负载均衡

操作指南

产品文档

【版权声明】

©2013-2024 腾讯云版权所有

本文档著作权归腾讯云单独所有,未经腾讯云事先书面许可,任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。

【商标声明】

及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有。本文档涉及的第三方主体的商标,依法由权利人所有。

【服务声明】

本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整。您所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定,否则,腾讯云对本文档内容不做任何明示或默示的承诺或保证。

文档目录

操作指南

负载均衡实例

域名化负载均衡升级指南

最近更新时间:2024-01-04 17:08:07

您可以对存量的公网负载均衡实例升级为域名化负载均衡实例。升级后负载均衡将以域名的方式提供服务,产品控制台将不再展示 VIP 信息。随着业务请求的增加,VIP 随业务请求而动态变化。

升级前后负载均衡服务对比

对比项
升级后
升级前
SLA
99.99%
99.95%
是否支持域名
是否支持自动扩展 VIP
支持
不支持
VIP 是否会变化
随着业务请求的变化,VIP 可能会动态变化,且控制台不再展示 VIP 地址
VIP 固定不变
健康探测源 IP
默认 100.64.0.0/10 网段,有效避免地址冲突
默认负载均衡实例 VIP,可选 100.64.0.0/10 网段

限制说明

基础网络中的实例不支持升级,请先完成迁移,详见 迁移指导
传统型负载均衡不支持升级,请先升级为负载均衡实例,详情请参见 传统型实例升级
容器创建的负载均衡实例暂时不支持控制台直接升级,如有升级需求,请 提交工单 寻求帮助。
DDoS 高防包暂不支持对域名化负载均衡进行防护,升级为域名化负载均衡后,DDoS 高防失效将严重影响业务安全。已绑定 DDoS 高防包的公网负载均衡实例用户,或有 DDoS 防护需求的公网负载均衡实例用户,不建议升级为域名化负载均衡实例。其他问题,请 提交工单 寻求帮助。

前提条件

1. 客户对外提供访问使用 CNAME 域名解析的方式
2. 健康探测源 IP 修改为 100.64.0.0/10 网段,详情请参见 健康检查源 IP 支持100.64.0.0/10 网段

操作步骤

方式一:指定实例升级

1. 登录 负载均衡控制台
2. 实例管理页面左上角选择地域,在实例列表找到目标实例,单击右侧操作栏下的更多 > 升级为域名化实例
3. 升级为域名化实例弹窗中点击确定


方式二:批量实例升级

1. 登录 负载均衡控制台
2. 实例管理页面左上角选择地域,在实例列表中勾选未升级的负载均衡实例。
3. 在实例列表上方,选择更多操作 > 升级为域名化实例

4. 升级为域名化实例弹窗中单击确定



创建负载均衡实例

最近更新时间:2024-01-04 17:08:08

腾讯云提供了两种购买负载均衡的方式:官网购买和 API 购买。本小节将详细介绍两种购买方式。

官网购买

所有用户均可通过 腾讯云官方网站 购买负载均衡。腾讯云账户分为标准账户类型和传统账户类型,2020年6月17日零点后注册的账户均为标准账户类型,该时间点前注册的账户请在控制台查看您的账户类型,具体操作请参见 判断账户类型
1. 登录腾讯云 负载均衡购买页
2. 按需选择以下负载均衡相关配置。
3. 完成以上配置后,确认购买数量及费用,单击立即购买
按量计费模式:在弹出的“负载均衡订单确认”对话框中单击确定订单
4. 购买成功后即开通负载均衡服务,您可进行负载均衡配置使用。

共享型实例购买方式

1. 登录腾讯云 负载均衡购买页
2. 参考以上 官网购买 的操作步骤,按需选择共享型负载均衡实例相关配置,并且“实例规格”选择共享型

3. 继续参考以上 官网购买 的操作步骤完成后续操作。

性能容量型实例购买方式

1. 登录腾讯云 负载均衡购买页
2. 参考以上 官网购买 的操作步骤,按需选择性能容量型负载均衡实例相关配置,并且“实例规格”选择性能容量型

3. 继续参考以上 官网购买 的操作步骤完成后续操作。

API 购买

欲通过 API 购买负载均衡的用户,请参见 负载均衡 API - 购买负载均衡实例

后续操作

若需为负载均衡创建监听器,请参见 负载均衡监听器
若需为负载均衡的监听器绑定后端服务,请参见 后端服务器

相关文档

产品属性选择

创建 IPv6 负载均衡实例

最近更新时间:2024-01-04 17:08:07

说明:
IPv6 负载均衡内测中,如需使用,请提 工单申请
目前仅支持如下地域开通 IPv6 负载均衡:广州、深圳金融、上海、上海金融、南京、北京、北京金融、成都、重庆、中国香港、新加坡、弗吉尼亚、圣保罗。其中,针对地域为深圳金融、上海金融的金融行业监管要求定制的合规专区,需提交 工单申请 使用专区。
IPv6 负载均衡不支持传统型负载均衡。
IPv6 负载均衡支持获取客户端 IPv6 源地址。四层和七层默认透传 IPv6 负载均衡的客户端源地址,七层 IPv6 负载均衡还支持通过 HTTP 的 X-Forwarded-For 头域获取客户端 IPv6 源地址。
当前 IPv6 负载均衡是纯公网负载均衡,相同 VPC 的客户端无法通过内网访问该 IPv6 负载均衡。
互联网 IPv6 网络大环境还处于建设初期,如出现线路访问不通的情况,请 提交工单 反馈。

概述

IPv6 负载均衡是基于 IPv6 单栈技术实现的负载均衡,和 IPv4 负载均衡协同工作,实现 IPv6/IPv4 双栈通信。IPv6 负载均衡绑定的是云服务器的 IPv6 地址,并对外提供 IPv6 VIP 地址。

IPv6 负载均衡优势

腾讯云 IPv6 负载均衡在助力业务快速接入 IPv6 时具有如下优势:
快速接入:秒级接入 IPv6,随买随用快速上线。
易于使用:IPv6 负载均衡兼容原 IPv4 负载均衡的操作流程,零学习成本,低门槛使用。
端到端的 IPv6 通信:IPv6 负载均衡和云服务器之间通过 IPv6 通信,可以帮助部署在云服务器的应用快速进行 IPv6 改造,并实现端到端的 IPv6 通信。

IPv6 负载均衡架构

负载均衡支持创建 IPv6 负载均衡(下文中也叫 IPv6 CLB)实例,腾讯云会给 IPv6 CLB 实例分配一个 IPv6 公网地址(即 IPv6 版的 VIP),该 VIP 会将来自 IPv6 客户端的请求转发给后端的 IPv6 云服务器。
IPv6 CLB 实例不但可以快速接入 IPv6 公网用户访问,且通过 IPv6 协议和后端云服务器进行通信,能够帮助云上的应用快速改造 IPv6,并实现端到端的 IPv6 通信。
IPv6 负载均衡的架构如下图所示:



步骤一:创建 IPv6 负载均衡实例

1. 登录腾讯云官网,进入 负载均衡购买页
2. 按需选择以下负载均衡相关配置。
3. 在购买页选择各项配置后,单击立即购买。在“负载均衡订单确认”弹出窗口中,单击确认订单。返回至 负载均衡实例列表页,即可查看已购的 IPv6 负载均衡。

步骤二:创建 IPv6 负载均衡监听器

1. 登录 负载均衡控制台,单击 IPv6 负载均衡实例 ID,进入详情页。
2. 选择监听器管理标签页,单击新建,如创建一个 TCP 监听器。
说明:
支持创建四层 IPv6 负载均衡监听器(TCP/UDP/TCP SSL)和七层 IPv6 负载均衡监听器(HTTP/HTTPS),详情请参见 负载均衡监听器概述
3. 在“基本配置”中配置名称、监听协议端口和均衡方式,单击下一步
4. 配置健康检查,单击下一步
5. 配置会话保持,单击提交
6. 监听器创建完成后,选中该监听器,在右侧单击绑定
说明:
绑定云服务器前,请确定该云服务器已获取 IPv6 地址。
7. 在弹出框中,选择需要通信的 IPv6 云服务器,并配置服务端口和权重,单击确定即可。

更多操作

IPv6 CLB 混绑 IPv6 和 IPv4 后端服务

开启双栈混绑后,IPv6 CLB 七层监听器,可以同时绑定 IPv6 和 IPv4 的后端云服务器,并支持从 XFF 中获取源 IP。IPv6 CLB 四层监听器不支持混绑,只能绑定 IPv6 的后端服务器。
1. 开启双栈混绑。
在购买页购买 IPv6 CLB 时,启用双栈混绑。

在 IPv6 CLB 实例详情页面,启用双栈混绑。

2. 创建七层 HTTP 或 HTTPS 监听器。
3. 选择绑定 IPv6 或 IPv4 类型的后端服务。



创建 IPv6 NAT64 负载均衡实例

最近更新时间:2024-04-24 09:55:43

说明:
IPv6 NAT64 负载均衡仅支持北京、上海、广州三个地域。
IPv6 NAT64 负载均衡不支持传统型负载均衡。
IPv6 NAT64 负载均衡绑定的安全组支持 IPv4 地址,暂不支持 IPv6 地址;IPv6 NAT64 CLB 支持 IPv6 客户端和 IPv4 客户端的访问,如有 IPv4 客户端访问的需求请 提交工单 获取 IPv4 VIP。
互联网 IPv6 网络大环境还处于建设初期,不提供 SLA 保障,如出现线路访问不通的情况,请 提交工单 反馈。
负载均衡支持创建 IPv6 NAT64 负载均衡实例,腾讯云会给实例分配一个 IPv6 公网地址(即 IPv6 版的 VIP),该 VIP 会将来自 IPv6 客户端的请求转发给后端的 IPv4 云服务器。

什么是 IPv6 NAT64 负载均衡

IPv6 NAT64 负载均衡是基于 NAT64 IPv6 过渡技术实现的负载均衡器。通过 IPv6 NAT64 负载均衡器,后端云服务器无需做任何 IPv6 改造即可快速接入 IPv6 用户的访问。

IPv6 NAT64 负载均衡架构

IPv6 NAT64 负载均衡的架构如下图所示。



通过 IPv6 网络访问 IPv6 NAT64 负载均衡时,负载均衡能平滑地将 IPv6 地址转换为 IPv4 地址,适配原有的服务,快速实现 IPv6 的改造。

IPv6 NAT64 负载均衡优势

腾讯云 IPv6 NAT64 负载均衡在助力业务快速接入 IPv6 时具有如下优势:
快速接入:秒级接入 IPv6,随买随用快速上线。
业务平滑过渡:业务仅需改造客户端,无需改造后端服务,便可平滑接入 IPv6。IPv6 NAT64 负载均衡支持来自 IPv6 客户端的访问,并将 IPv6 报文转换成 IPv4 报文,后端云服务器上的应用程序无需感知 IPv6,仍以原有形式部署工作。
易于使用:IPv6 NAT64 负载均衡兼容原 IPv4 负载均衡的操作流程,零学习成本,低门槛使用。

操作指南

创建 IPv6 NAT64 负载均衡

1. 登录腾讯云官网,进入 负载均衡购买页
2. 请正确选择如下参数:
计费模式:支持按量计费的计费模式。
地域:仅支持北京、上海、广州三个地域。
实例类型:负载均衡。
网络类型:公网。
IP 版本:IPv6 NAT64。
所属网络:私有网络。
其他配置和普通实例配置相同。
3. 在购买页选择各项配置后,单击立即购买,返回至 负载均衡实例列表页,即可查看已购的 IPv6 NAT64 负载均衡。

使用 IPv6 NAT64 负载均衡

登录 负载均衡控制台,单击实例 ID,进入详情页,在“监听器管理”页面配置监听器、转发规则、绑定云服务器,详情请参见 负载均衡快速入门

相关文档

混合云部署场景下通过 TOA 获取客户端真实 IP

创建 Anycast 负载均衡实例

最近更新时间:2024-01-04 17:08:08

Anycast CLB 是支持多地动态加速的负载均衡服务,Anycast CLB 的 VIP 会发布在多个地域,客户端接入最近的 POP 接入点,通过腾讯云数据中心高速互联网转发到云服务器上。 Anycast CLB 能实现网络传输的质量优化和多入口就近接入,减少网络传输的抖动、丢包,最终提升云上应用的服务质量,扩大服务范围,精简后端部署。
说明:
此功能处于内测阶段,如需使用,请提交 工单申请

Anycast CLB 架构

Anycast CLB 的 VIP 会发布在多个地域,客户端接入最近的 POP 接入点,通过腾讯云内网将访问流量极速转发至云服务器。Anycast CLB 支持的地域请参见 Anycast 支持地域




限制说明

Anycast CLB 由内网负载均衡绑定 Anycast EIP 来提供 Anycast 能力,限制说明请参见 内网 CLB 绑定 EIP 限制说明

前提条件

本功能内测中,操作前请确保您的 工单申请 已通过。

操作指南

1. 登录 公网 IP 控制台,在“公网 IP”页面左上角选择地域,单击申请
2. 在弹出的“申请 EIP”对话框中,IP 地址类型选择加速 IP,设置带宽上限,勾选“同意《腾讯云 EIP 服务协议》、《欠费规则》”后,单击确定
3. 登录 负载均衡控制台,在“实例管理”页面左上角选择地域,在实例列表选择目标内网负载均衡实例,选择操作列下的更多 > 绑定弹性公网 IP
4. 在弹出的“绑定弹性公网 IP”对话框,选择刚才创建的加速 IP,单击提交

5. 内网负载均衡绑定 Anycast 加速 IP 后,该负载均衡即可提供 Anycast 负载均衡服务。更多负载均衡配置请参见 负载均衡监听器概述


相关文档

Anycast 公网加速
内网负载均衡实例绑定 EIP

配置负载均衡的转发域名

最近更新时间:2024-04-02 09:41:23

当客户端发起请求时,负载均衡会根据配置的监听器转发规则将请求转发至后端服务器。监听器转发规则中的域名是您的后端服务所使用的域名,本文介绍如何配置域名。

操作步骤

步骤一:注册域名

域名注册是在互联网上建立服务的基础。
如果您已经在其他注册商拥有了自己的域名,您可以将域名转入腾讯云域名服务,详情请参见 域名转入腾讯云
如果您还没有域名,您需要进行域名注册,详情请参见 域名注册

步骤二:添加域名解析

1. 登录 DNSPod 管理控制台
2. 在 “My Domains” 中,选择需要进行 CNAME 记录转发的域名,单击“域名”,进入该域名的 Record Management 页。如下图所示:

3. 单击 Add Records,填写以下记录信息。如下图所示:

Host:填写子域名。例如,添加 www.dnspod.com 的解析,您在 “主机记录” 处选择 “www” 即可。如果只是想添加 dnspod.com 的解析,您在 “主机记录” 处选择 “@” 即可。“@” 的 CNAME 会影响到 MX 记录的正常解析,添加时请您慎重考虑。
Type:选择 “CNAME”。
Split Zone:选择 “默认” 类型,否则会导致部分用户无法解析。 例如,您需要将联通用户指向 2.com,所有非联通用户都指向 1.com。您可以通过添加线路类型为默认、记录值为1.com 和线路类型为联通、记录值为 2.com 的两条 CNAME 记录来实现。
Value:CNAME 指向的域名,只可以填写域名。
Weight:同一条主机记录相同的线路,可以针对不同的记录值设置权重,解析时将根据设置的权重比例进行返回。输入范围 为0~100的整数。
MX:不需要填写。
TTL:为缓存时间,数值越小,修改记录各地生效时间越快,默认为600秒。
4. 单击Confirm,完成添加。

步骤三:验证解析结果

说明:
解析大概需要十分钟左右生效。
以上操作完成后,您可在浏览器中输入添加域名解析后的 CNAME 域名(如本例中的www.example.com ),测试域名是否解析正常。

配置负载均衡安全组

最近更新时间:2024-09-02 14:53:58

创建负载均衡(CLB)后,您可以配置 CLB 的安全组来隔离公网流量。本文将介绍如何配置不同模式的 CLB 安全组。

使用限制

每个 CLB 最多绑定5个安全组,如需提升配额请前往 配额管理,提交配额申请。
CLB 的单个安全组,包含出规则、入规则、后端参数模版(ipm/ipmg/ppm/ppmg)完全展开,最多为 512 条。
跨地域绑定2.0和混合云部署,不支持安全组默认放通,请在后端服务器上放通 Client IP 和服务端口。
内网 CLB 绑定 EIP 后,新增 CLB 上的安全组对来自 EIP 与内网 CLB 的流量生效。存量 CLB 上的安全组对来自 EIP 的流量不生效,对来自内网 CLB 的流量生效。如存量实例需对来自 EIP 的流量生效,请提交 工单申请
传统型内网负载均衡和基础网络的内网负载均衡不支持绑定安全组。
传统型内网负载均衡和基础网络的负载均衡不支持安全组默认放通功能。
黑石 2.0 服务器不支持安全组默认放通。

背景信息

安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,控制实例级别的出入流量,详情请参见 安全组概述
CLB 安全组为绑定在 CLB 实例上的安全组,CVM 安全组为绑定在 CVM 上的安全组,二者限制的对象不同。CLB的安全组配置,主要有如下两种模式:
开启安全组默认放通
关闭安全组默认放通
说明:
默认情况下,IPv4 CLB、NAT64安全组默认放通为关闭状态,可在控制台开启 / 关闭。
默认情况下,IPv6 CLB 安全组默认放通为开启状态,且无法关闭。

开启安全组默认放通


开启安全组默认放通后:
如果您希望指定固定 Client IP 访问,CLB 安全组需放通 Client IP 和监听端口,后端 CVM 的安全组不必再放通 Client IP 和服务端口。来自 CLB 的访问流量仅需通过 CLB 的安全组,后端云服务器会默认放通来自 CLB 的流量,后端云服务器不必对外暴露端口。
来自公网 IP(包括普通公网 IP 和 EIP)的流量,依然要经过 CVM 的安全组。
若 CLB 实例不配置安全组,则放通所有流量:CLB 实例的 VIP 上,仅配置了监听器的端口才能被访问,因此监听端口将放通所有 IP 的流量。
若需拒绝某个 Client IP 的流量,必须在 CLB 的安全组中拒绝访问;在 CVM 的安全组中拒绝某个 IP 的访问将不对来自 CLB 的流量生效,只对来自公网 IP(包括普通公网 IP 和 EIP)的流量生效。

关闭安全组默认放通


关闭安全组默认放通后:
如果您希望指定固定 Client IP 访问,CLB 安全组需放通 Client IP 和监听端口,后端 CVM 的安全组也需放通 Client IP 和服务端口。即通过 CLB 的业务流量会经过 CLB 安全组和 CVM 安全组的双重检查。
来自公网 IP(包括普通公网 IP 和 EIP)的流量,依然要经过CVM的安全组。
若 CLB 实例不配置安全组,则仅放通经过 CVM 安全组的流量。
若需拒绝某个 Client IP 的流量,可以在 CLB 和 CVM 其中任何一个的安全组中拒绝访问。
关闭安全组默认放通的情况下,为保障健康检查功能,在 CVM 的安全组上需做如下配置:
1. 配置公网负载均衡
您需要在后端 CVM 的安全组上放通 CLB 的 VIP,CLB 使用 VIP 来探测后端 CVM 的健康状态。
2. 配置内网负载均衡
对于内网负载均衡(原“应用型内网负载均衡”),如果您的 CLB 属于 VPC 网络,您需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);如果您的 CLB 属于基础网络,无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。
对于传统型内网负载均衡,如果实例创建于2016年12月5日前且网络类型为 VPC 网络,则需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);其他类型的传统型内网 CLB,无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。

操作步骤

如下公网 CLB 的安全组配置示例,预实现 CLB 上仅允许业务流量从80端口进入,并由 CVM 的8080端口提供服务,且不限制 Client IP,支持任意 IP 的访问。
注意:
本例使用公网 CLB,需要在后端 CVM 的安全组上放通 CLB 的 VIP 来做健康检查,当前 0.0.0.0/0 为任意 IP,已包括 CLB 的 VIP。

