超时时间。会话保持超时时间默认为 1000 秒,取值范围 1 ~ 86400,单位为秒。
    • 重写Cookie:由您自定义待重写的后端Cookie名称,客户端首次访问请求经后端服务器响应到达负载均衡后,负载均衡会在响应请求中查找指定的Cookie名称并进行重写,然后转发给客户端。后续该客户端发起访问请求时携带指定的Cookie信息,负载均衡会将访问请求转发到对应的后端服务器。
      选择此种方式时,您需要指定响应请求中插入的Cookie,即Cookie名称

      说明

      如果后端服务器响应请求中的Cookie与您指定的Cookie名称不匹配,则负载均衡不会重写Cookie,默认按照您设置的调度算法正常转发访问请求。

    开启,植入Cookie,1000秒

    开启HTTP 2.0

    选择是否开启CLB的前端协议版本为HTTP 2.0。
    HTTP 2.0是一种安全高效的下一代HTTP传输协议,向下兼容HTTP 1.X协议版本。如果希望HTTPS业务更加安全,那么配置HTTPS协议监听器时可开启HTTP 2.0。

    关闭

    带宽上限

    选择是否为监听器开启带宽限速。
    开启开关后,您需要设置该监听器的带宽上限,取值上限为该监听器所属CLB实例规格的剩余未分配带宽,单位为Mbps。

    开启,100Mbps

    标签

    标签由一个键值对组成,用于资源的分类和搜索。更多关于标签的介绍请参见标签管理
    单击 图标,输入标签键和标签值,为监听器添加标签。

    • 标签键:listener-key
    • 标签值:listener-test
  7. 单击“下一步”按钮,配置SSL证书。

    参数
    说明取值示例

    证书来源

    选择证书来源,支持火山引擎证书中心和CLB侧证书管理模块。

    说明

    • 首次使用火山引擎证书中心的证书时,请您根据提示完成跨服务访问请求的授权。
    • 为了便于统一管理证书,CLB已经对接火山引擎证书中心,推荐您前往 证书中心控制台 上传证书。在证书中心,您可以一站式实现证书的购买、上传、续费和删除等相关操作。

    火山引擎证书中心

    选择服务器证书下拉选择服务器证书。xx-certificate-xx
    TLS安全策略选择是否开启TLS(Transport Layer Security,TLS)安全策略。

    选择策略

    选择TLS安全策略。支持tls_cipher_policy_1_0、tls_cipher_policy_1_1、tls_cipher_policy_1_2、tls_cipher_policy_1_2_strict。不同的TLS安全策略支持的TLS协议和加密套件如下:

    • 支持的TLS协议版本:
      • tls_cipher_policy_1_0:包含TLS v1.0、TLS v1.1 、TLS v1.2。
      • tls_cipher_policy_1_1:包含TLS v1.1 、TLS v1.2。
      • tls_cipher_policy_1_2:包含TLS v1.2。
      • tls_cipher_policy_1_2_strict:包含TLS v1.2。
    • 支持的加密套件:
      • tls_cipher_policy_1_0、tls_cipher_policy_1_1、tls_cipher_policy_1_2: ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA。
      • tls_cipher_policy_1_2_strict: ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384

    tls_cipher_policy_1_2

  8. 单击“下一步”按钮,配置默认后端服务器组。

    1. 请按需选择添加方式和后端服务器组。
      • 若已有满足需求的后端服务器组,可进行选择。
      • 若没有满足需求的后端服务器组,可进行新建,详细参数介绍请参见创建后端服务器组
    2. 单击“下一步”按钮,为后端服务器组添加后端服务器。
      请按需选择添加方式并配置后端服务器。
      • 如果已有后端服务器可使用,可选择立即添加,然后添加后端服务器并为其配置端口和权重,后端服务器参数的详细说明请参见添加后端服务器
      • 如果没有后端服务器可使用,请选择创建完监听器后再添加。

    说明

    • 创建监听器后,平台会自动创建默认转发规则,并关联默认后端服务器组。默认转发规则域名为空、URL为“/”,表示可以转发对任意域名和URL的请求。当请求无法匹配监听器中其他转发规则时,将通过默认转发规则转发到默认后端服务器组。更多转发规则介绍请参见配置转发规则
    • 选择已有后端服务器组或为新建后端服务器组立即添加后端服务器时,请确保后端服务器关联的安全组已开放与监听器相同的协议,可参考配置后端服务器安全组确认。
  9. 单击“下一步”按钮,进入健康检查配置页,如下图所示。

    此处健康检查配置保持默认值即可。如需修改,详细参数说明可参考配置健康检查

    说明

    配置健康检查后,CLB实例会定期向后端服务器发送请求以测试其运行状态,判断其是否可用。当探测到后端服务器运行状况不佳时,会停止向其发送流量,并将流量转发给其他正常运行的后端服务器。

  10. 单击“下一步”按钮,审核监听器所有配置信息,完成监听器创建。

    • 如果配置信息有误,可单击 图标,返回对应页面更改配置。
    • 确认配置信息无误后,单击“确定”按钮,完成监听器的创建。

后续操作

  • HTTPS监听器默认开启Gzip数据压缩。
    当客户端请求头部携带accept-encoding: gzip时,若后端服务器向客户端返回特定类型(包含text/plain、text/css、text/xml、application/xml、text/javascript、application/x-javascript、 application/json、application/javascript、application/x-protobuf)的文件,则CLB先将其压缩,再返回给客户端。
  • 除了将流量转发至默认后端服务器组的服务器,您还可以添加转发规则,将流量转发至其它后端服务器组的服务器。具体操作请参加配置转发规则

相关文档

CreateListener:为指定负载均衡实例创建一个监听器。