SLB+ECS+Https实践 – 徐亮偉架构师之路~

SLB+ECS+Https实践

2019-2-22 11:08

|

142

|

0

|

Nginx,未分类

1225 字

|

6 分钟

SLB+ECS+https

徐亮伟, 江湖人称标杆徐。多年互联网运维工作经验，曾负责过大规模集群架构自动化运维管理工作。擅长Web集群架构与自动化运维，曾负责国内某大型电商运维工作。
个人博客“徐亮伟架构师之路“累计受益数万人。

1.购买阿里云SLB负载均衡

1.进入控制台->点击左侧负载均衡，选择创建负载均衡

2.选择负载均衡套餐（根据公司业务需求进行选择）

3.确认无误开通服务

2.购买阿里云ECS后端主机

4.购买ECS云主机

2.自定义ECS配置

3.配置阿里云SLB负载均衡Https

前端负载均衡通过https协议调用后端web服务器80端口,实现https请求

官方提供：证书上传到负载均衡后，负载均衡即可管理证书，不需要在后端ECS上绑定证书。

HTTPS监听

https://help.aliyun.com/document_detail/54512.html?spm=a2c4g.11186623.2.20.3be62566PkgO61

HTTP重定向至HTTPS

https://help.aliyun.com/document_detail/69312.html?spm=a2c4g.11186623.4.4.3db72f90fO709f

ECS云主机安装Nginx，并配置网站，监听在http80端口即可

安装Ngix

[root@node5 ~]# yum install nginx -y

配置http访问

[root@node5 conf.d]# cat /etc/nginx/conf.d/http.conf

server {

listen 80;

server_name nginx.bjstack.com;

root /code;

index index.html;

}

[root@node5 conf.d]# mkdir /code

[root@node5 conf.d]# echo “Aliyum_SLB” > /code/index.html

[root@node5 conf.d]# systemctl restart nginx

下发配置至其他web节点，使其他的后端web节点也支持https

[root@node5 ~]# scp -rp /etc/nginx root@192.168.56.6:/etc/

重启所有后端的web服务

[root@node5 ~]# systemctl restart nginx

[root@node5 ~]# netstat -lntp

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 5461/nginx: master

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1043/sshd

SLB负载均衡配置https，监听在https端口，最后将http请求跳转至https

1.配置

2.在SLB上先加入ECS云主机

3.定义SLB后端资源池（upstream）

4.定义后端web服务80端口

5.推送SSL证书至SLB负载均衡，负载均衡需要使用证书，后端web节点不需要使用

6.配置SLB前端协议，以及选择对应的证书

7.监听对应的域名

8.通过https能成功访问网站

9.如出现无法请求https，请检查阿里云安全组配置

10.https是能正常访问，但直接输入http将无法访问，需要将http请求跳转至https

【https必须先配置，否则http无法找到监听转发】

#1.单台webServer配置https需要操作步骤如下：

1.阿里云需要存在已备案过的域名,并保证余额不低于100.

2.登录阿里云购买免费的ssl证书

3.购买ECS云主机，配置Nginx（http跳转到https[https的证书是下载阿里云提供的证书，不要修改名称]）

4.打开浏览器访问即可。

#2.前端SLB负载均衡，后端多台webServer，配置https

1.阿里云需要存在已备案过的域名,并保证余额不低于100.

2.登录阿里云购买免费的ssl证书

3.购买多台ECS云主机，配置Nginx http（后端仅配置http）

4.购买SLB负载均衡，先添加服务器组 , 划分虚拟服务器组，监听后端所有服务器的80端口(实际上是定义upstream虚拟资源池)

5.配置阿里云的SLB，选择监听->前端监听协议https的443端口，后端监听虚拟服务器组，选择定义好的upstrem。

6.选择对应域名的SSL证书，证书是通过阿里云证书管理推送过来的，如果证书是第三方机构，自行在证书管理里添加。

7.配置负载均衡的健康检查配置->后端的域名，端口，路径

8.https请求能正常访问，但是http无法正常请求，需要在SLB负载均衡上配置强制跳转

9.配置负载均衡SLB监听端口->选择http->会跳转出监听转发->选择之前配置好的https即可

10.测试http与https访问是否正常。