步骤一:创建负载均衡和监听器,绑定云服务器

详情请参见 负载均衡快速入门 。本次创建 HTTP:80 监听器,并绑定后端 CVM,后端 CVM 的服务端口为 8080。


步骤二:配置 CLB 安全组

1. 配置负载均衡安全组规则
安全组控制台 上配置安全组规则,在入站规则中放通所有 IP(即为0.0.0.0/0)的80端口,并拒绝其他端口的流量。
说明:
安全组规则,是从上至下依次筛选生效的,之前设置的允许规则通过后,其他的规则默认会被拒绝,请注意配置顺序,详见 安全组规则说明
安全组有入站规则和出站规则,上述配置限制的是入站流量,因此配置均为入站规则的配置,出站规则无需特殊配置。

2. 将安全组绑定 CLB
2.1 登录 负载均衡控制台
2.2 在“实例管理”页面找到目标 CLB 实例,单击实例 ID。
2.3 在实例详情页面单击安全组页签,在“已绑定安全组”模块单击绑定
2.4 在弹出的“配置安全组”窗口中,选择对应绑定到 CLB 上的安全组,单击确定

CLB 安全组配置完成,对于访问 CLB 的流量,仅允许80端口的访问。

步骤三:配置安全组默认放通

您可以选择开启或关闭安全组默认放通,不同选择配置如下:
方式一:开启安全组默认放通,后端云服务器不必对外暴露端口。
说明:
传统型内网负载均衡和基础网络的负载均衡不支持安全组默认放通功能。
方式二:关闭安全组默认放通,CVM 的安全组上也需放通 Client IP(本例中即为0.0.0.0/0)。

方式一:开启安全组默认放通

1. 登录 负载均衡控制台
2. 在“实例管理”页面找到目标 CLB 实例,单击实例 ID。
3. 在实例详情页面,单击安全组页签。
4. 在“安全组”页面,单击

,启用默认放通。
5. 启用默认放通功能后,将仅验证规则预览中的安全组规则。

方式二:关闭安全组默认放通

关闭默认放通,则需在 CVM 的安全组上也放通 Client IP。对于通过 CLB 访问 CVM 的业务流量,仅允许从 CLB 的 80 端口进入,并由 CVM 的 8080 端口提供服务。
说明:
允许放通某个 Client IP 的流量,需要在 CLB 和 CVM 两个安全组上都放通,如果 CLB 上没有配置安全组,则仅需放通 CVM 上的安全组。
1. 配置云服务器安全组规则 对于访问后端 CVM 的流量,通过配置云服务器安全组,限制仅允许服务端口的访问。
安全组控制台 上配置安全组策略,在入站规则中放通所有 IP 的 8080 端口,为保障远程登录主机和 Ping 服务,在安全组上须放通 22、3389 和 ICMP 服务。
2. 将安全组绑定 CVM
2.1 云服务器控制台上,单击 CLB 绑定的 CVM 的 ID,进入详情页。
2.2 选择安全组标签页,在“已绑定安全组”模块单击绑定
2.3 在弹出的“配置安全组”窗口中,选择对应绑定到 CVM 上的安全组,单击确定

内网负载均衡实例绑定 EIP

最近更新时间:2024-08-30 10:45:11

内网负载均衡用于分发来自腾讯云内网的请求,没有公网 IP 且不能与公网互通。若您需要使用内网负载均衡并与公网互通,则可选择内网负载均衡绑定弹性公网 IP,通过弹性公网 IP 访问公网。
说明:
内网 CLB 绑定弹性公网 IP 功能处于内测阶段,如需使用,请提交工单

使用限制

地域限制
济南、福州、石家庄、武汉、长沙地域没有内网 CLB,因此不支持此功能。
产品属性限制
仅标准账户类型支持,传统账户类型不支持。
仅负载均衡实例类型支持,传统型负载均衡不支持。
仅 VPC 的内网 CLB 支持,基础网络的内网 CLB 不支持。
功能限制
目前内网 CLB 不支持端口段。
内网 CLB 仅能绑定同地域且未被其他资源绑定的 EIP。
每个内网 CLB 仅能与一个 EIP 互相绑定。
内网 CLB 绑定 EIP 后,功能类似于公网 CLB,但公网 CLB 无法拆分为内网 CLB 和 EIP。
安全组限制
内网 CLB 绑定 EIP 后,新增 CLB 上的安全组对来自 EIP 与内网 CLB 的流量生效。存量 CLB 上的安全组对来自 EIP 的流量不生效,对来自内网 CLB 的流量生效。如存量实例需对来自 EIP 的流量生效,请提交 工单申请
内网 CLB 绑定 EIP 并开启安全组默认放通后,来自 CLB 的流量只需通过 CLB 上安全组的校验,CVM 的安全组对来自本 CLB 的流量默认放通。

操作步骤

相关文档

绑定弹性公网 IP API 文档
购买方式
产品属性选择

启停负载均衡实例

最近更新时间:2024-01-04 17:08:08

您可以启动或停止实例。停止实例后,不再接收和转发流量,不再进行健康检查,并且禁 Ping。
说明:
此功能处于内测中,如需使用,请提交 工单申请

应用场景

当您配置了大量 CLB 实例时,某些实例出于业务考虑暂时无需使用,但又不能删除时,可以选择停止实例。
停止实例后,所有监听器也会停止,实例不再接收和转发流量。
启动实例后,所有监听器也会启动,实例正常接收和转发流量。
停止监听器后,监听器不再接收和转发流量。停止全部监听器以后,整个实例会停止。
启动监听器后,监听器正常接收和转发流量。启动全部监听器以后,整个实例会启动。
停止实例后,若启动任意监听器,实例会转为启动状态,其他监听器仍然保持停止状态,实例和已开启的监听器可正常接收和转发流量。

限制说明

传统型负载均衡类型不支持。
仅 VPC 网络支持,基础网络不支持。
TLS 1.3及以下协议版本不支持。

前提条件

您已 创建负载均衡实例
您已 创建监听器

操作步骤

1. 登录 负载均衡控制台
2. 实例管理页面左上角选择地域,在实例列表找到目标实例,单击右侧操作栏下的更多 > 启动更多 > 停止
3. (可选)在监听器管理页签,找到目标监听器,单击启动监听器停止监听器

克隆负载均衡实例

最近更新时间:2024-01-04 17:08:08

负载均衡提供了克隆实例功能,您可以一键快速复制已有实例的配置,包括 CLB 的实例属性、监听器、安全组和日志等配置。
说明:
目前克隆实例功能处于内测中,如需使用,请提交 内测申请

限制说明

实例属性维度限制
仅支持克隆按量计费实例,不支持包年包月实例。
不支持克隆未关联实例计费项的 CLB。
不支持克隆传统型负载均衡实例和高防 CLB。
不支持克隆基础网络类型的实例。
不支持克隆 IPv6、IPv6 NAT64 版本以及混绑的实例。
个性化配置、重定向配置、安全组默认放通开关的配置将不会被克隆,需重新配置。
执行克隆操作前,请确保实例上没有使用已过期证书,否则会导致克隆失败。
监听器维度限制
不支持克隆监听器为 QUIC 类型和端口段的实例。
不支持监听器为 TCP_SSL 的内网型负载均衡的实例。
不支持克隆七层监听器没有转发规则的实例。
当实例的监听器个数超过50个时,不支持克隆。
后端服务维度限制
不支持克隆绑定的后端服务类型为目标组和 SCF 云函数的实例。

通过控制台克隆实例

1. 登录 负载均衡控制台,单击左侧导航栏的实例管理
2. 在“实例管理”页面左上角选择地域,在实例列表中找到待克隆的实例,单击右侧操作列的更多 > 克隆
3. 在弹出的克隆负载均衡对话框中,填入克隆实例的名称,单击确定

通过 API 克隆实例

请参见 API 接口 克隆负载均衡实例

导出负载均衡实例

最近更新时间:2024-01-04 17:08:08

您可以在控制台中导出某地域的负载均衡实例列表,并且可以自定义导出的字段,以便分析实例资源配置和使用情况。

操作步骤

1. 登录 负载均衡控制台,在实例管理页面左上角选择所在地域。
2. 在实例列表中,勾选目标实例,并在右上角单击

图标。
3. 在弹出的导出实例对话框中,可选择导出字段和导出范围,单击确认将实例列表下载至本地。


参数
说明
导出字段
可导出的字段包括:
实例字段
规则字段
其中,规则字段中的“RS 健康状态”仅在导出范围为“仅选中实例”、并且勾选了规则字段时才为可见状态,否则不可见。
导出范围
导出范围包括:
全部实例
仅搜索结果
仅选中实例
其中,未勾选任何实例时,“仅选中实例”为置灰状态不可选。


升级为性能容量型实例

最近更新时间:2024-01-04 17:08:07

负载均衡的实例规格支持共享型实例和性能容量型实例。默认情况下所有实例均为共享型实例,共享型实例可升级为性能容量型实例。

升级优势

共享型 CLB 实例提供并发连接数5万、每秒新建连接数5000、每秒查询数(QPS)5000 的保障能力。
升级为性能容量型实例后,单实例最大可支持并发连接数1000万、每秒新建连接数100万、每秒查询数(QPS)30万。

升级影响

限速相关
升级时,内网性能容量型实例默认为对应规格的带宽上限,升级后可在控制台调整规格;公网性能容量型实例的默认带宽与升级前一致,升级后可在控制台调整带宽。
升级后,将按照实例规格限速,超过实例规格上限后将会出现限速和丢包现象。性能容量型的限速指标可参考以下监控指标,详情请参见 监控指标说明
ClientConcurConn(客户端到 LB 的并发连接数)
ClientNewConn(客户端到 LB 的新建连接数)
TotalReq(每秒请求数)
ClientOuttraffic(客户端到 LB 的出带宽)
ClientIntraffic(客户端到 LB 的入带宽)
升级后,实际消耗性能如未超出实例性能限速值,将不会对存量连接造成影响。
计费相关
升级前后的计费模式不变。
升级后,将根据实际消耗性能,按小时收取性能容量单位 LCU 费用,详情请参见 性能容量单位 LCU 计费说明
网络连接相关
升级过程中网络不会中断,升级时间在1分钟以内。
回退相关
升级后,不支持回退为共享型实例。

升级限制

支持批量升级多个按量计费的共享型实例。
传统型负载均衡实例不支持升级为性能容量型实例。

升级方式

1. 登录 负载均衡控制台,单击左侧导航栏的实例管理
2. 在负载均衡的实例列表中,勾选需升级的目标共享型实例,单击实例列表上方的更多操作 > 升级为性能容量型

3. 在弹出的“实例升级”对话框中,单击确定

相关文档

性能容量单位 LCU 计费说明

调整性能容量型实例规格

最近更新时间:2024-01-04 17:08:08

负载均衡性能容量型实例支持调整规格,具体规格详情请参见 实例规格对比
说明:
若所选规格低于现有规格,降配调整后的规格存在不能很好地满足业务需求的风险 ,预估会有限速丢包对业务产生影响,请评估后谨慎操作。
按量计费的性能容量型实例调整规格,所选规格为最高限速规格,LCU 单价不变。

操作步骤

1. 登录 负载均衡控制台,单击左侧导航栏的实例管理
2. 在“实例管理”页面左上角选择地域,在实例列表中找到待调整规格的性能容量型实例,单击右侧操作列的更多 > 调整规格

或单击目标性能容量型实例进入基本信息页 > 计费信息 > 实例规格 > 调整规格

3. 在弹出的调整规格对话框中,选择规格型号,单击确认



删除负载均衡实例

最近更新时间:2024-01-04 17:08:07

当您确认负载均衡实例已无流量,不需要继续使用后,您可以通过负载均衡控制台或者 API 将实例删除。 实例删除后将彻底销毁,无法恢复。我们强烈建议您在删除实例之前,先解绑所有后端服务器并观察一段时间后,再进行删除操作。

通过控制台删除负载均衡实例

1. 登录 负载均衡控制台
2. 找到您想删除的负载均衡实例,单击最右侧操作栏下的更多 > 删除

3. 弹出最终确认对话框,确认操作安全提示正常后,单击确认即可删除。 最终确认对话框如下图所示,我们建议您确认绑定规则数为 “0”、绑定的后端服务器为 “无”、操作安全提示为 “绿色” 后,再进行删除操作。


通过 API 删除负载均衡实例

详细步骤请参见 删除负载均衡

释放闲置实例

最近更新时间:2024-01-04 17:08:07

闲置实例是指创建时间超过7天,且未创建监听器或未绑定后端服务器的按量计费实例。为了减少不必要扣费,请及时释放闲置实例,有助于您更好地管理成本。

限制说明

负载均衡支持批量释放同一地域下的闲置实例,不支持批量释放多个地域下的闲置实例。

操作步骤

注意:
由于闲置实例数据存在一天缓存期,请您确保需要释放的实例处于未使用状态,以防误释放实例。
1. 登录 负载均衡控制台,在左侧导航栏单击闲置实例
2. 在闲置实例页面左上角选择地域,在闲置实例列表中找到需释放的闲置实例,在右侧“操作”列单击删除
3. (可选)在闲置实例列表左侧勾选全部实例,单击页面上方的删除
4. 在弹出的对话框中确认实例信息,单击确定



配置实例删除保护

最近更新时间:2023-11-30 11:15:22

开启删除保护功能后,可以防止误删除导致实例被释放。

限制说明

若 CLB 实例欠费停服,则即使开启删除保护功能也会被动释放。

操作步骤

1. 登录 负载均衡控制台,在“实例管理”页面左上角选择所在地域。
2. 在实例列表中,单击目标实例 ID。
3. 在实例基本信息页面,单击开启删除保护

4. 在弹出的“打开删除保护”对话框中,单击确认
说明:
实例开启删除保护功能后,在控制台或调用 API 都无法删除该实例。若想删除实例,则需在实例基本信息页面单击关闭删除保护后才可删除。

相关文档

删除负载均衡实例

调整实例公网配置

最近更新时间:2024-01-04 16:22:54

公网类型的负载均衡可按需调整公网网络的带宽或计费模式,实时生效。

限制说明

IPv4 版本的负载均衡:仅标准账户类型支持调整网络配置,传统账户类型不支持。
IPv6 版本的负载均衡:标准账户类型和传统账户类型都支持调整网络配置。
若您无法确定账户类型,请参见 判断账户类型

带宽上限

实例计费模式
网络计费模式
带宽上限的可设置范围(Mbps)
按量计费
按带宽计费(小时带宽)
0 - 2048(含2048)
按流量计费
共享带宽包
说明:
如需更高上限请提交 工单申请 或联系您的商务经理。

调整带宽

1. 登录 负载均衡控制台
2. 在“实例管理”页面,选择所在地域,找到目标公网负载均衡实例,并在右侧“操作”栏下选择更多 > 调整带宽
3. 在弹出的“调整带宽”对话框中,设置目标带宽上限值,并单击提交

调整计费模式

1. 登录 负载均衡控制台
2. 在“实例管理”页面,选择所在地域,找到目标公网负载均衡实例,并在右侧“操作”栏下单击更多,然后选择调整网络计费模式,调整说明如下:
实例计费模式
网络计费模式
调整网络计费模式
按量计费
按带宽计费(小时带宽)
支持加入共享带宽包:实例计费不变,网络计费转为共享带宽包计费。每个 CLB 实例仅允许转换1次。
按流量计费
支持转为包年包月:实例计费转为包年包月,网络计费转为按带宽计费(包月带宽)。每个 CLB 实例仅允许转换1次。
支持加入共享带宽包:实例计费不变,网络计费转为共享带宽包计费。不限制转换次数。
共享带宽包
支持退出共享带宽包:实例计费不变,网络计费转为按流量计费。不限制转换次数。
3. 在弹出的对话框中,单击提交

负载均衡监听器

负载均衡监听器概述

最近更新时间:2024-01-04 17:32:00

创建负载均衡实例后,您需要为实例配置监听器。监听器负责监听负载均衡实例上的请求,并依据均衡策略将流量分发至后端服务器上。
负载均衡监听器需配置:
1. 监听协议和监听端口。负载均衡的监听端口,亦被称为前端端口,用来接收请求并向后端服务器转发请求的端口。
2. 监听策略,如均衡策略、会话保持 等。
3. 健康检查 策略。
4. 绑定后端服务。需选择后端服务器的 IP 和端口,服务端口亦被称为后端端口,后端服务用来接收请求的端口。

支持的协议类型

负载均衡监听器可以监听负载均衡实例上的四层和七层请求,并将这些请求分发到后端服务器上,而后由后端服务器处理请求。四层和七层负载均衡的区别主要体现在:对用户请求进行负载均衡时,是依据四层协议还是七层协议来进行转发流量,例如:对 TCP、UDP 等四层协议请求进行四层负载均衡,对 HTTP、HTTPS 等七层协议请求进行七层负载均衡。
四层协议:传输层协议,主要通过 VIP + Port 接受请求并分配流量到后端服务器。
七层协议:应用层协议,基于 URL、HTTP 头部等应用层信息进行流量分发。
如果您使用四层监听器(即使用四层协议转发),负载均衡实例会在监听端口上建立与后端实例的连接,直接将请求转发到后端服务器,此过程中不修改任何数据包(透传模式),转发效率极高。
腾讯云负载均衡支持以下协议的请求转发:
TCP(传输层)
UDP(传输层)
TCP SSL(传输层)
QUIC(传输层)
HTTP(应用层)
HTTPS(应用层)
说明:
传统型内网负载均衡实例不支持配置 TCP SSL 监听器。
协议分类
协议
说明
应用场景
四层协议
TCP
面向连接的、可靠的传输层协议
传输的源端和终端需先三次握手建立连接,再传输数据
支持基于客户端 IP(源 IP)的会话保持
在网络层可以看到客户端 IP
服务端可直接获取客户端 IP
适用于对可靠性和数据准确性要求高、对传输速度要求较低的场景,如文件传输、收发邮件、远程登录等。详情请参见 配置 TCP 监听器
UDP
无连接的传输层协议
传输的源端和终端不建立连接,不需维护连接状态
每一条 UDP 连接都只能是点到点的
支持一对一,一对多,多对一和多对多的交互通信
支持基于客户端 IP(源 IP)的会话保持
服务端可直接获取客户端 IP
适用于对传输效率要求高、对准确性要求相对较低的场景,如即时通讯、在线视频等。详情请参见 配置 UDP 监听器
TCP SSL
安全的 TCP
TCP SSL 监听器支持配置证书,阻止未经授权的访问
统一的证书管理服务,CLB 完成解密操作
支持单项认证和双向认证
服务端可直接获取客户端 IP
适用于 TCP 协议下对安全性要求非常高的场景,支持基于 TCP 的自定义协议。详情请参见 配置 TCP SSL 监听器
QUIC
基于 UDP 的多路并发传输的协议。
在 UDP 上实现了数据的可靠传输、安全和 HTTP2,等效于 TCP + TLS + HTTP2。
在 QIUC 连接中,无论 IP 或端口发生什么变化,连接不会中断或者重连,可实现无缝连接迁移。
适用于音视频业务、游戏业务等在网络发生变化时,例如 4G 网络与 Wi-Fi 网络频繁切换,能够平滑迁移连接无中断的场景。详情请参见 配置 QUIC 监听器
七层协议
HTTP
应用层协议
支持基于请求域名和 URL 的转发
支持基于 Cookie 的会话保持
需要对请求的内容进行识别的应用,例如 Web 应用、App 服务等。详情请参见 配置 HTTP 监听器
HTTPS
加密的应用层协议
支持基于请求域名和 URL 的转发
支持基于 Cookie 的会话保持
统一的证书管理服务,CLB 完成解密操作
支持单向认证和双向认证
需加密传输的 HTTP 应用。详情请参见 配置 HTTPS 监听器

