检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
步骤六:配置HTTPS双向认证监听器 登录负载均衡控制台页面。 在添加监听器页面,协议类型选择“HTTPS”,“SSL解析方式”选择“双向认证”,并且在服务器证书和CA证书两个配置项中选择所添加的服务器证书和CA证书对应的名称。 图9 添加HTTPS监听器并配置双向认证 步骤七:导入客户端证书并验证
身份认证与访问控制 身份认证 弹性负载均衡支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予ELB所需的权限,组内用户自动继承用户组的所有权限。
端协议也支持选择“HTTPS”。 如果是非全链路HTTPS,负载均衡支持后端协议选择HTTP协议。 全链路HTTPS仅支持在负载均衡器上做双向验证。 父主题: 功能支持
确保服务安全,请选择客户端到服务器端认证方式。 可选择“单向认证”或“双向认证”。 如仅进行服务器端认证,请选择单向认证。 双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书 双向认证开启后需要配置CA证书。 详见创建证书。
若您绑定了手机,需输入手机验证码。 若您绑定了虚拟MFA,需输入MFA设备上的6位动态验证码。 如图 操作保护身份验证所示,尝试删除负载均衡器时,弹出以下验证框,选择一种验证方式: 图3 操作保护身份验证 关闭操作保护 如需关闭操作保护,请参考以下步骤操作。 登录管理控制台。 在“控制台”页面,鼠
若您绑定了手机,需输入手机验证码。 若您绑定了虚拟MFA,需输入MFA设备上的6位动态验证码。 如图 操作保护身份验证所示,尝试删除负载均衡器时,弹出以下验证框,选择一种验证方式: 图3 操作保护身份验证 关闭操作保护 如需关闭操作保护,请参考以下步骤操作。 登录管理控制台。 在“控制台”页面,鼠
可选择“单向认证”或“双向认证”。 如仅进行服务器端认证,请选择单向认证。 双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书 协议类型为HTTPS且SSL解析方式为“双向认证”时,需绑定CA证书。
选择SSL解析认证方式。单向认证需要为监听器配置服务器证书,双向认证需要同时配置服务器证书和CA证书。 表1 SSL解析方式 单向认证 仅客户端对服务器端进行认证,您需要为监听器绑定服务器证书,用于验证服务器身份。 双向认证 弹性负载均衡实例与客户端互相提供身份认证,从而允许通过
选择SSL解析认证方式。单向认证需要为监听器配置服务器证书,双向认证需要同时配置服务器证书和CA证书。 表1 SSL解析方式 单向认证 仅客户端对服务器端进行认证,您需要为监听器绑定服务器证书,用于验证服务器身份。 双向认证 弹性负载均衡实例与客户端互相提供身份认证,从而允许通过
当前UDP协议服务健康检查可能存在服务真实状态与健康检查不一致的问题: 如果后端服务器是Linux服务器,在大并发场景下,由于Linux的防ICMP攻击保护机制,会限制服务器发送ICMP的速度。此时,即便服务器已经出现异常,但由于无法向前端返回“port XX unreachable”报错信息,会导致负载均衡由于没收到
确保服务安全,请选择客户端到服务器端认证方式。 可选择“单向认证”或“双向认证”。 如仅进行服务器端认证,请选择单向认证。 双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 服务器证书 协议类型为TLS时,需绑定服务器证书。
单向认证 客户端到服务器端认证方式,本实践仅进行服务器端认证。 服务器证书 选择已创建的服务器证书 服务器证书用于SSL握手协商,具有服务器身份验证和加密传输双重功能。 开启SNI 暂不开启 HTTPS协议的负载均衡可以选择开启SNI,以满足您的多域名访问或关联多个服务器证书的需求。
服务器证书:在使用HTTPS协议时,服务器证书用于SSL握手协商,需提供证书内容和私钥。 CA证书:又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器SM双证书:在使用HTTPS协议时,若采用商密SSL
服务器证书:在使用HTTPS协议时,服务器证书用于SSL握手协商,需提供证书内容和私钥。 CA证书:又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器SM双证书:在使用HTTPS协议时,若采用商密SSL
通过黑名单能够设置允许特定的IP不能访问,而其它IP允许访问。 √ √ HTTPS双向认证 负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的客户访问负载均衡实例。 仅前端协议为HTTPS协议的监听器支持双向认证。 √ √ SNI多域名证书 SNI(Server Name Indi
cert.CertificateException: No name matching localhost found 异常原因:通常发生在双向认证场景,客户端接收到服务器证书主机名与客户端请求连接的主机名不匹配,即验证localhost失败。 解决方案:请检查请求客户端是否携带包含localhost的证书。
到实时通讯。WebSocket建立在TCP之上,同HTTP一样通过TCP来传输数据,但是它和HTTP最大不同在于,WebSocket是一种双向通信协议,在建立连接后,WebSocket服务器和Browser/Client Agent都能主动的向对方发送或接收数据,就像Socket
您可以根据实际的业务情况,通过增大健康检查间隔,或者将七层健康检查改为四层健康检查等方式来降低对业务的影响。如果您的业务系统自身有健康检查机制,也可以关闭负载均衡器的健康检查,但是为了保障业务的持续可用,不建议这样做。 健康检查协议 您可以在创建后端服务器组和创建监听器时为后端服
适用于关注实时性而相对不注重可靠性的场景,如视频聊天、游戏、金融实时行情推送。 网络型 TLS 加密传输数据,可以阻止未经授权的访问。 支持单向认证和双向认证 适用于需要超高性能和大规模TLS卸载的场景。 应用型 HTTP 基于Cookie的会话保持。 使用X-Forward-For获取源地址。
大,是否配置了安全策略等。 查看异常主机数的监控来判断后端云服务器的健康检查状态是否有跳变。在后端服务状况不稳定时,因为弹性负载均衡的重试机制,如果连接一台后端超时,请求会重新发往下一台后端,请求成功,这样业务就表现为访问成功,但是延时很大。 如果问题依然存在,请联系客服。 父主题:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
