检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在ELB中配置HTTPS双向认证以提升业务安全性 应用场景 一般的HTTPS业务场景只对服务器做认证,因此只需要配置服务器的证书即可。某些关键业务,需要对通信双方的身份都要做认证,以确保业务的安全性。 此时,除了配置服务器的证书之外,还需要配置客户端的证书,以实现通信双方的双向认证功能。
参数解释:IP地址组中的IP地址。 description String 参数解释:IP地址组中ip的备注信息。 表9 ListenerRef 参数 参数类型 描述 id String 参数解释:监听器ID。 请求示例 创建一个IP地址组,并指定其中包含的IP地址 POST ht
方法一:开启监听器的“获取客户端IP”功能。 方法二:配置TOA插件获取。 配置详情见四层服务。 约束与限制 如果IP经过NAT,则只能获取到NAT转化后的IP地址,无法获取到NAT转化前的IP地址。 如果客户端为容器,只能获取到容器所在主机的IP地址,无法获取容器的IP。 四层监听器(TCP
ELB如何根据不同的协议来分发流量? ELB采用“FullNAT”模式转发。如下图所示,四层协议转发经过LVS,七层转发协议,经过LVS后再到NGINX。 “FullNAT”是转发模式,是指LVS会转换客户端的源IP和目的IP。 图1 四层转发协议 图2 七层转发协议 父主题: 负载均衡器
白名单 IP地址组 设置白名单或者黑名单时,必须选择一个IP地址组。如果还未创建IP地址组,需要先创建IP地址组,更多关于IP地址组的信息请参见访问控制IP地址组。 获取客户端IP HTTPS监听器默认开启此开关且不支持关闭,后端服务器可以获取到客户端的真实IP地址。 高级配置 安全策略
更新IP地址组 功能介绍 更新IP地址组,只支持全量更新IP。即IP地址组中的ip_list将被全量覆盖,不在请求参数中的IP地址将被移除。 输入的ip可为ip地址或者CIDR子网,支持IPV4和IPV6。 需要注意0.0.0.0与0.0.0.0/32视为重复,0:0:0:0:0
ELB与WAF如何配合使用? 如果您的网站已接入Web应用防火墙(Web Application Firewall,简称WAF)进行安全防护,您可以通过ELB来设置源站服务器的访问控制策略,只放行WAF回源IP段,防止黑客获取您的源站IP后绕过WAF直接攻击源站。详见《Web应用防火墙用户指南》。
删除IP地址组 功能介绍 删除ip地址组。 调用方法 请参见如何调用API。 URI DELETE /v3/{project_id}/elb/ipgroups/{ipgroup_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 参数解释:项目ID。
参数解释:IP地址组的ID。 name 否 Array of strings 参数解释:IP地址组的名称。 description 否 Array of strings 参数解释:IP地址组的描述信息。 ip_list 否 Array of strings 参数解释:IP地址,多个用逗号分隔。
String 参数解释:IP地址组的项目ID。 enterprise_project_id String 参数解释:IP地址组所在的企业项目ID。 created_at String 参数解释:IP地址组的创建时间。 updated_at String 参数解释:IP地址组的更新时间。 表5
在所有服务上完成更换证书的操作,以免证书更换不全面而导致业务不可用。 弹性负载均衡的证书和私钥的更换对业务没有影响。 约束与限制 仅HTTPS协议的监听器才支持绑定/更换证书。 ELB不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书。 切换证书后立即生效,已
证书需要转换成PEM格式后,才能上传到负载均衡。 ELB不会自动更新证书,如果您有证书过期了,需要手动更换或者删除证书。 证书格式要求 在创建证书时,您可以直接输入证书内容或上传证书文件。 如果是通过根证书机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
证书需要转换成PEM格式后,才能上传到负载均衡。 ELB不会自动更新证书,如果您有证书过期了,需要手动更换或者删除证书。 证书格式要求 在创建证书时,您可以直接输入证书内容或上传证书文件。 如果是通过根证书机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
更新IP地址组的IP列表项 功能介绍 添加新的IP地址到IP地址组的IP列表信息,或更新已有IP地址的描述。 调用方法 请参见如何调用API。 URI POST /v3/{project_id}/elb/ipgroups/{ipgroup_id}/iplist/create-or-update
参数类型 描述 ip 是 String 参数解释:IP地址,可以是具体的IP地址或者IP地址段。 响应参数 状态码: 200 表6 响应Body参数 参数 参数类型 描述 ipgroup IpGroup object IP地址组信息。 request_id String 参数解释:请求ID。
在所有服务上完成更换证书的操作,以免证书更换不全面而导致业务不可用。 弹性负载均衡的证书和私钥的更换对业务没有影响。 约束与限制 仅HTTPS协议的监听器才支持绑定/更换证书。 ELB不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书。 切换证书后立即生效,已
0/24丨ECS01 描述 IP地址组相关信息的描述说明。 - 确认参数配置,单击“确定”。 管理IP地址组内的IP地址 IP地址组创建后,您可根据使用需求对组内的IP地址进行修改,支持的修改操作如下: 添加IP地址 批量修改IP地址 删除IP地址 IP地址组内输入IP地址,支持的格式如下:
添加IP地址 批量修改IP地址 删除IP地址 IP地址组创建后您可向其中添加IP地址,不影响IP地址组中已有的IP地址。 进入弹性负载均衡列表页面。 在左侧导航栏,选择“ 弹性负载均衡 > IP地址组”。 在“IP地址组”界面,单击需要添加IP地址的地址组名称,进入IP地址组的详情页面。
配置TLS安全策略实现加密通信 对于银行和金融类等需要加密传输的应用,通常会配置HTTPS加密以确保数据的安全传输。弹性负载均衡默认支持部分常用的TLS安全策略来满足您的安全加密需求。 在创建和配置HTTPS监听器时,您可以选择使用合适的默认安全策略,或者创建自定义策略,来提高您的业务安全性。
监听器并配置后端服务器组步骤中创建的“ELB(负载均衡器)”、“ELB监听器”和“后端服务器组”。 图10 WAF实例添加到ELB 单击“确认”,为WAF实例配置业务端口,“业务端口”需要配置为WAF独享引擎实例实际监听的业务端口,即步骤五:Web业务接入WAF源站配置中的“防护对象端口”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