端口配置

端口类型
说明
限制
监听端口(前端端口)
监听端口是负载均衡接收请求并向后端服务器转发请求的端口。您可以为1 - 65535端口配置负载均衡,包括21(FTP)、25(SMTP)、80(HTTP)、443(HTTPS)等。
在同一个负载均衡实例内:
UDP 类协议可以和 TCP 类协议的监听端口重复。例如,可以同时创建监听器 TCP:80 和监听器 UDP:80。
同一类协议下监听端口不可重复,TCP/TCP SSL/HTTP/HTTPS 同属于 TCP 类。例如,不可以同时创建监听器 TCP:80 和监听器 HTTP:80。
服务端口(后端端口)
服务端口是后端服务器提供服务的端口,接收并处理来自负载均衡的流量。在一个负载均衡实例中,同一个负载均衡监听端口可以将流量转发到多个后端服务器的多个端口上。
在同一个负载均衡实例内:
不同监听协议的服务端口可以重复。例如,监听器 HTTP:80 和监听器 HTTPS:443 可以同时绑定同一台后端服务器的同一个端口。
同一种监听协议下,同一个后端服务端口只能被一个监听器绑定,即四元组(VIP、监听协议、后端服务内网 IP、后端服务端口)需要唯一。

相关文档

使用约束

配置 TCP 监听器

最近更新时间:2024-01-04 17:32:00

您可以在负载均衡实例上添加一个 TCP 监听器转发来自客户端的 TCP 协议请求。TCP 协议适用于对可靠性和数据准确性要求高、对传输速度要求较低的场景,如文件传输、收发邮件、远程登录等。TCP 监听器绑定的后端服务器可直接获取客户端的真实 IP。

前提条件

您需要 创建负载均衡实例

操作步骤

步骤一:配置监听器

1. 登录 负载均衡控制台,在左侧导航栏单击实例管理
2. 在 CLB 实例列表页面左上角选择地域,在实例列表右侧的操作列中单击配置监听器


3. 在 TCP/UDP/TCP SSL/QUIC 监听器下,单击新建,在弹出的“创建监听器”对话框中配置 TCP 监听器。
3.1 基本配置
监听器基本配置
说明
示例
名称
监听器的名称。
test-tcp-80    
监听协议端口
监听协议:本示例选择 TCP。
监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535。
同一个负载均衡实例内,监听端口不可重复。
TCP:80
均衡方式
TCP 监听器中,负载均衡支持加权轮询(WRR)和加权最小连接数(WLC)两种调度算法
加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。
加权最小连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
说明:选取加权最小连接数的均衡方式后,监听器不支持开启会话保持功能。
加权轮询
双向 RST
勾选后,对应操作会向两端(客户端和服务器)发送 RST 报文来关闭连接;若不勾选,则不发送双向 RST,长连接仍然存在直至超时。
勾选
3.2 健康检查
健康检查详情请参见 TCP 健康检查
3.3 会话保持
会话保持配置
说明
示例
会话保持开关
开启会话保持后,负载均衡监听会把来自同一客户端的访问请求分发到同一台后端服务器上。
TCP 协议是基于客户端 IP 地址的会话保持,即来自同一 IP 地址的访问请求转发到同一台后端服务器上。
加权轮询调度支持会话保持,加权最小连接数调度不支持开启会话保持功能。
开启
会话保持时间
会话保持时间
当超过保持时间,连接内无新的请求,将会自动断开会话保持。
可配置范围30 - 3600秒。
30s

步骤二:绑定后端服务器

1. 在“监听器管理”页面,单击刚才创建的监听器,如上述 TCP:80 监听器,即可在监听器右侧查看已绑定的后端服务。
2. 单击绑定,在弹出框中选择需绑定的后端服务器,并配置服务端口和权重。
说明
默认端口功能:先填写“默认端口”,再选择后端服务器后,每台后端服务器的端口均为默认端口。

步骤三:安全组(可选)

您可以配置负载均衡的安全组来进行公网流量的隔离,详情请参见 配置负载均衡安全组

步骤四:修改/删除监听器(可选)

如果您需要修改或删除已创建的监听器,请在“监听器管理”页面,单击已创建完毕的监听器,单击

图标修改或

图标删除。

配置 UDP 监听器

最近更新时间:2024-01-04 17:32:00

您可以在负载均衡实例上添加一个 UDP 监听器转发来自客户端的 UDP 协议请求。UDP 协议适用于对传输效率要求高、对准确性要求相对较低的场景,如即时通讯、在线视频等。UDP 协议的监听器,后端服务器可直接获取客户端的真实 IP。

限制说明

UDP 监听器的4789端口为系统保留端口,暂不对外开放。

前提条件

您需要 创建负载均衡实例

操作步骤

步骤一:配置监听器

1. 登录 负载均衡控制台,在左侧导航栏单击实例管理
2. 在 CLB 实例列表页面左上角选择地域,在实例列表右侧的操作列中单击配置监听器

3. 在 TCP/UDP/TCP SSL/QUIC 监听器下,单击新建,在弹出的创建监听器对话框中配置 UDP 监听器。
3.1 基本配置
监听器基本配置
说明
示例
名称
监听器的名称。
test-udp-8000      
监听协议端口
监听协议:本示例选择 UDP。
监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535,其中4789端口为系统保留端口,暂不对外开放。
同一个负载均衡实例内,监听端口不可重复。
UDP:8000
均衡方式
UDP 监听器中,负载均衡支持加权轮询(WRR)和加权最小连接数(WLC)两种调度算法。
加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。
加权最小连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
说明:选取加权最小连接数的均衡方式后,监听器不支持开启会话保持功能。
加权轮询
按 QUIC ID 调度
启用后,CLB 将按 QUIC ID 来调度,相同的 QUIC Connection ID 会调度到相同的后端服务器。如果客户端请求没有包含 QUIC Connection ID,则降级到普通加权轮询,即按四元组(源 IP+目的 IP+源端口+目的端口)进行调度。
开启
3.2 健康检查
健康检查详情请参见 UDP 健康检查
3.3 会话保持
会话保持配置
说明
示例
会话保持开关
开启会话保持后,负载均衡监听会把来自同一客户端的访问请求分发到同一台后端服务器上。
UDP 协议是基于客户端 IP 地址的会话保持,即来自同一 IP 地址的访问请求转发到同一台后端服务器上。
加权轮询调度支持会话保持,加权最小连接数调度不支持开启会话保持功能。
开启
会话保持时间
会话保持时间
当超过保持时间,连接内无新的请求,将会自动断开会话保持。
可配置范围30 - 3600秒。
30s

步骤二:绑定后端服务器

1. 监听器管理页面,单击刚才创建的监听器,如上述 UDP:8000 监听器,即可在监听器右侧查看已绑定的后端服务。
2. 单击绑定,在弹出框中选择需绑定的后端服务器,并配置服务端口和权重。
说明:
默认端口功能:先填写“默认端口”,再选择后端服务器后,每台后端服务器的端口均为默认端口。

步骤三:安全组(可选)

您可以配置负载均衡的安全组来进行公网流量的隔离,详情请参见 配置负载均衡安全组

步骤四:修改/删除监听器(可选)

如果您需要修改或删除已创建的监听器,请在“监听器管理”页面,单击已创建完毕的监听器,单击

图标修改或

图标删除。

配置 TCP SSL 监听器

最近更新时间:2024-01-04 17:32:00

您可以在负载均衡实例上添加一个 TCP SSL 监听器转发来自客户端加密的 TCP 协议请求。TCP SSL 协议适用于需要超高性能、大规模 TLS 卸载的场景。TCP SSL 协议的监听器,后端服务器可直接获取客户端的真实 IP。
说明:
TCP SSL 监听器目前仅支持负载均衡实例类型,不支持传统型负载均衡。

应用场景

TCP SSL适用于 TCP 协议下对安全性要求非常高的场景:
TCP SSL 监听器支持配置证书,阻止未经授权的访问。
支持统一的证书管理服务,由 CLB 完成解密操作。
支持单项认证和双向认证。
服务端可直接获取客户端 IP。

前提条件

您需要 创建负载均衡实例

操作步骤

步骤一:配置监听器

1. 登录 负载均衡控制台,在左侧导航栏单击实例管理
2. 在 CLB 实例列表页面左上角选择地域,在实例列表右侧的操作列中单击配置监听器
3. 在 TCP/UDP/TCP SSL/QUIC 监听器下,单击新建,在弹出的创建监听器对话框中配置 TCP SSL 监听器。
3.1 基本配置
监听器基本配置
说明
示例
名称
监听器的名称。
test-tcpssl-9000    
监听协议端口
监听协议:本示例选择 TCP SSL。
监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535。
同一个负载均衡实例内,监听端口不可重复。
TCP SSL:9000
SSL 解析方式
支持单向认证和双向认证。
单向认证
服务器证书
可以选择 SSL 证书平台 中已有的证书,或新建证书。
选择已有证书
均衡方式
TCP SSL 监听器中,负载均衡支持加权轮询(WRR)和加权最小连接数(WLC)两种调度算法
加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。
加权最小连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
加权轮询
3.2 健康检查
健康检查详情请参见 TCP SSL 健康检查
3.3 会话保持(暂不支持)
TCP SSL 监听器暂不支持会话保持。

步骤二:绑定后端服务器

1. 监听器管理页面,单击刚才创建的监听器,如上述 TCP SSL:9000 监听器,即可在监听器右侧查看已绑定的后端服务。
2. 单击绑定,在弹出框中选择需绑定的后端服务器,并配置服务端口和权重。
说明:
默认端口功能:先填写“默认端口”,再选择后端服务器后,每台后端服务器的端口均为默认端口。

步骤三:安全组(可选)

您可以配置负载均衡的安全组来进行公网流量的隔离,详情请参见 配置负载均衡安全组

步骤四:修改/删除监听器(可选)

如果您需要修改或删除已创建的监听器,请在“监听器管理”页面,单击已创建完毕的监听器,单击

图标修改或

图标删除。

配置 QUIC 监听器

最近更新时间:2024-01-04 17:32:00

您可以在负载均衡实例上添加一个 QUIC 监听器,转发来自客户端加密的 QUIC 协议请求。QUIC 协议的监听器,后端服务器可直接获取客户端的真实 IP。

QUIC(Quick UDP Internet Connection),又称为快速 UDP 互联网连接,是由 Google 提出的使用 UDP 进行多路并发传输的协议,QUIC 相比现在广泛应用的 TCP+TLS+HTTP2 协议有如下优势:
减少连接建立时间。
改善拥塞控制。
避免队头阻塞的多路复用。
连接迁移。


使用场景

QUIC 监听器支持连接迁移,当您的网络发生变化时,例如 4G 网络与 Wi-Fi 网络频繁切换,能够平滑迁移连接无中断,适用于音视频业务、游戏业务等。


限制说明

仅负载均衡实例支持 QUIC 监听器,传统型负载均衡不支持。
仅 VPC 网络类型的负载均衡实例支持 QUIC 监听器,基础网络类型不支持。
仅 IPv4、IPv6 NAT64 版本的负载均衡实例支持 QUIC 监听器,IPv6 版本不支持。


前提条件

您需要 创建负载均衡实例


操作步骤

步骤一:配置监听器

1. 登录 负载均衡控制台,在左侧导航栏单击实例管理
2. 在 CLB 实例列表页面左上角选择地域,在实例列表右侧的操作列中单击配置监听器
3. 在 TCP/UDP/TCP SSL/QUIC 监听器下,单击新建,在弹出的创建监听器对话框中配置 QUIC 监听器。
3.1 基本配置
监听器基本配置
说明
示例
名称
监听器的名称。
test-quic-443
监听协议端口
监听协议:本示例选择 QUIC。选择 QUIC 后,CLB可 接收客户端发起的 QUIC 请求,CLB 和后端服务器之间仍然使用 TCP 协议。
监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535。
同一个负载均衡实例内,监听端口不可重复。
QUIC:443
SSL 解析方式
支持单向认证和双向认证。
单向认证
服务器证书
可以选择 SSL 证书平台 中已有的证书,或新建证书。
选择已有证书
均衡方式
QUIC 监听器中,负载均衡支持加权轮询(WRR)和加权最小连接数(WLC)两种调度算法
加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。
加权最小连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
加权轮询
3.2 健康检查
健康检查详情请参见 TCP SSL 健康检查
3.3 会话保持
QUIC 监听器暂不支持会话保持。


步骤二:绑定后端服务器

1. 监听器管理页面,单击刚才创建的监听器,如上述 QUIC:443 监听器,即可在监听器右侧查看已绑定的后端服务。
2. 单击绑定,在弹出框中选择需绑定的后端服务器,并配置服务端口和权重。
说明:
默认端口功能:先填写默认端口,再选择后端服务器后,每台后端服务器的端口均为默认端口。

步骤三:配置安全组

您需配置负载均衡的安全组来进行公网流量的隔离,详情请参见 配置负载均衡安全组


步骤四:修改/删除监听器(可选)

如果您需要修改或删除已创建的监听器,请在“监听器管理”页面,单击已创建完毕的监听器,单击

图标修改或

图标删除。


相关文档

CLB 支持 QUIC 协议

配置 HTTP 监听器

最近更新时间:2024-01-04 17:32:00

您可以在负载均衡实例上添加一个 HTTP 监听器转发来自客户端的 HTTP 协议请求。HTTP 协议适用于需要对请求的内容进行识别的应用,如 Web 应用、App 服务等。

前提条件

您需要 创建负载均衡实例

操作步骤

步骤一:配置监听器

1. 登录 负载均衡控制台,在左侧导航栏单击实例管理
2. 在 CLB 实例列表页面左上角选择地域,在实例列表右侧的操作列中单击配置监听器

3. 在 HTTP/HTTPS 监听器下,单击新建,在弹出的“创建监听器”对话框中配置 HTTP 监听器。
3.1 创建监听器
监听器基本配置
说明
示例
名称
监听器的名称。
test-http-80
监听协议端口
监听协议:本示例选择 HTTP。
监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535。
同一个负载均衡实例内,监听端口不可重复。
HTTP:80
启用长连接
开启后,CLB 与后端服务之间使用长连接,CLB 不再透传源 IP,请从 XFF 中获取源 IP。为保证正常转发,请在 CLB 上打开安全组默认放通或者在 CVM 的安全组上放通 100.127.0.0/16。
说明
开启后,CLB 与后端服务的连接数范围在请求[QPS,QPS*60]区间波动,具体数值取决于连接复用率。若后端服务对连接数上限有限制,则建议谨慎开启。此功能目前处于内测中,如需使用,请提交 工单申请
健康检查中的健康探测源 IP 100.64.0.0/10 网段已默认放通,此网段下的 IP 无需再次放通。

不启用
3.2 创建转发规则
转发规则基本配置
说明
示例
域名
转发域名:
长度限制:1 - 80个字符。
不能以 _ 开头。
支持精准域名和通配域名。
支持正则表达式。
具体配置规则,详情请参见 转发域名配置规则
www.example.com
默认域名
当监听器中所有域名均没有匹配成功时,系统会将请求指向默认访问域名,让默认访问可控。一个监听器下仅能配置一个默认域名。
默认启用
URL 路径
转发 URL 路径:
长度限制:1 - 200个字符。
支持正则表达式。
具体配置规则,详情请参见 转发 URL 路径配置规则
/index
均衡方式
HTTP 监听器中,负载均衡支持加权轮询(WRR)、加权最小连接数(WLC)和 IP Hash 三种调度算法:
加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。
加权最小连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
IP Hash:根据请求的源 IP 地址,使用散列键(Hash Key)从静态分配的散列表找出对应的服务器,若该服务器为可用且未超载状态,则请求发送到该服务器,反之则返回空。
加权轮询
获取客户端 IP
默认启用
已开启
Gzip 压缩
默认启用
已开启
3.3 健康检查
健康检查详情请参见 HTTP 健康检查
3.4 会话保持
会话保持配置
说明
示例
会话保持开关
开启会话保持后,负载均衡监听会把来自同一客户端的访问请求分发到同一台后端服务器上。
TCP 协议是基于客户端 IP 地址的会话保持,即来自同一 IP 地址的访问请求转发到同一台后端服务器上。
加权轮询调度支持会话保持,加权最小连接数调度不支持开启会话保持功能。
开启
会话保持时间
当超过保持时间,连接内无新的请求,将会自动断开会话保持。
可配置范围30 - 3600秒。
30s

步骤二:绑定后端服务器

1. 在“监听器管理”页面,单击刚才创建的监听器,如上述 HTTP:80 监听器,单击左侧的 + 图标展开域名和 URL 路径,选中具体的 URL 路径,即可在监听器右侧查看该路径上已绑定的后端服务。
2. 单击绑定,在弹出框中选择需绑定的后端服务器,并配置服务端口和权重。

说明:
默认端口功能:先填写“默认端口”,再选择后端服务器后,每台后端服务器的端口均为默认端口。

步骤三:安全组(可选)

您可以配置负载均衡的安全组来进行公网流量的隔离,详情请参见 配置负载均衡安全组

步骤四:修改/删除监听器(可选)

如果您需要修改或删除已创建的监听器,请在“监听器管理”页面,单击已创建完毕的监听器,单击

图标修改或

图标删除。

配置 HTTPS 监听器

最近更新时间:2024-01-04 17:32:00

您可以在负载均衡实例上添加一个 HTTPS 监听器转发来自客户端的 HTTPS 协议请求。HTTPS 协议适用于需要加密传输的 HTTP 应用。

前提条件

您需要 创建负载均衡实例

操作步骤

步骤一:配置监听器

1. 登录 负载均衡控制台,在左侧导航栏单击实例管理
2. 在 CLB 实例列表页面左上角选择地域,在实例列表右侧的操作列中单击配置监听器
3. 在 HTTP/HTTPS 监听器下,单击新建,在弹出的“创建监听器”对话框中配置 HTTPS 监听器。
3.1 创建监听器
监听器基本配置
说明
示例
名称
监听器的名称。
test-https-443
监听协议端口
监听协议:本示例选择 HTTPS。
监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535。
同一个负载均衡实例内,监听端口不可重复。
HTTPS:443
启用长连接
开启后,CLB 与后端服务之间使用长连接,CLB 不再透传源 IP,请从 XFF 中获取源 IP。为保证正常转发,请在 CLB 上打开安全组默认放通或者在 CVM 的安全组上放通100.127.0.0/16。
说明:
开启后,CLB 与后端服务的连接数范围在请求[QPS, QPS*60]区间波动,具体数值取决于连接复用率。若后端服务对连接数上限有限制,则建议谨慎开启。此功能目前处于内测中,如需使用,请提交 内测申请
健康检查中的健康探测源 IP 100.64.0.0/10 网段已默认放通,此网段下的 IP 无需再次放通。

