检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
网站设置”页面。 在网站列表左上角,单击“添加防护网站”。 在弹窗中选择“独享模式”并单击“确定”。 图8 添加防护域名 确认高级配置,“是否已使用代理”请选择“七层代理”。 图9 确认高级配置 步骤六:WAF实例接入ELB 将独享WAF实例添加到ELB的后端服务器组中,请确保安
使用ELB为高访问量业务进行流量分发 对于业务量访问较大的业务,可以通过ELB设置相应的分配策略,将访问量均匀的分到多个后端服务器处理。例如大型门户网站,移动应用市场等。 同时您还可以开启会话保持功能,保证同一个客户请求转发到同一个后端服务器。从而提升访问效率,如图1所示。 图1 会话保持流量分发
ELB与WAF如何配合使用? 如果您的网站已接入Web应用防火墙(Web Application Firewall,简称WAF)进行安全防护,您可以通过ELB来设置源站服务器的访问控制策略,只放行WAF回源IP段,防止黑客获取您的源站IP后绕过WAF直接攻击源站。详见《Web应用防火墙用户指南》。
监控安全风险 云监控(Cloud Eye)服务是面向华为云资源的监控平台,提供了实时监控、及时告警、资源分组、站点监控等能力,使您全面了解云上资源的使用情况和业务的运行状况。 通过云监控,可以按时间轴查看ELB的网络流量,错误日志相关情况,动态告警分析潜在风险。 关于弹性负载均衡
创建后端云服务器组 功能介绍 创建后端云服务器组。将多个后端云服务器添加到后端云服务器组中后,请求会在后端云服务器间按后端云服务器组的负载均衡算法和后端云服务器的权重来做请求分发。 接口约束 指定session-persistence参数时,只有当type是APP_COOKIE时,才可以设置cookie_name。
创建后端云服务器组 功能介绍 创建后端云服务器组。将多个后端云服务器添加到后端云服务器组中后,请求会在后端云服务器间按后端云服务器组的负载均衡算法和后端云服务器的权重来做请求分发。 接口约束 指定session-persistence参数时,只有当type是APP_COOKIE时,才可以设置cookie_name。
当您需要在同一个监听器中根据HTTPS请求域名的不同来选择不同的证书进行认证,并将请求分发至不同的后端服务器组时,可以通过开启SNI功能来实现配置多域名HTTPS网站。 开启SNI之后,用户需要为监听器添加域名对应的SNI证书。客户端在发起SSL握手请求时提交请求的域名信息,负载均衡在收到SSL请求后,
当您需要在同一个监听器中根据HTTPS请求域名的不同来选择不同的证书进行认证,并将请求分发至不同的后端服务器组时,可以通过开启SNI功能来实现配置多域名HTTPS网站。 开启SNI之后,用户需要为监听器添加域名对应的SNI证书。客户端在发起SSL握手请求时提交请求的域名信息,负载均衡在收到SSL请求后,
p12证书 测试验证 在浏览器中输入地址,浏览器会弹出证书选择窗口,如下,选择客户端证书,然后点确定按钮,可以正常访问网站,如图12 正常访问网站。 图11 正常访问网站 Curl工具方式功能测试验证 导入客户端证书 把客户端证书client.crt和客户端私钥文件client.ke
透传到后端服务器。并且在实例的安全组配置相同端口的TCP入方向规则,以允许相同端口上来自负载均衡器的入站流量。 如下图所示,TCP监听器如何将端口为443的HTTPS流量进行无解密透传到后端服务器。 图1 TCP透传HTTPS流量 父主题: 应用型监听器
X-Forwarded-For RemoteIPInternalProxy 100.125.0.0/16 图1 修改Apache的配置文件示例图 将代理服务器的网段添加到 RemoteIPInternalProxy <IP_address>。 共享型负载均衡需要添加的IP地址段为 100.125.0.0/16(100
不均衡。 后端服务是否开启了TCP keepalive保持长连接。如果开启,则有可能因为长连接上的请求数不同导致流量不均衡。 将云服务器添加到ELB后端时是否设置了权重,权重不同,分发的流量也不同。 一般情况下,影响负载均衡分配的因素包括分配策略、会话保持、长连接、权重等。换言之
图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。 如何选择区域? 选择区域时,您需要考虑以下几个因素: 地理位置 一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度。
P频繁建连的开销。 后端服务器 在使用负载均衡器前,建议先创建ECS实例或者BMS实例并部署相关业务应用,然后将ECS实例或者BMS实例添加到负载均衡器的后端服务器组来处理转发的客户端访问请求。创建后端服务器时,请注意以下事项: 建议后端服务器实例的所属地域和负载均衡器的所属地域相同。
AK/SK签名认证方式仅支持消息体大小在12MB以内,12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名,在请求时将签名信息添加到消息头,从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。
具备强大的四层和七层处理能力,支持多种应用协议和高级转发策略。 基础的四层与七层能力。 推荐应用场景 大流量高并发的业务场景,如大型网站、云原生应用、车联网、多可用区容灾应用。 流量负载较低的业务场景,如小型网站和普通高可用应用。 前端协议 TCP、UDP、HTTP、HTTPS、QUIC、TLS。 TCP、UDP、HTTP、HTTPS。
表1 负载均衡器的基础配置 参数 说明 实例类型 负载均衡的实例类型,选定后不支持修改。 共享型实例适用于流量负载较低的业务场景,如小型网站和普通高可用应用。 实例类型的区别详见独享型负载均衡与共享型弹性负载均衡的区别。 计费模式 共享型负载均衡器的收费类型。 包年/包月:预付
certification path to requested target 异常原因:服务器证书校验时,证书验证报错,可能是证书链不完整或证书颁发机构不受信任。 解决方案:将监听器的证书更换为有效的由证书颁发机构(CA)签发的证书。 排查项三:客户端收到的服务器证书主机名与请求主机名不匹配 报错信息:
步:配置后端分配策略”。 选择“新创建”后端服务器组,其余参数保持默认不变,单击“下一步:添加后端服务器”。 选择将ECS_server添加到新创建的后端服务器组,开启健康检查并保持默认参数设置不变。 单击“下一步:确认配置”后,单击“提交”,完成HTTPS监听器的创建。 步骤二:添加重定向至HTTPS监听器
网络型监听器将流量转发至默认后端服务器组,应用型监听器按照转发策略转发流量。 监听器概述 转发策略 仅应用型监听器支持配置转发策略。转发策略用于确定应用型负载均衡器如何将请求分发到一个或多个后端服务器组。 应用型ELB具备强大的七层处理能力,支持多种应用协议与转发策略,支持您基于业务实际进行灵活的流量负载。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
