“当前已有100+用户参与投稿,共计发放奖励100000+“
一、客户需求
二、解决办法 三、配置前准备 1)确保AD有SSL 卸载授权,如果没有SSL 卸载授权无法实现https配置前置调度策略,http不影响 2)在域名供应商配置好这两个域名的A记录 3)提供两个域名的证书(AD SSL卸载证书导入支持pem和der、pkcs12、pkcs7等证书文件(后缀为crt、cer、key、pem、der、pfx、p12、pvk、p7b、spc)) 四、配置步骤 1)导入SSL 证书(注意格式是否支持,如果不支持需要转换格式)
2)新增节点池 配置好节点池IP地址(这里是应用服务器内网IP地址)、健康检查方法,如果有会话保持需求需要可以在后面选择会话保持类型,由于我们是两个应用服务器,所以需要添加两个节点池
3)新增前置调度策略 服务类型选择:HTTPS 高级匹配条件:请求头部、HOST、等于、域名(sm2.gx**.com.cn),请求头部的HOST等于sm2.gx**.com.cn调度到这个域名对应的节点池中,直接写HOST,不需要加https:// 两个域名使用通过公网IP和同一个端口只需要配置一个前缀策略即可,剩下那个域名在配置虚拟服务的时候直接选择默认节点池,如果有三个域名就需要配置两个前置调度策略,以此类推
4)配置SSL卸载 只需要选择服务器证书,其它的默认即可,需要配置两个https域名的SSL卸载证书 使用https访问的数据是进过加密的,加密的数据我们无法获取到里面的HOST,所以需要获取应用服务器使用的SSL证书,我们使用这个这个SSL证书进行对数据解密,解密获取到HOST后再跟前置调度策略进行匹配调度
5)配置SSL加密 只需要选择客户端证书,其它的默认即可(这个加密证书和卸载证书都是同一个证书)需要配置两个https域名的SSL加密证书 由于前面需要通过SSL协议获取数据包中的HOST,解密后的数据需要进行加密传输给服务器
6)SSL卸载和SSL加密知识普及 ①HTTPS必须配置SSL卸载,所以必须通过SSL卸载获取到数据包内容
②SSL加密:对外提供的是HTTPS服务,应用服务器也是提供HTTPS服务器,那么AD就是个中间人 数据包走向:AD收到来自公网传来的数据包,先通过SSL卸载获取数据包内容再根据策略要求匹配前置策略,匹配前置策略后再把数据通过SSL加密发送给服务器 如果不进行SSL加密,服务提供的是HTTPS加密服务,那么服务器收到AD发过的数据是解密后的,服务器无法进行处理,所以必须配置SSL加密,让AD访问服务器的数据是进过加密处理的,这样服务器才能识别这些数据进行解密
③对外提供HTTPS服务,服务器提供HTTP服务,如果是这种情况只需要配置SSL卸载即可 数据包从外网进来的数据是做了HTTPS加密的,通过SSL解密后直接发给服务器,服务器提供的是HTTP明文传输,所以直接能识别界面后的数据 数据包从服务器回包给客户端,服务器通过HTTP明文传输发给AD,AD再进行加密发送给客户端,但是这个过程只需要配置SSL卸载即可,无需配置SSL加密
7)新增虚拟服务 服务类型:HTTPS IP地址:公网IP地址 端口范围:公网端口 默认节点池:官网https(我们配置的前缀策略是业务系统的域名,所以默认节点使用官网,前置调度策略匹配不上就会匹配到默认节点池中) SNAT策略:如果需要内网使用域名访问应用服务器需要勾选上,如果没有这方面的需求可以关闭或忽略 SSL卸载策略:选择好前面配置的SSL卸载证书
调度方式:选择每个请求 SSL加密策略:前面配置的SSL加密(如果对外提供的是HTTPS,内网应用服务器实际是HTTP不需要配置SSL加密)
其它配置选项根据需求选配,DNAT需要启用,否则公网无法进行访问
五、测试业务是否正常 1)通过域名访问官网(访问正常)
2)通过公网IP访问官网(访问正常)
3)通过域名访问业务系统(访问正常)
六、注意事项 1)对外提供HTTPS,服务器提供的也是HTTPS必须配置SSL卸载和SSL加密 2)如果服务器需要识别客户端源IP地址不要勾选SNAT,勾选SNAT后服务器收到的源IP是AD的LAN口地址 3)配置前最好通过端口映射分别测试业务是否正常, 都正常后再配置应用负载,不然证书配置错误很容易导致无法访问到正确的业务系统 4)需要通过公网IP访问指定系统一定需要把这个系统配置到默认节点池 |