不启用
启用 SNI
启用 SNI 表示一个监听器下可为不同的域名配置不同的证书,不启用 SNI 表示该监听器下多个域名使用同一个证书。
不启用
SSL 解析方式
支持单向认证和双向认证。负载均衡器代理了 SSL 加解密的开销,保证访问安全。
单向认证
服务器证书
可以选择 SSL 证书平台 中已有的证书,或新建上传证书。服务器证书支持配置双证书,即两种不同类型的加密算法的证书。
说明:配置双证书,仅负载均衡支持,传统型负载均衡不支持,并且配置双证后,不支持开启 QUIC 功能。
选择已有
CA 证书
可以选择 SSL 证书平台 中已有的证书,或新建上传证书。
选择已有
3.2 创建转发规则
转发规则基本配置
说明
示例
域名
转发域名:
长度限制:1 - 80个字符。
不能以 `_` 开头。
支持精准域名和通配域名。
支持正则表达式。
具体配置规则,详情请参见 转发域名配置规则
www.example.com
默认域名
当监听器中所有域名均没有匹配成功时,系统会将请求指向默认访问域名,让默认访问可控。
一个监听器下仅能配置一个默认域名。
开启
HTTP 2.0
启用 HTTP2.0 后,CLB 可以接收 HTTP 2.0 的请求,无论客户端请求 CLB 时使用哪种 HTTP 版本,CLB 访问后端服务器的 HTTP 版本都是 HTTP 1.1。
开启
URL 路径
转发 URL 路径:
长度限制:1 - 200个字符。
支持正则表达式。
具体配置规则,详情请参见 转发 URL 路径配置规则
/index
均衡方式
HTTPS 监听器中,负载均衡支持加权轮询(WRR)、加权最小连接数(WLC)和 IP Hash 三种调度算法:
加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值越高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。
加权最小连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
IP Hash:根据请求的源 IP 地址,使用散列键(Hash Key)从静态分配的散列表找出对应的服务器,若该服务器为可用且未超载状态,则请求发送到该服务器,反之则返回空。
加权轮询
后端协议
后端协议是指 CLB 与后端服务之间的协议:
后端协议选择 HTTP 时,后端服务需部署 HTTP 服务。
后端协议选中 HTTPS 时,后端服务需部署 HTTPS 服务,HTTPS 服务的加解密会让后端服务消耗更多资源。
后端协议选中 gRPC 时,后端服务需部署 gRPC 服务。仅 HTTP2.0 开启且 QUIC 关闭的情况下,后端转发协议支持选择 gRPC。
HTTP
获取客户端 IP
默认启用
已开启
Gzip 压缩
默认启用
已开启
3.3 健康检查
健康检查详情请参见 HTTPS 健康检查
3.4 会话保持
会话保持配置
说明
示例
会话保持开关
开启会话保持后,负载均衡监听会把来自同一客户端的访问请求分发到同一台后端服务器上。
TCP 协议是基于客户端 IP 地址的会话保持,即来自同一 IP 地址的访问请求转发到同一台后端服务器上。
加权轮询调度支持会话保持,加权最小连接数调度不支持开启会话保持功能。
开启
会话保持时间
当超过保持时间,连接内无新的请求,将会自动断开会话保持。
可配置范围30 - 3600秒。
30s

步骤二:绑定后端服务器

1. 在“监听器管理”页面,单击刚才创建的监听器,如上述 HTTPS:443 监听器,单击左侧的 + 展开域名和 URL 路径,选中具体的 URL 路径,即可在监听器右侧查看该路径上已绑定的后端服务。
2. 单击绑定,在弹出框中选择需绑定的后端服务器,并配置服务端口和权重。
说明:
默认端口功能:先填写“默认端口”,再选择后端服务器后,每台后端服务器的端口均为默认端口。

步骤三:安全组(可选)

您可以配置负载均衡的安全组来进行公网流量的隔离,详情请参见 配置负载均衡安全组

步骤四:修改/删除监听器(可选)

如果您需要修改或删除已创建的监听器,请在“监听器管理”页面,单击已创建完毕的监听器,单击

图标修改或

图标删除。

均衡方式

最近更新时间:2022-05-12 17:32:10

均衡方式是负载均衡向 后端服务器 分配流量的算法,根据不同的均衡方式可以达到不同的均衡效果。

加权轮询算法

加权轮询算法(Weighted Round-Robin Scheduling)是以轮叫的方式、依次请求调度不同的服务器。加权轮询调度算法可以解决服务器间性能不一的情况,它用相应的权值表示服务器的处理性能,按权值的高低和轮询方式分配请求到各服务器。加权轮询算法根据新建连接数来调度,权值高的服务器先收到连接,权重值越高被轮询到的次数(概率)也越高,相同权值的服务器处理相同数目的连接数。
优势:简洁实用,无需记录当前所有连接的状态,是一种无状态调度。
劣势:相对简单,在请求服务时间变化较大或每个请求消耗时间不一致的情况下,容易导致服务器间的负载不平衡。
适用场景:当每个请求所占用的后端时间基本相同时,负载情况最好。常用于短连接服务,例如 HTTP 等。
用户推荐:已知每个请求所占用后端时间基本相同、后端服务器处理的请求类型相同或者相似时,推荐您选择加权轮询的方式。请求时间相差较小时,也推荐您使用加权轮询的方式,因为该实现方式消耗小,无需遍历,效率较高。

加权最小连接数算法

在实际情况中,客户端的请求服务在服务器停留的时间会有较大的差异。随着工作时间的延伸,采用简单的轮询或随机均衡算法,每台服务器上的连接进程数目可能会有极大的不同,导致没有达到真正的负载均衡。 最小连接调度是一种动态调度算法,与轮询调度算法相反,它通过服务器当前所活跃的连接数来估计服务器的负载情况。调度器需要记录各个服务器已建立连接的数目,当一个请求被调度到某台服务器时,其连接数加一;当连接中止或超时,其连接数减一。 加权最小连接数算法(Weighted Least-Connection Scheduling)是在最小连接数调度算法的基础上,根据服务器的不同处理能力,给每个服务器分配不同的权值,使其能够接受相应权值数的服务请求,是在最小连接数调度算法的基础上的改进。
说明:
假设各台后端服务器的权值依次为 wi,当前连接数依次为 ci,依次计算 ci/wi,值最小的后端服务器实例作为下一个分配的实例。如果存在 ci/wi 相同的后端服务器实例,再使用加权轮询的方式调度。
优势:此算法适合长时处理的请求服务,如 FTP 等应用。
劣势:由于接口限制,目前最小连接数和会话保持功能不能同时开启。
适用场景:每个请求所占用的后端时间相差较大的场景。常用于长连接服务。
用户推荐:如果用户需要处理不同的请求,且请求所占用后端时间相差较大,如3ms和3s等数量级差距,推荐使用加权最小连接数算法,实现负载均衡。

源地址散列调度算法

源地址散列调度算法(ip_hash)根据请求的源 IP 地址,使用散列键(Hash Key)从静态分配的散列表找出对应的服务器,若该服务器为可用且未超载状态,则请求发送到该服务器,反之则返回空。
优势:可以使某一客户端的请求通过哈希表一直映射在同一台后端服务器上,在不支持会话保持的场景中,可以使用 ip_hash 实现简单的会话保持。
用户推荐:将请求的源地址进行哈希运算,并结合您所设置的后端服务器权重,派发请求至某匹配的服务器,使得同一客户端 IP 的请求始终被派发至某特定的服务器。该方式适合无 Cookie 功能的协议。

均衡算法选取及权重配置

为了让用户在不同场景下实现后端服务器集群稳定地承接业务,下文将给出负载均衡选择与权重配置的场景示例,供您参考。
场景1
1.1 假设有3台配置相同(CPU/内存)的后端服务器,由于性能一致,可以将后端服务器权重都设置为10。
1.2 现在每台后端服务器与客户端建立了100个 TCP 连接,并新增1台后端服务器。
1.3 在此场景下,推荐使用最小连接数均衡方式,能快速实现第4台后端服务器的负载提升,降低另外3台后端服务器的压力。
场景2
1.1 假设您首次接触云服务,且建站时间不长,网站负载较低,建议购买相同配置的后端服务器,此时后端服务器都是无差别的接入层服务器。
1.2 在此场景下,可以将后端服务器权重都设为默认值10,采用加权轮询的均衡方式进行流量分发。
场景3
1.1 假设您有5台服务器,用于承载简单的静态网站访问,且5台服务器的计算能力的比例为 9:3:3:3:1(按 CPU、内存换算)。
1.2 在此场景下,可以依次将后端服务器权重比例设置为90、30、30、30、和10。静态网站访问大多数是短连接请求,因此,可以采用加权轮询的均衡方式,让负载均衡实例按后端服务器的性能比例分配请求。
场景4
1.1 假设您有10台后端服务器,用于承担海量的 Web 访问请求,且不希望多购置后端服务器增加支出,但某台后端服务器经常会因为负载过高,导致服务器重启。
1.2 在此场景下,建议根据后端服务器的性能进行相应的权重设置,为负载过高的后端服务器设置较小的权值。此外,可以采用最小连接数的负载均衡方式,将请求分配到活跃连接数较少的后端服务器上,从而解决某台后端服务器负载过高的问题。

场景5
1.1 假设您有3台后端服务器,用于处理若干长连接请求,且这3台服务器的计算能力比例为 3:1:1(按 CPU、内存换算)。
1.2 此时性能最好的服务器处理请求较多,您不希望过载此服务器,欲将新的请求分配到空闲服务器上。
1.3 在此场景下,可以采用最小连接数的均衡方式,并适当降低繁忙服务器的权重,便于负载均衡将请求分配到活跃数较少的后端服务器上,实现负载均衡。
场景6
1.1 假设您希望后续客户端的请求可以分配到同一服务器上。此时,采用加权轮询或加权最小连接数的方式,不能保证相同客户端的请求被分到固定服务器上。
1.2 为了配合特定应用程序服务器的需求,保证客户端的会话具有“粘性”或“持续性”。在此场景下,可以采用 ip_hash 的均衡方式进行流量分发,可以确保来自同一客户端的请求总被定向分发到同一后端服务器上(服务器数量变化或该服务器不可用时除外)。

会话保持

最近更新时间:2024-01-04 17:32:00

会话保持可使得来自同一 IP 的请求被转发到同一台后端服务器上。默认情况下,负载均衡会将每个请求分别路由到不同后端服务器实例负载。但是,您可以使用会话保持功能使特定用户的请求被路由到同一台后端服务器实例上,这样可以使某些需要保持会话的应用程序(如购物车)合理地工作。

四层会话保持

四层协议(TCP/UDP)支持基于源 IP 的会话保持能力,会话保持时间可设为30 - 3600秒中的任意整数值,超过该时间阈值,会话中无新请求则断开会话保持状态,会话保持与均衡方式相关:
均衡方式为“加权轮询”时,根据后端服务器的权重分发请求,支持基于源 IP 的会话保持。
均衡方式为“加权最小连接数”时,根据服务器负载和权重来综合调度,不支持会话保持。

七层会话保持

七层协议(HTTP/HTTPS)支持基于 Cookie 插入的会话保持能力(由负载均衡器向客户端植入 Cookie),会话保持时间设置支持30 - 3600秒,会话保持与均衡方式相关:
均衡方式为“加权轮询”时,根据后端服务器的权重分发请求,支持基于 Cookie 插入的会话保持。
均衡方式为“加权最小连接数”时,根据服务器负载和权重来综合调度,不支持会话保持。
均衡方式为 “IP Hash” 时,支持基于源 IP 的会话保持,不支持基于 Cookie 插入的会话保持。

连接超时时间

当前 HTTP 连接超时时间(keepalive_timeout)默认为75秒,如需调整请开通 个性化配置。超过该时间阈值,会话中无数据传输则断开连接。 当前 TCP 连接的超时时间暂时不支持调整,默认为900秒。超过该时间阈值,会话中无数据传输则断开连接。

配置会话保持

1. 登录 负载均衡控制台,单击需要配置会话保持的负载均衡实例 ID,进入负载均衡详情页。
2. 选择监听器管理标签页。
3. 单击需要配置会话保持的负载均衡监听器后的修改
4. 选择是否需要开启会话保持功能,单击按钮开启,输入保持时间,单击提交

长连接和会话保持的关系

长连接的开启方式请参见 配置 HTTP 监听器配置 HTTPS 监听器

场景1:HTTP 七层业务

假设 Client 端访问是 HTTP/1.1 协议,头部信息中设置 Connection:keep-alive。通过 CLB,再访问到后端服务器,此时不开会话保持,下一次访问,能否访问到同一台服务器?
答:不能。
首先,HTTP keep-alive 是指 TCP 连接在发送后将仍然保持打开状态,于是,浏览器可以继续通过相同的连接发送请求。保持连接节省了为每个请求建立新连接所需的时间,还节约了带宽。CLB 集群的默认超时时间是75秒(75秒内无新请求刷新,则默认断开 TCP 连接)。
HTTP keep-alive 是由 Client 端跟 CLB 建立的,若此时没有开启 Cookie 会话保持,则下一次访问,CLB 会根据轮询策略,随机挑选一台后端服务器,此前的长连接等于白费了。
因此建议开启会话保持。
当设置 Cookie 会话保持的时间为1000秒时,Client 端再次发起请求。由于距离上一次请求,已经超过了75秒,TCP的连接要重新建立。应用层判断 Cookie,找到同一台后端服务器,Client 访问的服务器还是上一次访问的那一台。

场景2:TCP 四层业务

假设 Client 端发起访问,传输层协议是 TCP,启用长连接。但没有开基于源 IP 的会话保持。下一次访问,同一个 Client,能否访问到同一个机器?
答:不一定。
首先,根据四层的实现机制,当 TCP 启用长连接时,如果该长连接一直没有断开,前后两次访问都是同一条连接,则可以访问到同一台机器。如果第二次访问时,第一条连接由于其他原因(网络重启、连接超时)被释放,这时第二次访问就有可能调度到其他后端服务器上,且长连接默认全局的超时时间是900秒,即若没有新请求,则释放。
长连接的开启方式请参见 配置 HTTP 监听器配置 HTTPS 监听器

七层重定向配置

最近更新时间:2024-01-04 17:32:00

负载均衡支持七层重定向,该功能支持用户在七层 HTTP/HTTPS 监听器上配置重定向。
说明:
会话保持:如果客户端访问了example.com/bbs/test/123.html ,且后端 CVM 开启了会话保持。当启用重定向后,将流量导到example.com/bbs/test/456.html时,原会话保持机制将失效。
TCP / UDP 重定向:暂不支持 IP + Port 级别的重定向,后续版本将提供。

重定向概述

自动重定向
简介 系统自动为已存在的HTTPS:443监听器创建 HTTP 监听器进行转发,默认使用 80 端口。创建成功后可以通过HTTP:80地址自动跳转为HTTPS:443地址进行访问。
使用场景 强制 HTTPS 跳转,即 HTTP 强转 HTTPS。PC、手机浏览器等以 HTTP 请求访问 Web 服务,CLB 会将所有HTTP:80的请求重定向至HTTPS:443进行转发。
方案优势
仅需1次配置:一个域名,一次配置即可完成强制 HTTPS 跳转。
更新方便:若 HTTPS 服务的 URL 有增减,只需要在控制台,重新使用该功能刷新一遍即可。
手动重定向
简介 您可以配置一对一重定向,如在某个 CLB 实例中,配置监听器1 / 域名1 / URL1重定向至监听器2 / 域名2 / URL2
说明:
若域名已经配置过自动重定向,则无法再配置手动重定向。
使用场景 单路径的重定向。如 Web 业务需要临时下线(如电商售罄、页面维护,更新升级时),此时需将原有页面重定向至新页面。如果不做重定向,用户的收藏和搜索引擎数据库中的旧地址只能让访客得到一个404/503 错误信息页面,降低了用户体验度,导致访问流量白白丧失。

自动重定向

腾讯云 CLB 支持一键式的 HTTP 强转 HTTPS。 假定开发者需要配置网站https://www.example.com 。开发者希望用户在浏览器中输入网址时,不论是 HTTP 请求(http://www.example.com)还是 HTTPS 请求(https://www.example.com),都可通过 HTTPS 协议进行安全访问。


使用限制

重定向配置包含协议/端口、域名和路径的配置,为避免回环请注意以下限制信息:
原访问的路径和重定向的访问路径一致,则不允许配置。
原访问的路径若已经配置了重定向策略(包含原访问路径和重定向访问路径),则不允许再次配置。
如果重定向访问路径配置的是其他重定向策略的原访问路径,则不允许配置。


前提条件

已配置 HTTPS:443 监听器。

操作步骤

1. 请在 腾讯云负载均衡控制台 完成 CLB 的 HTTPS 监听器的配置,搭建 https://example.com 的 Web 环境。详情请参见 配置 HTTPS 监听器
2. 完成 HTTPS 监听器配置后的结果如下图所示。

3. 在 CLB 实例详情的“重定向配置”标签页中,单击新建重定向配置

4. 选择自动重定向配置,并选择已配置的 HTTPS 监听器和域名,在“域名配置”中选择重定向状态码,单击提交即可完成配置。

说明:
重定向中的“域名配置”功能当前处于内测阶段,如需使用,请提交工单
状态码301(Moved Permanently)、302(Move Temporarily)、307(Temporary Redirect),详情请参见 HTTP / 1.1标准(RFC 7231)
5. 完成重定向配置后的结果如下图所示,可以看到已为 HTTPS:443 监听器自动配置了 HTTP:80 监听器,且 HTTP 的流量均会被自动重定向到 HTTPS。


手动重定向

腾讯云 CLB 支持配置一对一的重定向跳转。 例如,业务使用 forsale 页面来做运营活动,现在活动结束需要将活动页面 https://www.example.com/forsale 重定向至新主页 https://www.new.com/index

前提条件

已配置 HTTPS 监听器。
已配置转发域名 https://www.example.com/forsale
已配置转发域名和路径 https://www.new.com/index

操作步骤

1. 请在 腾讯云负载均衡控制台 完成 CLB 的 HTTPS 监听器的配置,搭建 https://example.com的 Web 环境。详情请参见 配置 HTTPS 监听器
2. 完成 HTTPS 配置后的结果如下图所示。

3. 在 CLB 实例详情的“重定向配置”标签页中,单击新建重定向配置

4. 选择手动重定向配置,选择原访问的前端协议端口、域名和路径,选择重定向后的前端协议端口、域名和路径,在“域名配置”中选择重定向状态码,选择保留 URL 或不保留 URL,单击提交即可完成配置。

说明:
重定向中的“域名配置”功能当前处于内测阶段,如需使用,请提交工单
状态码301(Moved Permanently)、302(Move Temporarily)、307(Temporary Redirect),详情请参见 HTTP / 1.1标准(RFC 7231)
5. 完成重定向配置后的结果如下图所示,可以看到 HTTP:443 监听器中,https://www.example.com/forsale 已重定向至 https://www.new.com/index


七层个性化配置

最近更新时间:2024-01-04 17:32:00

CLB 支持个性化配置功能,允许用户设置单 CLB 实例的配置参数,如 client_max_body_size,ssl_protocols 等,满足您的个性化配置需求。
说明:
个性化配置的个数限制为每个地域200条。
个性化配置的长度限制为64k。
当前一个实例仅允许绑定一个个性化配置。
个性化配置仅针对负载均衡(原“应用型负载均衡”)的七层 HTTP/HTTPS 监听器生效。

