9.6. 使用 HTTP/2 侦听器创建 TLS 终止负载均衡器
当您使用 TLS 终止的 HTTPS 负载均衡器时,您可以将 CPU 密集型加密操作卸载到负载均衡器,并允许负载均衡器使用第 7 层检查等高级功能。添加 HTTP/2 侦听器后,您可以通过更快地加载页面来利用 HTTP/2 协议来提高性能。负载均衡器使用 Application-Layer Protocol Negotiation (ALPN) TLS 扩展将 HTTP/2 与客户端协商。
负载均衡服务(octavia)支持端到端 HTTP/2 流量,这意味着 HTTP2 流量不会由 HAProxy 从请求到达监听程序的点转换,直到响应从负载均衡器返回为止。要实现端到端的 HTTP/2 流量,您必须有一个带有后端重新加密的 HTTP 池: 组成员侦听为 HTTPS 流量配置的安全端口和 Web 应用。
您可以将 HTTP/2 流量发送到 HTTP 池,而无需重新加密。在这种情况下,HAProxy 在到达池前转换流量,并在从负载均衡器返回前将响应转换为 HTTP/2。
红帽建议您创建一个运行状况监控器,以确保后端成员仍然可用。
目前,负载均衡服务不支持对使用 HTTP/2 侦听的 TLS 终止负载均衡器进行健康监控。
先决条件
TLS 公钥加密配置有以下特征:
-
TLS 证书、密钥和中间证书链从分配给负载均衡器 VIP 地址的 DNS 名称的外部证书颁发机构(CA)获取,例如
www.example.com。 - 证书、密钥和中间证书链位于当前目录中的独立文件中。
- 密钥和证书是 PEM 编码的。
- 中间证书链包含多个使用 PEM 编码和串联的证书。
-
TLS 证书、密钥和中间证书链从分配给负载均衡器 VIP 地址的 DNS 名称的外部证书颁发机构(CA)获取,例如
- 您必须配置负载均衡服务(octavia)以使用 Key Manager 服务(barbican)。如需更多信息,请参阅使用密钥管理器服务管理 secret 指南。
流程
将密钥(
server.key)、证书(server.crt)和中间证书链(ca-chain.crt)合并到单个 PKCS12 文件(server.p12)中。注意括号中的值是此流程中的示例命令中使用的示例值。使用适合您的站点的值替换这些示例值。
重要当您创建 PKCS12 文件时,请不要密码保护该文件。
示例
在这个示例中,在没有密码的情况下创建 PKCS12 文件:
$ openssl pkcs12 -export -inkey server.key -in server.crt \ -certfile ca-chain.crt -passout pass: -out server.p12
提供您的凭据文件。
示例
$ source ~/overcloudrc
使用 Key Manager 服务为 PKCS12 文件创建 secret 资源(
tls_secret1)。示例
$ openstack secret store --name='tls_secret1' \ -t 'application/octet-stream' -e 'base64' \ --payload="$(base64 < server.p12)"
在公共子网(
public_subnet)上创建一个负载平衡器(lb1)。示例
$ openstack loadbalancer create --name lb1 --vip-subnet-id \ public_subnet --wait
创建
TERMINATED_HTTPS侦听器( listener1),并执行以下操作:-
引用机密资源(
tls_secret1),作为监听器的默认 TLS 容器。 -
设置 ALPN 协议(
h2)。 如果客户端不支持 HTTP/2 (
http/1.1),则设置回退协议。示例
$ openstack loadbalancer listener create --name listener1 \ --protocol-port 443 --protocol TERMINATED_HTTPS --alpn-protocol h2 \ --alpn-protocol http/1.1 --default-tls-container=\ $(openstack secret list | awk '/ tls_secret1 / {print $2}') lb1
-
引用机密资源(
创建一个池(
pool1),并使它成为监听器的默认池。示例
本例中的命令会创建一个 HTTP 池,其中包含在 TCP 端口 80 上托管使用 Web 应用程序配置的 HTTP 应用程序的后端服务器:
$ openstack loadbalancer pool create --name pool1 \ --lb-algorithm ROUND_ROBIN --listener listener1 --protocol HTTP
在池(
pool1)上创建一个类型为(TCP)的运行状况监视器(healthmon1),以连接到后端服务器。建议使用健康检查,但不是必需的。如果没有定义运行状况监控器,则假定成员服务器为
ONLINE。示例
$ openstack loadbalancer healthmonitor create --name healthmon1 \ --delay 15 --max-retries 4 --timeout 10 --type TCP pool1
将专用子网上的 HTTP 后端服务器(
192.0.2.10和192.0.2.11)添加到池。示例
在本例中,后端服务器
192.0.2.10和192.0.2.11分别命名为member1和member2:$ openstack loadbalancer member create --name member1 --subnet-id \ private_subnet --address 192.0.2.10 --protocol-port 80 pool1 $ openstack loadbalancer member create --name member2 --subnet-id \ private_subnet --address 192.0.2.11 --protocol-port 80 pool1
验证
查看并验证负载均衡器(
lb1)设置。示例
$ openstack loadbalancer status show lb1
输出示例
{ "loadbalancer": { "id": "936dad29-4c3f-4f24-84a8-c0e6f10ed810", "name": "lb1", "operating_status": "ONLINE", "provisioning_status": "ACTIVE", "listeners": [ { "id": "708b82c6-8a6b-4ec1-ae53-e619769821d4", "name": "listener1", "operating_status": "ONLINE", "provisioning_status": "ACTIVE", "pools": [ { "id": "5ad7c678-23af-4422-8edb-ac3880bd888b", "name": "pool1", "provisioning_status": "ACTIVE", "operating_status": "ONLINE", "health_monitor": { "id": "4ad786ef-6661-4e31-a325-eca07b2b3dd1", "name": "healthmon1", "type": "TCP", "provisioning_status": "ACTIVE", "operating_status": "ONLINE" }, "members": [ { "id": "facca0d3-61a7-4b46-85e8-da6994883647", "name": "member1", "operating_status": "ONLINE", "provisioning_status": "ACTIVE", "address": "192.0.2.10", "protocol_port": 80 }, { "id": "2b0d9e0b-8e0c-48b8-aa57-90b2fde2eae2", "name": "member2", "operating_status": "ONLINE", "provisioning_status": "ACTIVE", "address": "192.0.2.11", "protocol_port": 80 } ...当健康监控器存在并正常运行时,您可以检查每个成员的状态。
示例
$ openstack loadbalancer member show pool1 member1
输出示例
工作成员(
member1)在其operating_status具有ONLINE值:+---------------------+--------------------------------------+ | Field | Value | +---------------------+--------------------------------------+ | address | 192.0.2.10 | | admin_state_up | True | | created_at | 2023-11-16T20:08:01 | | id | facca0d3-61a7-4b46-85e8-da6994883647 | | name | member1 | | operating_status | ONLINE | | project_id | 9b29c91f67314bd09eda9018616851cf | | protocol_port | 80 | | provisioning_status | ACTIVE | | subnet_id | 3b459c95-64d2-4cfa-b348-01aacc4b3fa9 | | updated_at | 2023-11-16T20:08:42 | | weight | 1 | | monitor_port | None | | monitor_address | None | | backup | False | | tags | | +---------------------+--------------------------------------+
其他资源
- 使用密钥管理器服务管理 secret 指南
- 命令行界面参考中的 LoadBalancer
