TCP SSLリスナーの設定
最終更新日:2024-01-04 18:36:26
CLBインスタンスにTCP SSLリスナーを追加して、クライアントからの暗号化されたTCPプロトコルリクエストを転送することができます。TCP SSLプロトコルは、超ハイパフォーマンスかつ大規模なTLSオフロードのシーンに適しています。TCP SSLプロトコルのリスナーでは、バックエンドサーバーがクライアントのリアルIPを直接取得することができます。
説明:
TCP SSLリスナーは現在CLBインスタンスタイプのみサポートしています。従来型CLBはサポートしていません。
ユースケース
TCP SSLはTCPプロトコルでセキュリティの要求が非常に高いシナリオに適用されます。
TCP SSLリスナーは証明書の設定をサポートし、承認されていないアクセスを阻止します。
一元的な証明書管理サービスをサポートし、CLBによって復号操作を完了します。
単方向認証および双方向認証をサポートしています。
サーバーは直接クライアントIPを取得できます。
前提条件
CLBインスタンスの作成が必要です。
操作手順
ステップ1:リスナーの設定
1. CLBコンソールにログインし、左側ナビゲーションバーのインスタンス管理をクリックします。
2. CLBインスタンスリストページの左上隅でリージョンを選択し、インスタンスリスト右側の操作列でリスナーの設定をクリックします。
3. TCP/UDP/TCP SSL/QUICリスナーで新規作成をクリックし、ポップアップしたリスナーの作成ダイアログボックスでTCP SSLリスナーの設定を行います。
3.1 基本設定
リスナーの基本設定 | 説明 | 事例 |
名前 | リスナーの名称です。 | test-tcpssl-9000 |
リスニングプロトコルポート | リスニングプロトコル:この例ではTCP SSLを選択します。 リスニングポート:リクエストを受信してバックエンドサーバーにリクエストを転送するために使用するポートで、ポート範囲は1~65535です。 同一CLBインスタンス内で、リスニングポートは重複できません。 | TCP SSL:9000 |
SSL解析方式 | 単方向認証および双方向認証をサポートしています。 | 単方向認証 |
サーバー証明書 | SSL証明書プラットフォームにすでにある証明書を選択するか、または証明書をアップロードできます。 | 既存証明書を選択 |
バランシング方式 | TCP SSLリスナーでは、CLBは重み付けラウンドロビン(WRR)および重み付け最小接続(WLC)の2種類のスケジューリングアルゴリズムをサポートしています。 重み付けラウンドロビンアルゴリズム:バックエンドサーバーの重みに基づき、順番にリクエストを異なるサーバーに配信します。重み付けラウンドロビンアルゴリズムは新規接続数に基づいてスケジューリングし、重みの高いサーバーがラウンドロビンされる回数(確率)が高くなるほど、同じ重みのサーバーは同じ数の接続数を処理します。 重み付け最小接続:サーバーの現在アクティブな接続数に基づいてサーバーの負荷状況を推定します。重み付け最小接続はサーバー負荷および重みに基づいて総合的にスケジューリングし、重み値が同じ場合、現在の接続数が少ないバックエンドサーバーほどラウンドロビンされる回数(確率)も高くなります。 | 重み付けラウンドロビン |
3.2 ヘルスチェック
3.3 セッションの維持(現時点ではサポートしていません)
TCP SSLリスナーは、現時点ではセッション維持をサポートしていません。
ステップ2:バックエンドサーバーのバインド
1. リスナー管理ページで、上記の
TCP SSL:9000リスナーなどの、先ほど作成したリスナーをクリックすると、リスナーの右側にバインド済みのバックエンドサービスが表示されます。2. バインドをクリックし、バインドしたいバックエンドサーバーをポップアップボックスから選択し、サービスポートと重みを設定します。
説明:
デフォルトポート機能:先に「デフォルトポート」を入力してからバックエンドサーバーを選択すると、それぞれのバックエンドサーバーのポートがすべてデフォルトポートとなります。
ステップ3:セキュリティグループ(オプション)
ステップ4:リスナーの変更/削除(オプション)
作成したリスナーを変更または削除したい場合、「リスナー管理」ページで、作成したリスナーをクリックし、
フィードバック