CLB 个性化配置参数说明

当前 CLB 的个性化配置支持如下字段:
配置字段
默认值/建议值
参数范围
说明
ssl_protocols
默认值:
TLSv1、TLSv1.1、TLSv1.2
建议值:TLSv1.2、TLSv1.3
TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
使用的 TLS 协议版本。
ssl_ciphers
加密套件。
client_header_timeout
60s
[30-120]s
获取到 Client 请求头部的超时时间, 超时返回408。
client_header_buffer_size
4k
[1-256]k
存放 Client 请求头部的默认 Buffer 大小。
client_body_timeout
60s
[30-120]s
获取 Client 请求 Body 的超时时间,不是获取整个 Body 的持续时间,而是指空闲一段时间没有传输数据的超时时间,超时返回408。
client_max_body_size
60M
[1-10240]M
默认配置范围为1M-256M,直接配置即可。
最大支持10240M,即10G。当 client_max_body_size 的配置范围大于256M时, 必须设置 proxy_request_buffering 的值为 off。
keepalive_timeout
75s
[0-900]s
Client-Server 长连接保持时间,设置为0则禁用长连接。如需设置超过900s,请提交 工单申请,最大可设置到3600s。
add_header
用户自定义添加
-
向客户端返回特定的头部字段,格式为 add_header xxx yyy。
例如针对跨域场景,可以配置为: add_header Access-Control-Allow-Methods 'POST, OPTIONS'; add_header Access-Control-Allow-Origin *;。
more_set_headers
用户自定义添加
-
向客户端返回特定的头部字段,格式为 more_set_headers "A:B"。
proxy_connect_timeout
4s
[4-120]s
upstream 后端连接超时时间。
proxy_read_timeout
60s
[30-3600]s
读取 upstream 后端响应超时时间。
proxy_send_timeout
60s
[30-3600]s
向 upstream 后端发送请求的超时时间。
server_tokens
on
on,off
on 表示显示版本信息。
off 表示隐藏版本信息。
keepalive_requests
100
[1-10000]
Client-Server 长连接上最多能发送的请求数量。
proxy_buffer_size
4k
[1-32]k
Server 响应头的大小,默认为 proxy_buffer 中设置的单个缓冲区大小,使用 proxy_buffer_size 时,必须同时设置 proxy_buffers。
proxy_buffers
8 4k
[3-8] [4-16]k
缓冲区数量和缓冲区大小。
proxy_request_buffering
off
on,off
on 表示缓存客户端请求体:CLB 会缓存请求,全部接收完成后再分块转发给后端 CVM。
off 表示不缓存客户端请求体:CLB 收到请求后,立即转发给后端 CVM,此时会导致后端 CVM 有一定性能压力。
proxy_set_header
X-Real-Port $remote_port
X-Real-Port $remote_port
X-clb-lbid $lbid
Stgw-request-id $stgw_request_id
X-Forwarded-Port $vport
X-Method $request_method
X-Uri $uri
X-Real-Port $remote_port 表示客户端端口。
X-clb-lbid $lbid 表示 CLB 的 LBID,是 CLB 实例的标识。
Stgw-request-id $stgw_request_id 表示请求 ID(CLB 内部使用)。
X-Forwarded-Port 表示 CLB 监听器的端口。
X-Method 表示客户端请求方法。
X-Uri 表示客户端请求路径 URI。
send_timeout
60s
[1-3600]s
服务端向客户端传输数据的超时时间,是连续两次发送数据的间隔时间,非整个请求传输时间。
ssl_verify_depth
1
[1,10]
设置客户端证书链中的验证深度。
proxy_redirect
http:// https://
http:// https://
当上游服务器返回的响应是重定向或刷新请求(如 HTTP 响应码是301或者302)时,proxy_redirect 重设 HTTP 头部的 Location 或 Refresh 字段中的 http 为 https,实现安全跳转。
ssl_early_data
off
on,off
启用或禁止 TLS 1.3 0-RTT。仅当 ssl_protocols 字段取值包含 TLSv1.3 时,开启 ssl_early_data 才会生效。开启 ssl_early_data 后,有重放攻击的风险,请谨慎开启。
http2_max_field_size
4k
[1-256]k
限制 HPACK 压缩的请求头字段的最大的大小( Size )。
error_page
-
error_page code [ = [ response]] uri
当发生特定错误码(Code)的时候,能够显示一个预定义的 URI,默认状态码(Response)为302。URI 必须是以 / 开头的路径。
proxy_ignore_client_abort
off
on,off
当客户端不等待响应结果主动中断与 CLB 的连接时,配置 CLB 与后端服务器的连接是否中断。
l7_toa
off
on,off
TOA 功能开关。开启 toa 功能后,默认将 TOA 中的客户端源 IP 和客户端源端口,分别添加在 $remote_addr 和 $remote_port 中。即 X-Forwarded-For 和 X-Real-IP 中已经透传了 TOA 中的 IP 信息。 注意:此参数仅支持 IPv4 CLB 实例配置。
l7_toa_proxy_transparent
off
on,off
该配置关闭时,CLB 跟后端 RS 新建连接时,默认将收到的四元组的源 IP 地址作为客户端源 IP 封包传给后端。
该配置打开时,代表将 TOA 中的客户端源 IP 封包传给后端 RS。如果开启了长连接,则统一使用100.127.0.0/16网段内的 IP。
注意:此参数仅支持 IPv4 CLB 实例配置。
说明:
其中,proxy_buffer_size 和 proxy_buffers 配置的值需要满足约束条件:2 * max(proxy_buffer_size, proxy_buffers.size) ≤(proxy_buffers.num - 1)* proxy_buffers.size。例如,配置 proxy_buffer_size 为 24k,proxy_buffers 为 8 8k,则2 * 24k = 48k,(8 - 1)* 8k = 56k,此时 48k ≤ 56k,因此配置不会报错,否则报错。

ssl_ciphers 配置说明

配置 ssl_ciphers 加密套件时,格式需同 OpenSSL 使用的格式保持一致。算法列表是一个或多个<cipher strings>,多个算法间使用“:”隔开,ALL 表示全部算法,“!”表示不启用该算法,“+”表示将该算法排到最后一位。 默认强制禁用的加密算法为:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!DHE
默认值:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!DHE:3DES;
参数范围:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:ECDH-ECDSA-AES128-SHA256:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:SRP-DSS-AES-256-CBC-SHA:SRP-AES-128-CBC-SHA:ECDH-RSA-AES128-SHA256:DH-RSA-AES128-SHA256:DH-RSA-CAMELLIA128-SHA:DH-DSS-AES256-GCM-SHA384:DH-RSA-AES256-SHA256:AES256-SHA256:SEED-SHA:CAMELLIA256-SHA:ECDH-RSA-AES256-SHA384:ECDH-ECDSA-AES128-GCM-SHA256:DH-RSA-AES128-SHA:DH-RSA-AES128-GCM-SHA256:DH-DSS-AES128-SHA:ECDH-RSA-AES128-SHA:DH-DSS-CAMELLIA256-SHA:SRP-AES-256-CBC-SHA:DH-DSS-AES128-SHA256:SRP-RSA-AES-256-CBC-SHA:ECDH-ECDSA-AES256-GCM-SHA384:ECDH-RSA-AES256-GCM-SHA384:DH-DSS-AES256-SHA256:ECDH-ECDSA-AES256-SHA384:AES128-SHA:DH-DSS-AES128-GCM-SHA256:AES128-SHA256:DH-RSA-SEED-SHA:ECDH-ECDSA-AES128-SHA:IDEA-CBC-SHA:AES128-GCM-SHA256:DH-RSA-CAMELLIA256-SHA:CAMELLIA128-SHA:DH-RSA-AES256-GCM-SHA384:SRP-RSA-AES-128-CBC-SHA:SRP-DSS-AES-128-CBC-SHA:ECDH-RSA-AES128-GCM-SHA256:DH-DSS-CAMELLIA128-SHA:DH-DSS-SEED-SHA:AES256-SHA:DH-RSA-AES256-SHA:kEDH+AESGCM:AES256-GCM-SHA384:DH-DSS-AES256-SHA:HIGH:AES128:AES256:AES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!DHE

CLB 个性化配置示例

1. 登录 负载均衡控制台,在左侧导航栏单击个性化配置
2. 在“个性化配置”页面顶部选择地域,单击新建
3. 在“新建个性化配置”页面,填写配置名和代码配置项,代码配置项以;结尾。配置完成后,单击完成

4. 返回“个性化配置”页面,在右侧操作栏下单击绑定至实例
5. 在弹出的“绑定至实例”对话框中选择需绑定的负载均衡实例,单击提交

6. 绑定实例后,在“个性化配置”页面单击刚才配置的个性化配置 ID 进入详情页面,单击绑定实例页签即可查看到刚才绑定的负载均衡实例。
7. (可选)绑定实例后,也可以在实例的列表页中找到对应的个性化配置信息。
说明:
若列表页中未显示“绑定个性化配置”列,则在列表页右上角单击

图标,在弹出的“自定义列表字段”对话框中勾选“绑定个性化配置”选项,单击确定,列表页即可显示“绑定个性化配置”列。

默认配置代码示例如下,代码复制时请您确认尾行无空行,以确保配置成功:
ssl_protocols   TLSv1 TLSv1.1 TLSv1.2;
client_header_timeout   60s;
client_header_buffer_size   4k;
client_body_timeout    60s;
client_max_body_size   60M;
keepalive_timeout    75s;
add_header     xxx yyy;
more_set_headers      "A:B";
proxy_connect_timeout    4s;
proxy_read_timeout    60s;
proxy_send_timeout    60s;


七层转发域名和 URL 规则说明

最近更新时间:2024-01-04 17:32:00

业务流程图

负载均衡(原“应用型负载均衡”)的七层业务流程及四层业务流程如下所示:


使用负载均衡的七层转发 HTTP/HTTPS 协议时,在一个 CLB 实例的监听器中新建转发规则,用户可以添加一个对应的域名。
当用户仅建立了一条转发规则时,访问 VIP + URL 可以对应相应的转发规则,并正常访问服务。
当用户建立了多条转发规则时,此时访问 VIP + URL 不能确保访问到某一个具体的域名 + URL,需要用户直接访问域名 + URL 来确保具体的转发规则生效。即用户配置多条转发规则时,同一个 VIP 对应了多条域名,此时不建议通过 VIP + URL 访问服务,而应该通过具体的域名 + URL 访问服务。

七层转发配置说明

转发域名配置规则

七层负载均衡可以将来自不同域名和 URL 的请求转发到不同的服务器上处理,一个七层监听器可以配置多个域名,一个域名可以配置多条转发路径。
转发域名长度限制:1 - 80个字符。
不能以 _ 开头。
支持精准域名,如 www.example.com
支持通配域名,目前仅支持 *.example.com 或者 www.example.*的形式,即 * 在开头或结尾,且单个域名中仅支持 * 出现一次。
非正则表达式的转发域名,支持的字符集为:a-z0-9.-_
转发域名支持正则表达式,正则表达式的域名:
支持的字符集为:a-z 0-9 . - ? = ~ _ - + \\ ^ * ! $ & | ( ) [ ]
需以 ~ 开头,且 ~ 仅能出现一次。
负载均衡支持的正则域名举例如下:~^www\\d+\\.example\\.com$

转发域名匹配说明

转发域名通用匹配策略

1. 转发规则中不配置域名,填写 IP 代替,并在转发组中配置多个 URL,该服务通过 VIP + URL 进行访问。
2. 转发规则中配置完整域名,并在转发组中配置多个 URL,服务通过域名 + URL 进行访问。
3. 转发规则中配置通配符域名,并在转发组中配置多个 URL,通过匹配请求域名 + URL 进行访问。当用户希望不同的域名能够指向相同的 URL 地址时,可以参照这种方式进行配置。以 example.qcould.com 为例,格式如下所示:
精准域名 example.qcloud.com,精确匹配 example.qcloud.com 域名。
前缀通配符域名 *.qcloud.com 匹配所有以 qcloud.com 结尾的域名。
后缀通配符域名 example.qcloud.* 匹配所有以 example.qcloud 开头的域名。
正则匹配域名 ~^www\\d+\\.example\\.com$ 根据正则表达式进行匹配。
匹配优先级:精准域名 > 前缀通配符域名 > 后缀通配符域名 > 正则表达式域名,同一级域名如果有多个域名同时命中,匹配顺序无法保证先后,建议使用更加精准的域名以避免多个规则同时命中的情况。
4. 转发规则中配置域名,并在转发组中配置模糊匹配的 URL。使用前缀匹配,可在最后加入通配符 $ 进行完整匹配。 例如,用户通过配置转发组 URL ~*.(gif|jpg|bmp)$,希望匹配任何以 gifjpgbmp 结尾的文件。

转发域名中的默认域名策略

当客户端请求没有匹配本监听器的任何域名时,CLB 会将请求转发给默认域名(Default Server),让默认规则可控,每个监听器下只能配置一个默认域名。 例如,在 CLB1 的 HTTP:80 监听器下配置了2个域名: www.test1.comwww.test2.com,其中 www.test1.com 是默认域名。当用户访问 www.example.com 时,由于没有匹配到任何一个域名,CLB会将该请求转发给默认域名 www.test1.com



说明:
2020年05月18日之前,七层监听器是否配置默认域名为可选项,您可以选择配置默认域名或者不配置。
如果您的七层监听器已配置默认域名,未匹配其他规则的客户端请求会被转发到默认域名。
如果您的七层监听器未配置默认域名,未匹配其他规则的客户端请求则会被转发到 CLB 加载的第一个域名,由于加载顺序与控制台配置顺序可能不一致,因此不一定是控制台配置的第一个。
自2020年05月18日起:
所有新建的七层监听器都必须配置默认域名:七层监听器的第一个规则一定会启用默认域名,调用 API 创建七层规则时,CLB会 将 DefaultServer 字段自动设置为 true。
所有已配置默认域名的监听器,修改或删除默认域名时需指定新的默认域名:控制台操作时需您指定新的默认域名;调用 API 操作时,若不设置新的默认域名 CLB 会自动将剩余域名中创建时间最早的设置为新的默认域名。
存量未配置默认域名的规则:您可以按业务需求直接配置默认域名,操作步骤如下“操作四”;若您不配置,腾讯云会将 CLB 加载的第一个域名设置为默认域名,存量监听器会在2020年06月19日内处理完毕。
上述策略自2020年05月18日起逐步实施,各个实例生效日可能略有差异。自2020年06月20日起,所有转发域名不为空的七层监听器都会有默认域名。
默认域名的有如下四项相关操作:
操作一:当为七层监听器配置第一条转发规则时,默认域名必须是开启状态。

操作二:关闭当前默认域名。
某监听器下有多个域名,关闭当前默认域名时,需指定新的默认域名。

当某监听器只有一个域名,且该域名是默认域名时,不允许关闭默认域名。

操作三:删除默认域名。
某监听器下有多个域名,删除默认域名下的规则:
若该规则不是默认域名的最后一条规则,可以直接删除。
若该规则是默认域名的最后一条规则,需设置新的默认域名。


当某监听器只有一个域名时,可以直接删除所有规则且不必设置新的默认域名。

操作四
:修改默认域名,您可以在监听器列表快捷修改默认域名。




转发 URL 路径配置规则

七层负载均衡可以将来自不同 URL 的请求转发到不同的服务器上处理,一个域名可以配置多条转发 URL 路径。
转发 URL 长度限制:1 - 200个字符。
非正则表达式的转发 URL ,必须以 / 开头,区分大小写,支持的字符集为:a-zA-Z0-9.-_/=?:
转发 URL 支持正则表达式:
正则表达式的 URL,需以 ~ 开头,且 ~ 仅能出现一次。
正则表达式的 URL 支持的字符集为: a-zA-Z0-9.-_/=?~^*$:()[]+|
正则表达式的 URL 举例如下:~* .png$
转发 URL 匹配规则如下:
= 开头表示精确匹配。
^~ 开头表示 URL 以某个常规字符串开头,不是正则匹配。
~开头表示区分大小写的正则匹配。
~* 开头表示不区分大小写的正则匹配。
/ 通用匹配,如果没有其它匹配,任何请求都会匹配到。

转发 URL 路径匹配说明


1. 匹配规则:按最长前缀匹配,优先精确匹配,而后模糊匹配。 例如,依照上图配置转发规则及转发组后,如下请求将依次被匹配到不同的转发规则中:
1.1 example.qloud.com/test1/image/index1.html 精确匹配转发规则1设置的 URL 规则,则该请求将被转发到转发规则1所关联的后端云服务器中,即图中 CVM1 和 CVM2 的80端口。
1.2 example.qloud.com/test1/image/hello.html 无精确匹配,按最长前缀将匹配到转发规则2,因此该请求将被转发到转发规则2所关联的后端云服务器中,即图中 CVM2 和 CVM3 的81端口。
1.3 example.qloud.com/test2/video/mp4/ 无精确匹配,按最长前缀将匹配到转发规则3,因此该请求将被转发到转发规则3所关联的后端云服务器中,即图中 CVM4 的90端口。
1.4 example.qloud.com/test3/hello/index.html 无精确匹配,按最长前缀将匹配到根目录 Default URL:example.qloud.com/,这时是 Nginx 转发请求给后端应用服务器,如 FastCGI(php),Tomcat(jsp),Nginx 作为反向代理服务器存在。
1.5 example.qloud.com/test2/无精确匹配,按最长前缀将匹配到根目录 Default URL:example.qloud.com/
2. 如果用户设置的 URL 规则中,服务不能正常运行,则匹配成功后,不会重定向到其他页面。 例如,客户端请求 example.qloud.com/test1/image/index1.html 匹配了转发规则1,但此时转发规则1的后端服务器运行异常,出现404的页面时,用户进行访问时页面则会显示404,不会重定向到其他页面。
3. 建议用户设置 Default URL,将其指向服务稳定的页面(如静态页面、首页等),并绑定所有后端云服务器。此时,如果所有规则均没有匹配成功时,系统会将请求指向 Default URL 所在的页面,否则可能会出现404的问题。
4. 如果用户未设置 Default URL,且所有转发规则都不匹配时,此时访问服务,会返回404。
5. 七层 URL 路径末尾斜杠的说明:当用户设置的 URL 是以/结尾,但客户端访问时并没有带/,那么该请求会被重定向到以/结尾的规则(301重定向)。 例如,HTTP:80 监听器下,配置的域名是 www.test.com
5.1 该域名下设置的 URL 为/abc/
客户端访问 www.test.com/abc 时,会被重定向到 www.test.com/abc/
客户端访问 www.test.com/abc/ 时,会匹配到 www.test.com/abc/
5.2 该域名下设置的 URL 为/abc
客户端访问 www.test.com/abc 时,会匹配到 www.test.com/abc
客户端访问 www.test.com/abc/ 时,也会匹配到 www.test.com/abc

七层健康检查配置说明

健康检查域名配置规则

健康检查域名是七层负载均衡探测后端服务健康状态的域名。
健康检查域名长度限制:1 - 80个字符。
健康检查域名默认为转发域名。
健康检查域名不支持正则表达式,当您的转发域名为通配域名时,需要指定某一固定域名(非正则)为健康检查域名。
健康检查域名支持的字符集为:a-z0-9.-_,例如 www.example.qcould.com

健康检查路径配置规则

健康检查路径是七层负载均衡探测后端服务健康状态的 URL 路径。
健康检查路径长度限制:1 - 200个字符。
健康检查路径默认为 /,且必须以 / 开头。
健康检查路径不支持正则表达式,建议指定某个固定 URL 路径(静态页面)进行健康检查。
健康检查路径支持的字符集为:a-zA-Z0-9.-_/=?:,例如 /index

CLB 支持 QUIC 协议

最近更新时间:2024-01-04 17:32:00

QUIC 协议能帮您大幅提升 App 访问速度,在弱网络、Wi-Fi 和4G频繁切换等场景下,无需重连即可实现多路复用。本文档将为您介绍,如何在负载均衡控制台中,配置 QUIC 协议。

QUIC 概述

QUIC(Quick UDP Internet Connection),又称为快速 UDP 互联网连接,是由 Google 提出的使用 UDP 进行多路并发传输的协议,QUIC 相比现在广泛应用的 TCP+TLS+HTTP2 协议有如下优势:
减少连接建立时间。
改善拥塞控制。
避免队头阻塞的多路复用。
连接迁移。
CLB 开启 QUIC 后,客户端可以和 CLB 之间建立 QUIC 连接,当二者协商无法建立 QUIC 连接时自动降级到 HTTPS 或 HTTP/2。若开启 QUIC 后端协议只能使用 HTTP1.x 协议。

使用限制

仅负载均衡实例类型支持,传统型负载均衡实例类型不支持。
仅 IPv4、IPv6 NAT64 版本的负载均衡支持,IPv6 版本的暂不支持。
仅七层 HTTPS 监听器支持 QUIC 协议。
当前 CLB 支持的 QUIC 版本有:Q050、Q046、Q043、h3-29 和 h3-27。

操作步骤

1. 根据需求创建负载均衡实例,详情请参见 创建负载均衡实例
2. 登录 负载均衡控制台,在左侧导航栏,单击实例管理
3. 在“实例管理”页面中,单击负载均衡
4. 创建负载均衡实例,在右侧操作栏,单击配置监听器


5. 在“监听器管理”页面的 "HTTP/HTTPS 监听器" 下,单击新建

6. 在“创建监听器”页面,切换监听协议端口为 HTTPS,根据需要填写完后,单击提交

7. 监听器管理标签页,单击该新建监听器的 + 符号。

8. 在“创建转发规则”页面,打开 QUIC 协议,创建七层规则,并填写相关字段后,单击下一步,即可完成基本配置。
说明:
创建完成后 ,若需修改 QUIC 协议的开关状态,请在对应规则的域名处编辑。
QUIC 使用 UDP 协议,会占用 CLB 的 UDP 端口,即 HTTPS 监听器开启 QUIC 协议后,自动占用对应的 UDP 端口和 TCP 端口。例如,当 HTTPS:443 监听器开启 QUIC 协议后,该规则会同时占用 TCP:443 和 UDP:443 端口,因此您不能再创建 TCP:443 和 UDP:443 监听器。


