检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果使用的证书过期或者其它原因需要更换,您可以通过修改证书功能批量更换监听器所绑定的证书。 弹性负载均衡的证书和私钥的更换对业务没有影响。 约束与限制 只有HTTPS/QUIC协议的监听器才支持绑定/更换证书。 切换证书后立即生效。已经建立的连接会继续使用老证书,新建立的连接将会使用新的证书。
如果使用的证书过期或者其它原因需要更换,您可以通过修改证书功能批量更换监听器所绑定的证书。 弹性负载均衡的证书和私钥的更换对业务没有影响。 约束与限制 只有HTTPS/QUIC协议的监听器才支持绑定/更换证书。 切换证书后立即生效。已经建立的连接会继续使用老证书,新建立的连接将会使用新的证书。
全端口监听器对负载均衡IP地址上的所有端口(1-65535)进行监听,并将监听端口上接收到的请求转发到后端服务器的后端端口。 仅前端协议为TCP和UDP协议的监听器支持全端口监听。 √ ╳ 访问控制 通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。 通过白名单能够设置允许特定IP访问,而其它IP不许访问。
仅支持添加与共享型负载均衡实例同VPC的云服务器。 后端云服务器支持添加弹性云服务器和裸金属服务器两种服务器实例。如果共享型弹性负载均衡的监听器开启“获取客户端IP”功能,将对裸金属服务器的规格有兼容性要求,部分存量规格实例无法添加,支持添加的实例规格详见《裸金属服务器实例家族》。
更换证书会导致网络或者ELB连接中断吗? 不会。 更换证书后,新的证书会立即生效,已经建立的连接会继续使用老证书,新建立的连接将会使用新的证书。 证书过期后,用户访问时会提示“不安全的链接”,一般情况下忽略掉安全告警后,还是可以访问的。 父主题: 证书管理
弹性负载均衡的证书和私钥的更换对业务没有影响。 约束与限制 仅HTTPS协议的监听器才支持绑定/更换证书。 ELB不会自动选择未过期的证书,如果您有证书过期了,需要手动更换或者删除证书。 切换证书后立即生效,已经建立的连接会继续使用老证书,新建立的连接将会使用新的证书。 前提条件
证书所记录的域名与用户访问的域名不一致,建议排查证书所记录的域名,或创建自签名证书。 配置了SNI,输入的域名与证书所记录的域名不一致。 域名级别与证书级别不一致,例如域名为5级而证书为4级。 域名未备案。 其他情况您也可以使用 curl 访问的域名命令,根据系统返回的错误信息进行排查。
在证书列表中,在需要修改的证书所在行的修改保护列,单击“设置”。 在“设置修改保护”对话框中,开启修改保护的开关并填写“添加修改保护原因”。 单击“确定”,完成配置。 修改证书 进入弹性负载均衡列表页面。 在左侧导航栏单击“证书管理”。 在证书列表中,在需要修改的证书所在行,单击“修改”。
当您确认证书不需要继续使用时,您可以根据需求删除您在弹性负载均衡控制台创建的证书。 约束与限制 已被HTTPS监听器绑定使用的证书,无法执行删除操作,请先为关联监听器执行更换证书操作。 快速查询证书关联的监听器 进入弹性负载均衡列表页面。 在左侧导航栏单击“证书管理”。 在证书列表中,在“监听器
TLS安全策略包含TLS协议版本和配套的加密算法套件。 默认安全策略 TLS协议版本越高,加密通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。 对于高安全性要求的业务,推荐采用高版本的TLS协议版本以强化安全防护;而对于安全性要求较低的业务,则可考虑使用兼容性更广的低版本TLS协议以确保业务的广泛适用。
定证书。 您在证书管理界面创建了证书,且使用的是HTTPS监听器,但未将证书绑定至该监听器。 您的证书已过期。 创建证书时指定了域名,但访问的域名和创建证书时配置的域名不一致。 创建的证书为证书链时,没有按照证书链的格式拼接证书。 您在ELB侧配置了HTTPS监听器+证书,同时在
已购买云模式的WAF实例,并已了解网站接入的相关信息。 云模式WAF的ELB接入方式需要提交工单申请开通后才能使用。 已购买应用型规格的独享型负载均衡并添加HTTP监听器或添加HTTPS监听器,防护网站对应的服务器已添加到该ELB监听器转发的后端服务组中,并确认ELB转发业务的连通性正常。
泛域名:在普通域名的基础上仅允许首字母为"*"。例:*.test.com id String 证书ID。 name String 证书的名称。 private_key String 服务器证书的私钥。PEM编码格式。 当type为client时,该参数被忽略,不影响证书的创建和使用。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
取值范围:10~4000s 标签 可通过配置该项使用标签功能。标签的“键”和“值”是一一对应的,其中“键”值是唯一的。 描述 对于监听器描述。 字数范围:0/255。 单击“下一步:配置后端分配策略”,配置监听器的默认后端服务器组。 推荐选择“使用已有”后端服务器组,您可参考创建后端服务器组进行创建。
handshake_failure 异常原因:ELB服务器没有提供证书或者提供的证书不符合客户端的校验要求,导致握SSL/TLS手失败。 解决方案: 请检查监听器上配置的证书是否正确。 请确认监听器的TLS安全策略使用的加密套件是否满足客户端要求。 排查项二:证书验证报错 报错信息: Exception
为什么同一客户端同时访问不同ELB实例、IP或端口会概率性超时? 如何检查弹性负载均衡服务不通或异常中断? 如何排查ELB返回的异常状态码? 如何排查ELB返回至客户端的异常请求头? 如何检查ELB前后端流量不一致? 如何检查ELB请求不均衡? 如何检查弹性负载均衡业务访问延时大? 如何检查ELB压测性能受限?
弹性负载均衡是如何工作的 工作原理 图1 ELB工作原理图 弹性负载均衡的工作原理如下: 客户端向您的应用程序发出请求。 负载均衡器中的监听器接收与您配置的协议和端口匹配的请求。 监听器再根据您的配置将请求转发至相应的后端服务器组。如果配置了转发策略,监听器会根据您配置的转发策略评估传入的请求,
键字进行搜索后添加。 选中目标添加的后端服务器,单击“下一步”。 设置服务器业务端口和服务器的权重,单击“完成”。 支持批量设置端口和权重。 修改后端服务器的端口和权重 每台后端服务器的权重取值范围为[0, 100],新的请求不会转发到权重为0的后端服务器上。 仅当流量分配策略为
开启SNI之后,用户需要为监听器添加域名对应的SNI证书。客户端在发起SSL握手请求时提交请求的域名信息,负载均衡在收到SSL请求后,会根据请求的域名查找对应的证书。如果找到域名对应的SNI证书,则使用该证书进行认证。如果没有找到域名对应的SNI证书,则使用服务器证书完成认证。 约束与限制
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