后续操作

填写完基本配置后,可继续完成 健康检查会话保持 的相关操作。

CLB 支持 SNI 多域名证书

最近更新时间:2024-01-04 17:32:00

服务器名称指示(Server Name Indication,SNI)是用来改善服务器与客户端 SSL/TLS,主要解决一台服务器只能使用一个证书的问题,支持 SNI 表示服务器支持绑定多个证书。客户端使用 SNI,则需在与服务器建立 SSL/TLS 连接之前指定要连接的域名,服务器会根据这个域名返回一个合适的证书。


使用场景

腾讯云 CLB 的七层 HTTPS 监听器支持 SNI,即支持绑定多个证书,监听规则中的不同域名可使用不同证书。如在同一个 CLB 的HTTPS:443监听器中,*.test.com使用证书1,将来自该域名的请求转发至一组服务器上;*.example.com使用证书2,将来自该域名的请求转发至另一组服务器上。


前提条件

购买负载均衡实例
说明:
传统型负载均衡不支持基于域名和 URL 的转发,因此传统型负载均衡不支持 SNI。

操作步骤

1. 登录 负载均衡控制台
2. 参考 配置监听器 的操作步骤配置监听器,并且在配置 HTTPS 监听器时,开启 SNI。


3. 在该监听器中添加转发规则时,针对不同的域名配置不同的服务器证书,单击下一步,继续完成健康检查和会话保持的配置。



七层协议支持 gRPC

最近更新时间:2024-01-04 17:32:00

gRPC 是 Google 发布的基于 HTTP 2.0 传输层协议的高性能开源软件框架,提供了支持多种编程语言、对网络设备进行配置和纳管的方法。本文指导您通过配置 HTTPS 监听器的 gRPC 协议的健康检查,将客户端的 gRPC 请求通过 CLB 实例转发到后端协议为 gRPC 的后端服务。

使用场景

当客户端通过 HTTPS 请求访问协议类型为 gRPC 的后端服务时,您可以通过 CLB 实例的 HTTPS 监听器支持 gRPC 协议来实现。


前提条件

您已创建 VPC,详情请参见 创建私有网络
您已在 VPC 中创建了 CVM 实例,并在实例上部署了 gRPC 服务,详情请参见 通过镜像创建实例
您已购买了 CLB 实例,详情请参见 创建负载均衡实例

使用限制

仅负载均衡类型支持,传统型负载均衡不支持。
IPv6 版本 CLB 与开启了七层混绑的 IPv6 版本 CLB 不支持。
仅 VPC 网络支持,基础网络不支持。
后端服务不支持 SCF(需要 SCF target 内部支持 gRPC 协议)。

操作步骤

步骤一:配置监听器

1. 登录 负载均衡控制台,在左侧导航栏单击实例管理
2. 在 CLB 实例列表页面左上角选择地域,在实例列表右侧的操作列中单击配置监听器

3. 在 HTTP/HTTPS 监听器下,单击新建,在弹出的创建监听器对话框中配置 HTTPS 监听器。
3.1 创建监听器
监听器基本配置
说明
示例
名称
监听器的名称。
test-https-443
监听协议端口
监听协议:本示例选择 HTTPS。
监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535。
同一个负载均衡实例内,监听端口不可重复。
HTTPS:443
启用长连接
开启后,CLB 与后端服务之间使用长连接,CLB 不再透传源 IP,请从 XFF 中获取源 IP。为保证正常转发,请在 CLB 上打开安全组默认放通或者在 CVM 的安全组上放通100.127.0.0/16。
说明
开启后,CLB 与后端服务的连接数范围在请求[QPS,QPS*60]区间波动,具体数值取决于连接复用率。若后端服务对连接数上限有限制,则建议谨慎开启。此功能目前处于内测中,如需使用,请提交 工单申请
健康检查中的健康探测源 IP 100.64.0.0/10 网段已默认放通,此网段下的 IP 无需再次放通。

不启用
启用 SNI
启用 SNI 表示一个监听器下可为不同的域名配置不同的证书,不启用 SNI 表示该监听器下多个域名使用同一个证书。
不启用
SSL 解析方式
支持单向认证和双向认证。负载均衡器代理了 SSL 加解密的开销,保证访问安全。
单向认证
服务器证书
可以选择 SSL 证书平台 中已有的证书,或新建证书。
选择已有
3.2 创建转发规则
转发规则基本配置
说明
示例
域名
转发域名:
长度限制:1 - 80个字符。
不能以`_` 开头。
支持精准域名和通配域名。
支持正则表达式。
具体配置规则,详情请参见 转发域名配置规则
www.example.com
默认域名
当监听器中所有域名均没有匹配成功时,系统会将请求指向默认访问域名,让默认访问可控。
一个监听器下仅能配置一个默认域名。
开启
HTTP 2.0
启用 HTTP2.0 后,CLB 可以接收 HTTP 2.0 的请求,无论客户端请求 CLB 时使用哪种 HTTP 版本,CLB 访问后端服务器的 HTTP 版本都是 HTTP 1.1。
开启
QUIC
启用 QUIC 后,客户端可以和 CLB 之间建立 QUIC 连接,当二者协商无法建立 QUIC 连接时自动降级到 HTTPS 或 HTTP/2,但 CLB 和后端服务器之间仍然使用 HTTP1.x 协议。详情请参见 CLB 支持 QUIC 协议
开启
URL 路径
转发 URL 路径:
长度限制:1 - 200个字符。
支持正则表达式。
具体配置规则,详情请参见 转发 URL 路径配置规则
/index
均衡方式
HTTPS 监听器中,负载均衡支持加权轮询(WRR)、加权最小连接数(WLC)和 IP Hash 三种调度算法:
加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。
加权最小连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
IP Hash:根据请求的源 IP 地址,使用散列键(Hash Key)从静态分配的散列表找出对应的服务器,若该服务器为可用且未超载状态,则请求发送到该服务器,反之则返回空。
加权轮询
后端协议
后端协议是指 CLB 与后端服务之间的协议:
后端协议选择 HTTP 时,后端服务需部署 HTTP 服务。
后端协议选中 HTTPS 时,后端服务需部署 HTTPS 服务,HTTPS 服务的加解密会让后端服务消耗更多资源。
后端协议选中 gRPC 时,后端服务需部署 gRPC 服务。仅 HTTP2.0 开启且 QUIC 关闭的情况下,后端转发协议支持选择 gRPC。
gRPC
获取客户端 IP
默认启用。
已开启
Gzip 压缩
默认启用。
已开启
3.3 HTTPS 健康检查
3.4 会话保持
会话保持配置
说明
示例
会话保持开关
开启会话保持后,负载均衡监听会把来自同一客户端的访问请求分发到同一台后端服务器上。
TCP 协议是基于客户端 IP 地址的会话保持,即来自同一 IP 地址的访问请求转发到同一台后端服务器上。
加权轮询调度支持会话保持,加权最小连接数调度不支持开启会话保持功能。
开启
会话保持时间
当超过保持时间,连接内无新的请求,将会自动断开会话保持。
可配置范围30s - 3600s。
30s

步骤二:绑定后端云服务器

1. 监听器管理页面,单击刚才创建的监听器,如上述 HTTPS:443 监听器,单击左侧的 + 展开域名和 URL 路径,选中具体的 URL 路径,即可在监听器右侧查看该路径上已绑定的后端服务。
2. 单击绑定,在弹出框中选择需绑定的后端服务器,并配置服务端口和权重。
说明:
默认端口功能:先填写“默认端口”,再选择云服务器后,每台云服务器的端口均为默认端口。

步骤三:安全组(可选)

您可以配置负载均衡的安全组来进行公网流量的隔离,详情请参见 配置负载均衡安全组

步骤四:修改/删除监听器(可选)

如果您需要修改或删除已创建的监听器,请在监听器管理页面,单击已创建完毕的监听器,单击

图标修改或

图标删除。

后端服务器

后端服务器概述

最近更新时间:2024-01-04 17:29:18

后端服务器是创建负载均衡实例后,绑定在负载均衡上处理相应转发请求的服务器。在配置 负载均衡监听器 时,需绑定后端服务器,负载均衡通过不同的 轮询方式,将请求转发到后端服务器上,并由后端服务器来做处理,保证应用平稳可靠的运行。

支持的后端服务器类型

负载均衡支持的后端服务类型包括实例类型、IP 类型和 云函数 SCF 类型,其中:
实例类型又包括 云服务器 CVM弹性网卡 ENI 和 容器实例 EKS。
IP 类型主要用于绑定云上多 VPC 的内网 IP,以及云下 IDC 的内网 IP。

注意事项

在添加后端服务器时,我们建议您:
建议您开启 会话保持 功能,使负载均衡维持一个较长时间的 TCP 连接并使多个请求重用它,可减少 Web 服务器上的负载并提高负载均衡的吞吐量。
确保后端服务的安全组具有针对负载均衡监听器端口和健康检查端口的入站规则,详情请参见 后端云服务器的安全组配置

相关文档

管理后端服务器
绑定弹性网卡
绑定容器实例
混合云部署
绑定云函数 SCF


管理后端服务器

最近更新时间:2024-01-04 17:32:00

负载均衡将请求路由至运行正常的后端服务器实例,首次使用负载均衡或根据业务需求,需要增加或删除后端服务器数量时,可按照本文指引进行操作。

前提条件

需已创建负载均衡实例并配置监听器,详情请参见 负载均衡快速入门

操作步骤

添加负载均衡后端云服务器

说明:
如果负载均衡实例与某个弹性伸缩组关联,则该组中的云服务器会自动添加至负载均衡后端云服务器。若从弹性伸缩组移除某云服务器实例,则该云服务器实例会自动从负载均衡后端云服务器中删除。
如需使用 API 添加负载均衡后端服务器,请参见 绑定后端服务器到负载均衡 接口说明。
若您的账户类型为传统账户类型,且实例的运营商类型为中国移动、中国电信或中国联通,则仅能绑定网络计费模式为按流量计费和共享带宽包的云服务器。账户类型详情请参见 判断账户类型,运营商类型详情请参见 运营商类型
1. 登录 负载均衡控制台
2. 在“实例管理”页面的“负载均衡”页签中,单击目标负载均衡实例右侧操作列的配置监听器
3. 在配置监听器模块中,选择需要绑定后端云服务器的监听器。
HTTP/HTTPS 监听器
3.1.1 在 HTTP/HTTPS 监听器区域,单击目标监听器左侧的+。


3.1.2 在展开的域名左侧单击+。


3.1.3 选中展开的 URL 路径,单击绑定



TCP/UDP/TCP SSL 监听器 在 TCP/UDP/TCP SSL 监听器模块的左侧列表中,选中需要绑定后端云服务器的监听器,单击绑定


4. 为负载均衡实例绑定后端服务。
方式1:在“绑定后端服务”弹出框中,单击云服务器,选择需要关联的云服务器(可多选),并填写相关云服务器需要被转发的端口与权重,详情请参见 服务器常用端口,单击确定
说明:
在“绑定后端服务”弹出框中仅展示同地域、相同网络环境、未被隔离、未过期、带宽(峰值)不为0的可选云服务器。
绑定多个后端服务器时,CLB 将按 Hash 算法转发流量,起到均衡负载的作用。
权重越大转发的请求越多,默认为10,可配置范围为0 - 100。 当权重设置为0,该服务器不会再接受新请求。 如开启会话保持,可能会造成后端服务器的请求不均匀,详情请参见 均衡算法选择与权重配置实例



方式2:如需批量绑定服务器且预设端口值一致时,可在“绑定后端服务”弹出框中,单击云服务器,并输入默认端口值(端口选择请参见 服务器常用端口)、再勾选相关服务器并设定权重值,单击确定。



修改负载均衡后端服务器权重

后端服务器权重决定了云服务器被转发的请求相对数量,在绑定后端云服务器时,需要预设权重信息,接下来将以 “HTTP/HTTPS 监听器”为例(TCP/UDP/TCP SSL 监听器的修改方式相同),为您介绍如何修改负载均衡后端服务器权重。
说明:
如需使用 API 修改负载均衡后端服务器权重,请参见 修改负载均衡器后端服务器权重 接口说明。
有关负载均衡后端服务器权重的更多信息,请参见 负载均衡轮询方式
1. 登录 负载均衡控制台
2. 在“实例管理”页面的“负载均衡”页签中,单击目标负载均衡实例右侧操作列的配置监听器
3. 在 HTTP/HTTPS 监听器模块左侧列表中,展开实例与监听器规则,选中 URL 路径。


4. 在 HTTP/HTTPS 监听器模块右侧服务器列表中,修改相关服务器权重。
说明:
权重越大转发的请求越多,默认为10,可配置范围为0 - 100。 当权重设置为0,该服务器不会再接受新请求。 如开启会话保持,可能会造成后端服务器的请求不均匀,详情请见 均衡算法选择与权重配置实例
方式1:单独修改某台服务器权重。
4.1.1 找到需要修改权重的服务器,并将鼠标悬浮于对应权重上方,单击

编辑按钮。


4.1.2 在“修改权重”弹窗中,输入修改后的权重值,单击提交
方式2:批量修改某些服务器权重。
说明:
批量修改权重后的服务器权重相同。
4.1.1 单击服务器前方复选框,选中多台服务器,在列表上方,单击修改权重


4.1.2 在“修改权重”弹窗中,输入修改后的权重值,单击提交

修改负载均衡后端服务器端口

负载均衡控制台支持修改后端服务器端口,接下来将以 “HTTP/HTTPS 监听器”为例(TCP/UDP/TCP SSL 监听器的修改方式相同),为您介绍如何修改负载均衡后端服务器端口。
说明:
如需使用 API 修改负载均衡后端服务器端口,请参见 修改监听器绑定的后端机器的端口 接口说明。
1. 登录 负载均衡控制台
2. 在“实例管理”页面的“负载均衡”页签中,单击目标负载均衡实例右侧操作列的配置监听器
3. 在 HTTP/HTTPS 监听器模块左侧列表中,展开实例与监听器规则,选中 URL 路径。

4. 在 HTTP/HTTPS 监听器模块右侧服务器列表中,修改相关服务器端口,端口选择请参见 服务器常用端口
方式1:单独修改某台服务器端口。
4.1.1 找到需要修改端口的服务器,并将鼠标悬浮于对应端口上方,单击

编辑按钮。


4.1.2 在“修改端口”弹窗中,输入修改后的端口值,单击提交
方式2:批量修改某些服务器端口。
说明:
批量修改端口后的服务器端口相同。
4.1.1 单击服务器前方复选框,选中多台服务器,在列表上方,单击修改端口


4.1.2 在“修改端口”弹窗中,输入修改后的端口值,单击提交

解绑负载均衡后端服务器

负载均衡控制台支持解绑已绑定的后端服务器,接下来将以 “HTTP/HTTPS 监听器”为例(TCP/UDP/TCP SSL 监听器的解绑方式相同),为您介绍如何解绑已绑定的负载均衡后端服务器。
说明:
解绑后端服务器会解除负载均衡实例与云服务器实例的关联关系,且负载均衡会立即停止对其的请求转发。
解绑后端服务器不会对云服务器的生命周期产生任何影响,您也可以再次将它添加至后端服务器集群中。
如需使用 API 解绑负载均衡后端服务器,请参见 从负载均衡监听器上解绑后端服务 接口说明。
1. 登录 负载均衡控制台
2. 在“实例管理”页面的“负载均衡”页签中,单击目标负载均衡实例右侧操作列的配置监听器
3. 在 HTTP/HTTPS 监听器模块左侧列表中,展开实例与监听器规则,选中 URL 路径 。


4. 在 HTTP/HTTPS 监听器模块右侧服务器列表中,解绑已绑定的后端服务器。
方式1:单独解绑某台服务器。
4.1.1 找到需要解绑的服务器,在右侧操作栏,单击解绑


4.1.2 在“解绑”弹窗中,确认解绑的服务,单击提交
方式2:批量解绑某些服务器。
4.1.1 单击服务器前方复选框,选中多台服务器,在列表上方,单击解绑


4.1.2 在“解绑”弹窗中,确认解绑的服务,单击提交

绑定弹性网卡

最近更新时间:2024-01-04 17:32:01

弹性网卡简介

弹性网卡(Elastic Network Interface,ENI)是一种可以绑定私有网络内 CVM 实例上的虚拟网卡。弹性网卡可以自由地在相同私有网络、可用区下的 CVM 间自由迁移,通过弹性网卡可以实现高可用集群搭建、低成本故障转移和精细化的网络管理。 CLB 的后端服务支持 CVM 和 ENI,即 CLB 支持绑定 CVM 和 ENI。CLB 与后端服务之间使用内网通信,当 CLB 绑定多台 CVM 和 ENI 时,访问流量会被转发到 CVM 的内网 IP 和 ENI 的内网 IP上。

前提条件

ENI 必须先绑定在某台云服务器上,CLB 才能绑定该 ENI。CLB 只做负载均衡转发流量,并不实际处理业务逻辑,因此需要计算资源 CVM 实例来处理用户请求。请先前往 弹性网卡控制台,将所需的弹性网卡与云服务器做绑定。

操作步骤

1. 您需要先配置负载均衡监听器,详情请参见 负载均衡监听器概述
2. 单击已创建完毕的监听器左侧的+展开域名和 URL 路径,选中具体的 URL 路径,在监听器右侧查看已绑定的后端服务。


3. 单击绑定,即可在弹出框中选择需绑定的后端服务器,并配置服务端口和权重,绑定后端服务时,可选“云服务器”或“弹性网卡”:
云服务器:可绑定与 CLB 同私有网络下所有云服务器主网卡的主内网 IP。
弹性网卡:可绑定与 CLB 同私有网络下除云服务器主网卡的主内网 IP 之外的所有弹性网卡 IP,如主网卡的辅助内网 IP 和辅助网卡的内网 IP。弹性网卡 IP 种类详情请参见 弹性网卡 - 相关概念

4. 绑定完毕的配置详情如下。



绑定云函数 SCF

最近更新时间:2024-01-04 17:32:00

您可以通过编写云函数 SCF 来实现 Web 后端服务,然后使用负载均衡 CLB 绑定云函数 SCF 并对外提供服务。

背景信息

云函数(Serverless Cloud Function,SCF)是腾讯云为企业和开发者们提供的无服务器执行环境,帮助您在无需购买和管理服务器的情况下运行代码。在您创建完云函数后,可以通过创建 CLB 触发器将云函数与事件进行关联。CLB 触发器会将请求内容以参数形式传递给云函数,并将云函数返回作为响应返回给请求方。

使用场景

展开全部

通用的 HTTP/HTTPS 接入

展开&收起

适用于电商、社交、工具等 App 应用程序,以及个人博客、活动页面等 Web 应用程序等场景。方案流程如下所示:

  1. App、浏览器、H5、小程序等发起 HTTP/HTTPS 请求,通过 CLB 访问 SCF。
  2. 由 CLB 做证书卸载,SCF 仅需提供 HTTP 服务。
  3. 请求转给 SCF 后,继续后续处理,例如写入云数据库或调用其他 API。

CVM/SCF 平滑切换

展开&收起

适用于 HTTP/HTTPS 服务从 CVM 迁移至 SCF 的场景,以及当 CVM(SCF)服务有问题时,快速迁移至 SCF(CVM)的故障切换场景。方案流程如下所示:

  1. App、浏览器、H5、小程序等发起 HTTP/HTTPS 请求。
  2. 通过 DNS 解析将请求解析到 CLB 的 VIP 上。
  3. 一个 CLB 转发请求给 CVM,另一个 CLB 转发请求给 SCF。
  4. 客户端无感知,即可完成后端服务在 CVM 和 SCF 之间的平滑切换。

CVM/SCF 业务分流

展开&收起

适用于秒杀、抢购等场景,使用 SCF 处理高弹性服务、使用 CVM 处理日常业务。

  1. 通过 DNS 解析将域名 A 解析到其中一个 CLB 的 VIP 上,将域名 B 解析到另外一个 CLB 的VIP 上。
  2. 其中一个 CLB 转发请求给 CVM,另外一个 CLB 转发请求给 SCF。

限制说明

前提条件

  1. 创建负载均衡实例
  2. 配置 HTTP 监听器配置 HTTPS 监听器

操作步骤

步骤一:创建云函数

  1. 登录 云函数控制台,在左侧导航栏单击【函数服务】。

  2. 在“函数服务”页面,单击【新建】。

  3. 在“新建”函数服务页面,创建方式选择“自定义创建”,输入函数名称,地域选择与 CLB 实例相同的地域,运行环境选择“Python3.6”,在函数代码输入框中输入如下代码(本文以 Hello CLB 为例),单击【完成】。

    注意:

    CLB 绑定 SCF 时,需按照特定响应集成格式返回,详情请参见 集成响应

    # -*- coding: utf8 -*-
import json
def main_handler(event, context):

 return {
     "isBase64Encoded": False,
     "statusCode": 200,
     "headers": {"Content-Type":"text/html"},
     "body": "<html><body><h1>Hello CLB</h1></body></html>"
}

步骤二:部署云函数

  1. 在“函数服务”页面的列表中,单击刚才创建的函数名。
  2. 在“函数管理”页面,单击【函数代码】页签,在页签底部单击【部署】。

步骤三:绑定云函数

  1. 登录 负载均衡控制台,在左侧导航栏单击【实例管理】。
  2. 在“实例管理”页面的“负载均衡”页签中,单击目标实例右侧“操作”列的【配置监听器】。
  3. 在 HTTP/HTTPS 监听器列表中,选择需要绑定云函数 SCF 的监听器,分别单击目标监听器左侧的【+】和展开的域名左侧的【+】,然后选中展开的 URL 路径,单击【绑定】。
  4. 在弹出的“绑定后端服务”对话框中,目标类型选择“云函数 SCF”,选择命名空间、函数名和版本/别名,设置权重后,单击【确认】。
  5. 返回“监听器管理”页签,在“转发规则详情”区域显示负载均衡已绑定的云函数,即已创建 CLB 触发器。
    说明:

    您还可以选择在 SCF 控制台创建 CLB 触发器,从而将负载均衡 CLB 与云函数 SCF 绑定,详情请参见 创建触发器

结果验证

  1. 登录 云函数控制台,在左侧导航栏单击【函数服务】。
  2. 在“函数服务”页面的列表中,单击刚才创建的函数名。
  3. 在函数页面,单击左侧列表的【触发管理】。
  4. 在“触发管理”页面的触发器中,单击访问路径。
  5. 在浏览器里打开该访问路径,若显示 “Hello CLB”,则说明函数已成功部署。

相关文档

创建 SCF 函数

绑定容器实例

最近更新时间:2023-03-28 17:23:50

负载均衡的后端服务支持绑定容器实例。

容器实例简介

容器实例(EKS Container Instance,EKSCI) 是由弹性容器服务(Elastic Kubernetes Service,EKS)推出的无需用户购买服务器、无需部署 K8S 集群,即可部署容器应用的服务模式,提供虚拟机级别的安全隔离和资源隔离,开箱即用,同时提供比虚拟机更快的启动速度及释放速度。

相对于 Kubernetes 集群,EKSCI 相当于其中的 Pod,是一种更简单更底层的容器化解决方案,对于并不需要上层工作负载的编排、调度等管理能力,只需要容器资源的调度及管理的需求,EKSCI 是一种更经济高效的选择。EKSCI 为您省去了底层服务器层面的运维和管理工作,专注于应用层面,提高效率的同时节省成本。
说明:
容器实例目前正在内测中,如需使用可 提交工单 申请。

限制说明

仅负载均衡实例类型支持绑定容器实例,传统型负载均衡不支持。
仅 VPC 网络类型支持绑定容器实例,基础网络不支持。
跨地域绑定2.0混合云部署 均支持绑定容器实例。
四、七层监听器均支持绑定容器实例。

前提条件

您已 提交工单 申请开通容器实例服务。
您已创建负载均衡监听器,以 TCP 监听器为例,详情请参见 配置 TCP 监听器

操作步骤

1. 登录 负载均衡控制台,在左侧导航栏单击实例管理
2. 实例管理页面的负载均衡页签中,单击目标实例右侧操作列的配置监听器
3. 在 TCP 监听器列表中,选中目标监听器,单击右侧的绑定
4. 在弹出的绑定后端服务对话框中,目标类型选择容器实例,勾选待绑定的容器实例,设置端口和权重后,单击确认
说明:
若是需要绑定其他 VPC 的容器实例,则需将其他 VPC 和本 VPC 关联至同一云联网实例,详情请参见 关联网络实例



跨地域绑定2.0(新版)

最近更新时间:2024-01-04 17:32:01

负载均衡(CLB)支持通过云联网,跨地域绑定后端服务器,允许客户选取多个后端服务器的地域,跨 VPC、跨地域绑定后端服务器。 目前该功能处于内测阶段,如果您需要体验该功能,请提交 内测申请
说明
跨地域绑定2.0暂不支持传统型负载均衡。
该功能仅标准账户类型支持。若您无法确定账户类型,请参见 判断账户类型
跨地域绑定2.0和混合云部署,不支持 安全组默认放通,请在后端服务器上放通 Client IP 和服务端口。
跨地域绑定2.0和混合云部署不支持绑定其它负载均衡实例(即不支持 CLB 绑定 CLB )。

应用场景

1. 满足 P2P 等游戏业务中,多地同服的场景。客户后端服务集群在广州,客户希望在上海、北京等多地创建 CLB,绑定相同的广州后端服务集群。起到游戏加速、流量收敛的作用,有效保证数据传输质量,降低时延。
2. 满足金融业务支付、订单付款等场景,有效保证关键业务的数据传输质量,保证数据一致性。


与旧版跨地域绑定的区别

对比项
跨地域绑定2.0(新版)
跨地域绑定1.0(旧版)
是否支持同时绑定多地域内服务
支持:
新版跨地域绑定 CLB 支持同时绑定多个地域的 CVM。
例如北京的 CLB 可以同时绑定北京和上海的 CVM。
不支持:
旧版跨地域绑定 CLB 仅能绑定一个地域的 CVM。
例如北京的 CLB 可以绑定上海的 CVM,但北京的 CLB 不能同时绑定北京和上海的 CVM。
是否支持跨域后改回不跨域
支持:新版跨地域绑定支持修改回原来的同地域绑定。
不支持:旧版跨地域绑定修改后端实例地域属性后,如该地域和 CLB 地域不同,将无法修改回原来的同地域绑定。
支持 CLB 类型
支持公网 CLB 和内网 CLB。
支持公网 CLB。
CVM 释放时 CLB 是否自动解绑
同地域绑定时自动解绑:
CLB 绑定同地域的 CVM,若该 CVM 被释放,则 CLB 会自动与该 CVM 解绑。
跨地域绑定时自动解绑:
CLB 跨地域绑定 CVM,若该 CVM 被释放,则 CLB 不会自动解除与该 CVM 的绑定关系,需手动解绑
同地域绑定时自动解绑:
CLB 绑定同地域的 CVM,若该 CVM 被释放,则 CLB 会自动与该 CVM 解绑。
跨地域绑定时自动解绑:
CLB 跨地域绑定 CVM,若该 CVM 被释放,则 CLB 会自动与该 CVM 解绑。
价格是否优惠
通过 云联网计费,会进行精细化成本核算,价格更低。
日95计费。

限制条件

跨网互联绑定后端服务器暂不支持传统型负载均衡。
该功能仅标准账户类型支持。若您无法确定账户类型,请参见 判断账户类型
仅 VPC 支持,基础网络不支持。
IPv4 和 IPv6 NAT64 版本的负载均衡实例支持该功能。IPv6 版本的实例需开启双栈混绑功能,开启后七层监听器可以同时绑定 IPv4 和 IPv6 的后端服务器,当七层监听器混绑 IPv4 IP 时,支持跨地域绑定2.0和混合云部署。IPv6 版本的实例绑定 IPv6 的后端服务器时,不支持跨地域绑定2.0和混合云部署。
跨地域绑定2.0和混合云部署,不支持 安全组默认放通,请在后端服务器上放通 Client IP 和服务端口。
跨地域绑定2.0和混合云部署不支持绑定其它负载均衡实例(即不支持 CLB 绑定 CLB )。
四七层监听器均支持获取客户端 IP,四层负载均衡在后端 CVM 上获取的源 IP 即为客户端 IP,七层负载均衡需通过 X-Forwarded-For 或 remote_addr 字段获取客户端 IP。详情请参见 绑定云上 IP 场景下获取客户端真实 IP

前提条件

1. 已提交内测申请,跨地域绑定请通过 内测申请,跨境绑定请进行 商务申请
2. 已创建负载均衡实例,详情请参见 创建负载均衡实例
3. 已创建云联网实例,详情请参见 新建云联网实例
4. 将需要绑定的目标 VPC 关联至已创建的云联网实例,详情请参见 关联网络实例

操作步骤

1. 登录 负载均衡控制台
2. 实例管理页面左上角选择地域,在实例列表找到目标实例,单击实例 ID。
3. 在“基本信息”页面的“后端服务”区域,单击点击配置绑定非本 VPC 的内网 IP。


4. 在弹出的“打开启用非本 VPC 内 IP”对话框中,单击提交

5. 在“基本信息”页面的“后端服务”区域查看到“启用非本 VPC 内 IP”开关已开启,表示可以绑定云上 IP。

6. 在实例详情页面,单击“监听器管理”页签,在配置监听器模块中,为负载均衡实例绑定后端服务,详情请参见 添加负载均衡后端云服务器
7. 在弹出的“绑定后端服务”对话框中,选择“其他 VPC”,单击云服务器,选择需要关联的云服务器(可多选),并填写相关云服务器需要被转发的端口与权重,详情请参见 服务器常用端口,单击确认

8. 返回“已绑定后端服务”区域可以查看已绑定的其他地域的 CVM。

混合云部署

最近更新时间:2024-01-04 17:32:00

在混合云部署的场景中,可以使用负载均衡直接绑定云下本地数据中心(IDC)内 IP,实现跨 VPC 与 IDC 之间的后端服务器的绑定。 目前该功能处于内测阶段,如果您需要体验该功能,境内跨地域绑定请通过 内测申请,境外跨地域绑定请进行 商务申请

方案优势

快速搭建混合云,无缝连接云上云下,负载均衡可将请求同时转发至云上 VPC 内服务器和云下 IDC 机房内云服务器。
复用腾讯云的高质量公网接入能力。
复用腾讯云负载均衡的丰富功能特性,例如四/七层接入、健康检查、会话保持等。
内网通过 云联网 互通,支持精细化选路保障质量,支持多样化阶梯计费降低成本。




限制条件

跨地域绑定2.0暂不支持传统型负载均衡。
该功能仅标准账户类型支持。若您无法确定账户类型,请参见 判断账户类型
仅 VPC 支持,基础网络不支持。
IPv4 和 IPv6 NAT64 版本的负载均衡实例支持该功能。IPv6 版本的实例需开启双栈混绑功能,开启后七层监听器可以同时绑定 IPv4 和 IPv6 的后端服务器,当七层监听器混绑 IPv4 IP 时,支持跨地域绑定2.0和混合云部署。IPv6 版本的实例绑定 IPv6 的后端服务器时,不支持跨地域绑定2.0和混合云部署。
跨地域绑定2.0和混合云部署,不支持 安全组默认放通,请在后端服务器上放通 Client IP 和服务端口。
跨地域绑定2.0和混合云部署不支持绑定其它负载均衡实例(即不支持 CLB 绑定 CLB)。
目前仅广州、上海、济南、杭州、合肥、北京、天津、成都、重庆、中国香港、新加坡、硅谷地域支持该功能。
TCP 和 TCP SSL 监听器需在 RS 上通过通用 TOA 获取源 IP,详情请参见 混合云部署场景下通过 TOA 获取客户端真实 IP
HTTP 和 HTTPS 监听器需通过 X-Forwarded-For(XFF)获取源 IP。
UDP 监听器不支持获取源 IP。


前提条件

1. 已提交内测申请,境内跨地域绑定请通过 内测申请,境外跨地域绑定请进行 商务申请
2. 已创建负载均衡实例,详情请参见 创建负载均衡实例
3. 已创建云联网实例,详情请参见 新建云联网实例
4. 将与 IDC 关联的专线网关和需要绑定的目标 VPC 关联至已创建的云联网实例,详情请参见 关联网络实例


操作步骤

1. 登录 负载均衡控制台
2. 在负载均衡“实例管理”页面找到目标负载均衡实例,单击实例 ID。
3. 在“基本信息”页面的“后端服务”区域,单击点击配置绑定非本 VPC 的内网 IP。


4. 在弹出的“打开启用非本 VPC 内 IP”对话框中,单击提交


5. 在“基本信息”页面的“后端服务”区域,单击新增 SNAT IP


6. 在弹出的“新增 SNAT IP”对话框中,选择“子网”,单击新增分配 IP,最后单击保存
说明:
SNAT IP 主要用于混合云部署中将请求转发至 IDC 内服务器的场景,使用负载均衡绑定云联网打通的 IDC 内 IP 时,必须分配 SNAT IP。SNAT IP 是您的 VPC 的内网 IP。
单个 CLB 实例最多支持配置10个 SNAT IP。
单个 CLB 实例的单个规则配置单个 SNAT IP,绑定单个后端服务后的连接数最大是5.5万个,若增加 SNAT IP 或增加后端服务时,连接数等比例增加。例如1个 CLB 实例配置了2个 SNAT IP,后端绑定了10个端口,此时该 CLB 实例总的连接数是:2 x 10 x 5.5万 = 110万个。您可以根据连接数来评估 SNAT IP 的分配个数。
删除 SNAT IP 时,该 SNAT IP 上的连接会全部断开,请谨慎操作。

7. 在实例详情页面,单击“监听器管理”页签,在配置监听器模块中,为负载均衡实例绑定后端服务,详情请参见 添加负载均衡后端云服务器
8. 在弹出的“绑定后端服务”对话框中,选择“其他内网 IP”,单击添加内网 IP,输入需绑定的 IDC 内网 IP 地址,并填写端口与权重,详情请参见 服务器常用端口,最后单击确认
9. 返回“已绑定后端服务”区域可以查看已绑定的 IDC 的内网 IP。

相关文档

跨地域绑定2.0(新版)

后端云服务器的安全组配置

最近更新时间:2024-01-04 17:32:01

CVM 安全组简介

负载均衡的后端云服务器实例可以通过 安全组 进行访问控制,起到防火墙的作用。
您可以将一个或多个安全组与后端云服务器关联,并对每个安全组添加一条或多条规则控制不同服务器的流量访问权限。您可以随时修改某个安全组的规则,新规则会自动应用于与该安全组关联的所有实例。有关更多信息,请参阅 安全组操作指南。在 私有网络 环境中,您还可以使用 网络 ACL 进行访问控制。

CVM 安全组配置说明

在 CVM 的安全组上,需放通 Client IP 和服务端口。
若您使用 CLB 转发业务流量到 CVM 上,为保障健康检查功能,在 CVM 的安全组上需做如下配置:

  1. 公网负载均衡:您需要在后端 CVM 的安全组上放通 CLB 的 VIP,CLB 使用 VIP 来探测后端 CVM 的健康状态。
  2. 内网负载均衡:
    • 对于内网负载均衡(原“应用型内网负载均衡”),如果您的 CLB 属于 VPC 网络,您需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);如果您的 CLB 属于基础网络,无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。
    • 对于传统型内网负载均衡,如果实例创建于2016年12月5日前且网络类型为 VPC 网络,则需要在后端 CVM 的安全组上放通 CLB 的 VIP(用作健康检查);其他类型的传统型内网 CLB 无需在后端 CVM 的安全组上配置,默认放通健康检查 IP。

CVM 安全组配置示例

如下示例为通过 CLB 访问 CVM 时,CVM 安全组的配置示例。若您在 CLB 上也配置了安全组,请参照 配置负载均衡安全组 来配置 CLB 上的安全组规则。

b. 用作 Client 的服务器安全组出站规则配置如下

CLB VIP    + 8080 allow
0.0.0.0/0  + 8080 drop

b. 用作 Client 的服务器安全组出站规则配置如下:

CLB VIP    + 8080 allow
0.0.0.0/0  + 8080 drop
注意:

  • 上述配置步骤有顺序要求,顺序相反会导致黑名单配置失效。
  • 安全组是有状态的,因此上述配置均为入站规则的配置,出站规则无需特殊配置。

CVM 安全组操作指引

使用控制台管理后端服务器安全组

  1. 登录 负载均衡控制台,单击相应的负载均衡实例 ID 进入负载均衡详情页。
  2. 在 CLB 绑定的云服务器页面中,单击相应的后端服务器 ID 进入云服务器详情页。
  3. 单击安全组选项卡,即可绑定/解绑安全组。

使用云 API 管理后端服务器安全组

请参考 绑定安全组接口解绑安全组接口

健康检查

健康检查概述

最近更新时间:2024-01-04 17:32:01

负载均衡通过健康检查来判断后端服务的可用性,避免后端服务异常影响前端业务,从而提高业务整体可用性。
开启健康检查后,无论后端服务器权重是多少(包括权重为0),负载均衡实例都会进行健康检查。您可在实例列表页面的“健康状态”列查看健康检查状态,或者在监听器的绑定后端服务详情页面查看健康检查状态。
当后端服务器实例被判定为异常后,负载均衡实例自动将新的请求转发给其他正常的后端服务器,而不会转发到异常的后端服务器。
当异常实例恢复正常后,负载均衡将其恢复至负载均衡服务中,重新转发请求给此实例。
若健康检查探测到所有后端服务都有异常时,请求将会被转发给所有后端服务器。
关闭健康检查,负载均衡将向所有后端服务器转发流量(包括异常的后端服务器),因此强烈建议您打开健康检查,允许负载均衡帮您自动检查并移除异常的后端服务器。
默认被动健康检查,针对四层 TCP SSL 监听器、七层 HTTP/HTTPS 监听器,将默认配置被动健康检查能力(默认开启,不支持关闭)。CLB 向后端服务转发流量的同时并记录后端服务的健康状态。若转发失败则重试将流量转发至其他后端服务上,同时累计此后端服务失败次数1次,累计失败达到3次,则屏蔽该后端服务10秒,屏蔽时间结束后,恢复流量转发并继续记录后端服务的健康状态。

健康检查状态

根据健康检查探测情况,后端服务器的健康检查状态如下所示:
状态
说明
是否转发流量
探测中
新绑定的后端服务器在检查间隔 × 健康阈值时间内的状态,例如,检查间隔2s,健康阈值3次,则是6s内的状态。
CLB 不向处于“探测中”的后端服务转发流量。
健康
后端服务正常
CLB 向“健康”的后端服务转发流量。
异常
后端服务异常
CLB 不向“异常”的后端服务转发流量。
在一个四层监听器或者七层 URL 规则下,如果 CLB 探测到所有后端服务都不健康,将会激活全死全活逻辑,即请求将会转发给所有后端服务。
已关闭
关闭健康检查
CLB 向所有后端服务转发流量。

TCP 健康检查

针对四层 TCP 监听器,您可以配置 TCP 健康检查,通过 SYN 包即发起 TCP 三次握手来获取后端服务器的状态信息。您还可以通过自定义协议的请求内容和返回结果来获取后端服务器的状态信息。

TCP 健康检查机制如下:
1. 负载均衡向后端服务器(内网 IP 地址+健康检查端口)发送 SYN 连接请求报文。
2. 后端服务器收到 SYN 请求报文后,若相应端口处于正常监听状态,则会返回 SYN+ACK 响应报文。
3. 若在响应超时时间内,负载均衡收到后端服务器返回的 SYN+ACK 响应报文,则表示服务运行正常,判定健康检查成功,并向后端服务器发送 RST 复位报文中断 TCP 连接。
4. 若在响应超时时间内,负载均衡未收到后端服务器返回的 SYN+ACK 响应报文,则表示服务运行异常,判定健康检查失败,并向后端服务器发送 RST 复位报文中断 TCP 连接。

UDP 健康检查

针对四层 UDP 监听器,您可以配置 UDP 健康检查,通过Ping命令和向健康检查端口发送 UDP 探测报文来获取健康状态。您还可以通过自定义协议的请求内容和返回结果来获取后端服务器的状态信息。

UDP 健康检查机制如下:
1. 负载均衡向后端服务器的内网 IP 地址发起Ping命令;
2. 负载均衡向后端服务器(内网 IP 地址+健康检查端口)发送 UDP 探测报文;
3. Ping成功,且在响应超时时间内,后端服务器未返回port XX unreachable的报错信息,则表示服务正常,判定健康检查成功;
4. Ping失败,或者在响应超时时间内,系统收到后端服务器返回的port XX unreachable报错信息,则表示服务异常,判定健康检查失败;
注意:
UDP 健康检查依赖 ICMP 协议,需要后端服务器开放回复 ICMP 包(支持 Ping)、开放回复 ICMP 端口不可达包(支持探测端口);
如果后端服务器是 Linux 服务器,在大并发场景下,由于 Linux 有防 ICMP 攻击保护机制,会限制服务器发送 ICMP 的速度。此时,即使后端服务已经出现异常,但由于无法向 CLB 返回 port XX unreachable,CLB 由于没收到 ICMP 应答进而判定健康检查成功,最终导致后端服务的真实状态与健康检查不一致。 解决方案:在配置 UDP 健康检查时,配置自定义输入和输出,向后端服务器发送您指定的字符串,且 CLB 收到您指定的应答后才判断健康检查成功。此方案依赖后端服务器,后端服务器需处理健康检查输入并返回指定输出。

HTTP 健康检查

针对四层 TCP 监听器和七层 HTTP/HTTPS 监听器,您可以配置 HTTP 健康检查,通过发送 HTTP 请求来获取后端服务器的状态信息。

HTTP 健康检查机制如下:
1. 负载均衡根据健康检查配置,向后端服务器(内网 IP 地址+健康检查端口+检查路径)发送 HTTP 请求(可选择设置检查域名)。
2. 后端服务器收到请求后返回相应的 HTTP 状态码。
3. 若在响应超时时间内,负载均衡收到了后端服务器返回的 HTTP 状态码,若与设置的 HTTP 状态码匹配成功,则判定健康检查成功,反之则判定健康检查失败。
4. 若在响应超时时间内,负载均衡未收到后端服务器的响应,则判定健康检查失败。
说明
针对七层 HTTPS 监听器,当 HTTPS 监听器的转发规则中的后端协议选择 HTTP 时,健康检查使用 HTTP 健康检查;当选择 HTTPS 时,健康检查使用 HTTPS 健康检查。
HTTPS 健康检查与 HTTP 健康检查 基本类似,不同的是 HTTPS 健康检查是通过发送 HTTPS 请求,根据返回的 HTTPS 状态码判断后端服务器的状态信息。

健康检查时间窗

负载均衡的健康检查机制有效提高了业务的可用性。为了避免频繁的健康检查失败引起的切换对系统可用性的冲击,健康检查只有在健康检查时间窗内连续多次检查成功或失败后,才会进行健康或异常的状态切换。健康检查时间窗由以下因素决定:
健康检查配置
说明
默认值
响应超时
健康检查响应的最大超时时间。
如果后端服务器在超时时间内没有正确响应,则判定为健康检查异常。
可配置范围:2 - 60秒。
2秒
检测间隔
负载均衡进行健康检查的时间间隔。
可配置范围:5 - 300秒。
5秒
不健康阈值
如果连续 n 次(n 为填写的数值)收到的健康检查结果失败,则识别为不健康,控制台显示为失败
可配置范围:2 - 10次。
3次
健康阈值
如果连续 n 次(n 为填写的数值)收到的健康检查结果为成功,则识别为健康,控制台显示为成功
可配置范围:2 - 10次。
3次
四层健康检查时间窗的计算方法如下:
说明:
响应超时时间要小于检查间隔时间。
四层健康检查,即 TCP 健康检查或 UDP 健康检查,无论检查成功还是响应超时,前后两次之间发包的检查间隔都是已设置的检查间隔。
健康检查失败时间窗 = 检查间隔 ×(不健康阈值 - 1) 下图以健康检查响应超时时间为2s,检查间隔为5s,不健康阈值为3次为例,健康检查失败时间窗 = 5 x(3-1)= 10s。


健康检查成功时间窗 = 检查间隔 ×(健康阈值 - 1) 下图以健康检查成功响应时间为1s,检查间隔为5s,健康阈值为3次为例,健康检查成功时间窗 = 5 x(3-1)= 10s。


七层健康检查时间窗的计算方法如下:
健康检查失败时间窗 = 响应超时时间 × 不健康阈值 + 检查间隔 ×(不健康阈值 - 1) 下图以健康检查响应超时时间为2s,检查间隔为5s,不健康阈值为3次为例,健康检查失败时间窗 = 2 x 3 + 5 x(3-1)= 16s。


健康检查成功时间窗 = 健康检查成功响应时间 × 健康阈值 + 检查间隔 ×(健康阈值 - 1) 下图以健康检查成功响应时间为1s,检查间隔为5s,健康阈值为3次为例,健康检查成功时间窗 = 1 x 3 + 5 x(3-1)= 13s。



健康检查探测标识

在 CLB 开启健康检查后,后端服务器除接收正常的业务请求外,还会接收到健康检查探测请求。健康检查探测请求有如下标识:
健康检查探测请求的源 IP 是 CLB 的 VIP 或100.64.0.0/10网段。
四层(TCP、UDP、TCP SSL)监听器的健康检查请求中会带“HEALTH CHECK”标识。
七层(HTTP、HTTPS)监听器的健康检查请求 Header 中的 user-agent 为“clb-healthcheck”。
说明:
传统型内网负载均衡,健康检查源 IP 为 169.254.128.0/17 网段。
基础网络内网负载均衡,健康检查源 IP 为服务器物理 IP。

相关文档

配置健康检查
配置健康检查日志
配置告警策略

配置健康检查

最近更新时间:2024-01-04 17:32:00

您可以在配置监听器时开启健康检查功能来判断后端服务的可用性。健康检查详情请参见 健康检查概述

限制说明

IPv6 版本的负载均衡的 TCP 监听器不支持 HTTP 健康检查和自定义方式健康检查。
IPv6 版本的负载均衡的 UDP 监听器不支持自定义方式的健康检查。

前提条件

1. 您已创建负载均衡实例,详情请参见 创建负载均衡实例
2. 您已创建负载均衡监听器。
创建 TCP 监听器,详情请参见 配置 TCP 监听器
创建 UDP 监听器,详情请参见 配置 UDP 监听器
创建 TCP SSL 监听器,详情请参见 配置 TCP SSL 监听器
创建 HTTP 监听器,详情请参见 配置 HTTP 监听器
创建 HTTPS 监听器,详情请参见 配置 HTTPS 监听器

TCP 监听器

四层 TCP 监听器支持四层 TCP、七层 HTTP 和自定义方式三种类型的健康检查。
TCP 健康检查通过 SYN 包即发起 TCP 三次握手来获取后端服务器的状态信息。
HTTP 健康检查通过发送 HTTP 请求来获取后端服务器的状态信息。
自定义健康检查通过自定义应用层协议的输入和输出内容来获取后端服务器的状态信息。

配置 TCP 健康检查

1. 参考 前提条件,操作至“健康检查”页签。
2. 在“健康检查”页签,选择“TCP”检查方式。



参数
说明
健康检查
可开启或关闭健康检查功能。建议您开启健康检查,帮助您自动检查并移除异常的后端服务器端口。
健康探测源 IP
健康检查探测包的源 IP,默认为100.64.0.0/10网段,使用该网段可以有效避免地址冲突。存量用户可选负载均衡的 VIP 作为健康探测的源 IP,也可通过自助工具一键切换为100.64.0.0/10网段,详情请参见 健康探测源 IP 诊断助手
检查方式
选择“TCP”表示配置 TCP 健康检查。
检查端口
非必填,不填写端口时默认为后端服务器端口。除需要指定特定端口以外,其余情况建议不填写。
显示高级选项
详情请参见 高级选项

配置 HTTP 健康检查

1. 参考 前提条件,操作至“健康检查”页签。
2. 在“健康检查”页签,选择“HTTP”检查方式。



参数
说明
健康检查
可开启或关闭健康检查功能。建议您开启健康检查,帮助您自动检查并移除异常的后端服务器端口。
健康探测源 IP
健康检查探测包的源 IP,默认为100.64.0.0/10网段,使用该网段可以有效避免地址冲突。存量用户可选负载均衡的 VIP 作为健康探测的源 IP,也可通过自助工具一键切换为100.64.0.0/10网段,详情请参见 健康探测源 IP 诊断助手
检查方式
选择“HTTP”表示配置 HTTP 健康检查。
检查端口
非必填,不填写端口时默认为后端服务器端口。除需要指定特定端口以外,其余情况建议不填写。
检查域名
健康检查域名:
长度限制:1 - 80个字符。
默认为转发域名。
不支持正则表达式,当您的转发域名为通配域名时,需要指定某一固定域名(非正则)为健康检查域名。
支持的字符集为:a-z 0-9 . -。
检查路径
健康检查路径 :
长度限制:1 - 200个字符。
默认为 /,且必须以 / 开头。
不支持正则表达,建议指定某个固定 URL 路径(静态页面)进行健康检查。
支持的字符集为:a-z A-Z 0-9 . - _ / = ?。
HTTP 请求方式
健康检查的 HTTP 请求方式,可选:GET 或 HEAD,默认为 GET。
若使用 HEAD 方法,服务器仅返回 HTTP 头部信息,可降低后端开销,提升请求效率,对应的后端服务需支持 HEAD。
若使用 GET 方法,则后端服务支持 GET 即可。
HTTP 版本
后端服务的 HTTP 版本。
若后端服务器支持的 HTTP 版本为1.0,则无需校验请求的 Host 字段,即无需配置检查域名。
若后端服务器支持的 HTTP 版本为1.1,则需要校验请求的 Host 字段,即需要配置检查域名。
说明:当选择 HTTP /1.1 版本时,此时若未配置检查域名,按照 HTTP 标准协议,后端服务器会返回400错误码,提示健康检查异常,建议勾选正常状态码http_4xx。
正常状态码
当状态码为所选状态码时,认为后端服务器存活,即健康检查正常。可选:http_1xx、http_2xx、http_3xx、http_4xx 和 http_5xx。
显示高级选项
详情请参见 高级选项

配置自定义健康检查

1. 参考 前提条件,操作至“健康检查”页签。
2. 在“健康检查”页签,选择“自定义”检查方式。



参数
说明
健康检查
可开启或关闭健康检查功能。建议您开启健康检查,帮助您自动检查并移除异常的后端服务器端口。
健康探测源 IP
健康检查探测包的源 IP,默认为100.64.0.0/10网段,使用该网段可以有效避免地址冲突。存量用户可选负载均衡的 VIP 作为健康探测的源 IP,也可通过自助工具一键切换为100.64.0.0/10网段,详情请参见 健康探测源 IP 诊断助手
检查方式
选择“自定义”表示配置自定义协议健康检查。
检查端口
非必填,不填写端口时默认为后端服务器端口。除需要指定特定端口以外,其余情况建议不填写。
输入格式
支持文本和十六进制输入。
输入格式为文本是将文本转换成二进制进行请求发送和返回结果对比。
输入格式为十六进制是将十六进制转换成二进制进行请求发送和返回结果对比。
检查请求
自定义健康检查请求内容,必填。例如探测 DNS 服务的检查请求示例为:F13E0100000100000000000003777777047465737403636F6D0774656E63656E7403636F6D0000010001。
检查返回结果
自定义健康检查请求时,必须填写健康检查返回结果。例如探测 DNS 服务的检查返回结果示例为:F13E。
显示高级选项
详情请参见 高级选项

UDP 监听器

UDP 监听器支持 UDP 健康检查,包括检查端口和 PING 两种检查类型。

配置自定义健康检查

1. 参考 前提条件,操作至“健康检查”页签。
2. 在“健康检查”页签,选择“自定义”检查方式。



参数
说明
健康检查
可开启或关闭健康检查功能。建议您开启健康检查,帮助您自动检查并移除异常的后端服务器端口。
健康探测源 IP
健康检查探测包的源 IP,默认为100.64.0.0/10网段,使用该网段可以有效避免地址冲突。存量用户可选负载均衡的 VIP 作为健康探测的源 IP,也可通过自助工具一键切换为100.64.0.0/10网段,详情请参见 健康探测源 IP 诊断助手
检查方式
选择“自定义”表示健康探测源 IP 向后端服务器发送 UDP 探测报文来获取后端服务器的状态信息。
检查端口
非必填,不填写端口时默认为后端服务器端口。除需要指定特定端口以外,其余情况建议不填写。
输入格式
支持文本和十六进制输入。
输入格式为文本是将文本转换成二进制进行请求发送和返回结果对比。
输入格式为十六进制是将十六进制转换成二进制进行请求发送和返回结果对比。
检查请求
自定义健康检查请求内容。例如探测 DNS 服务的检查请求示例为:F13E0100000100000000000003777777047465737403636F6D0774656E63656E7403636F6D0000010001。
检查返回结果
自定义健康检查请求时,必须配置健康检查返回结果。例如探测 DNS 服务的检查返回结果示例为:F13E。
显示高级选项
详情请参见 高级选项

配置 PING 健康检查

1. 参考 前提条件,操作至“健康检查”页签。
2. 在“健康检查”页签,选择“PING”检查方式。



参数
说明
健康检查
可开启或关闭健康检查功能。建议您开启健康检查,帮助您自动检查并移除异常的后端服务器端口。
健康探测源 IP
健康检查探测包的源 IP,默认为100.64.0.0/10网段,使用该网段可以有效避免地址冲突。存量用户可选负载均衡的 VIP 作为健康探测的源 IP,也可通过自助工具一键切换为100.64.0.0/10网段,详情请参见 健康探测源 IP 诊断助手
检查方式
选择“PING”表示通过 Ping 后端服务器的 IP 地址来获取后端服务器的状态信息。
显示高级选项
详情请参见 高级选项

TCP SSL 监听器

配置 TCP 健康检查

1. 参考 前提条件,操作至“健康检查”页签。
2. 在“健康检查”页签,选择“TCP”检查方式。



参数
说明
健康检查
可开启或关闭健康检查功能。建议您开启健康检查,帮助您自动检查并移除异常的后端服务器端口。
健康探测源 IP
健康检查探测包的源 IP,默认为100.64.0.0/10网段,使用该网段可以有效避免地址冲突。存量用户可选负载均衡的 VIP 作为健康探测的源 IP,也可通过自助工具一键切换为100.64.0.0/10网段,详情请参见 健康探测源 IP 诊断助手
检查方式
选择“TCP”表示配置 TCP 健康检查。
检查端口
TCP SSL 监听器的健康检查端口与监听端口一致。
显示高级选项
详情请参见 高级选项

配置 HTTP 健康检查

1. 参考 前提条件,操作至“健康检查”页签。
2. 在“健康检查”页签,选择“HTTP”检查方式。



参数
说明
健康检查
可开启或关闭健康检查功能。建议您开启健康检查,帮助您自动检查并移除异常的后端服务器端口。
健康探测源 IP
健康检查探测包的源 IP,默认为100.64.0.0/10网段,使用该网段可以有效避免地址冲突。存量用户可选负载均衡的 VIP 作为健康探测的源 IP,也可通过自助工具一键切换为100.64.0.0/10网段,详情请参见 健康探测源 IP 诊断助手
检查方式
选择“HTTP”表示配置 HTTP 健康检查。
检查端口
TCP SSL 监听器的健康检查端口与监听端口一致。
检查域名
健康检查域名:
长度限制:1 - 80个字符。
默认为转发域名。
不支持正则表达式,当您的转发域名为通配域名时,需要指定某一固定域名(非正则)为健康检查域名。
支持的字符集为:a-z 0-9 . -。
检查路径
健康检查路径 :
长度限制:1 - 200个字符。
默认为 /,且必须以 / 开头。
不支持正则表达,建议指定某个固定 URL 路径(静态页面)进行健康检查。
支持的字符集为:a-z A-Z 0-9 . - _ / = ?。
HTTP 请求方式
健康检查的 HTTP 请求方式,可选:GET 或 HEAD,默认为 GET。
若使用 HEAD 方法,服务器仅返回 HTTP 头部信息,可降低后端开销,提升请求效率,对应的后端服务需支持 HEAD。
若使用 GET 方法,则后端服务支持 GET 即可。
HTTP 版本
后端服务的 HTTP 版本,仅支持 HTTP1.1 版本。后端服务需要校验请求的 Host 字段,即需要配置检查域名。
说明:若未配置检查域名,按照 HTTP 标准协议,后端服务器会返回400错误码,提示健康检查异常,建议勾选正常状态码http_4xx。
正常状态码
当状态码为所选状态码时,认为后端服务器存活,即健康检查正常。可选:http_1xx、http_2xx、http_3xx、http_4xx 和 http_5xx。
显示高级选项
详情请参见 高级选项

HTTP 监听器

配置 HTTP 健康检查

1. 参考 前提条件,操作至“健康检查”页签。
2. 在“健康检查”页签,选择“HTTP”检查方式。



参数
说明
健康检查
可开启或关闭健康检查功能。建议您开启健康检查,帮助您自动检查并移除异常的后端服务器端口。
健康探测源 IP
健康检查探测包的源 IP,默认为100.64.0.0/10网段,使用该网段可以有效避免地址冲突。存量用户可选负载均衡的 VIP 作为健康探测的源 IP,也可通过自助工具一键切换为100.64.0.0/10网段,详情请参见 健康探测源 IP 诊断助手
检查域名
健康检查域名:
长度限制:1 - 80个字符。
默认为转发域名。
不支持正则表达式,当您的转发域名为通配域名时,需要指定某一固定域名(非正则)为健康检查域名。
支持的字符集为:a-z 0-9 . -。
检查路径
健康检查路径可设置为后端服务器根目录或指定的 URL:
长度限制:1 - 200个字符。
默认为 /,且必须以 / 开头。
不支持正则表达,建议指定某个固定 URL 路径(静态页面)进行健康检查。
支持的字符集为:a-z A-Z 0-9 . - _ / = ?。
响应超时
健康检查响应的最大超时时间。
如果后端云服务器在超时时间内没有正确响应,则判定为健康检查异常。
可配置范围:2 - 60秒。
检测间隔
负载均衡进行健康检查的时间间隔。
可配置范围:2 - 300秒。
不健康阈值
如果连续 n 次(n 为填写的数值)收到的健康检查结果失败,则识别为不健康,控制台显示为异常。
可配置范围:2 - 10次。
健康阈值
如果连续 n 次(n 为填写的数值)收到的健康检查结果为成功,则识别为健康,控制台显示为健康。
可配置范围:2 - 10次。
HTTP 请求方式
健康检查的 HTTP 请求方式,可选:GET 或 HEAD,默认为 GET。
若使用 HEAD 方法,服务器仅返回 HTTP 头部信息,可降低后端开销,提升请求效率,对应的后端服务需支持 HEAD。
若使用 GET 方法,则后端服务支持 GET 即可。
正常状态码
当状态码为所选状态码时,认为后端服务器存活,即健康检查正常。可选:http_1xx、http_2xx、http_3xx、http_4xx 和 http_5xx。

配置 TCP 健康检查

1. 参考 前提条件,操作至“健康检查”页签。
2. 在“健康检查”页签,选择“TCP”检查方式。



参数
说明
健康检查
可开启或关闭健康检查功能。建议您开启健康检查,帮助您自动检查并移除异常的后端服务器端口。
健康源探测 IP
健康检查探测包的源 IP,默认为100.64.0.0/10网段,使用该网段可以有效避免地址冲突。存量用户可选负载均衡的 VIP 作为健康探测的源 IP,也可通过自助工具一键切换为100.64.0.0/10网段,详情请参见 健康探测源 IP 诊断助手
检查协议
选择“TCP”表示配置 TCP 健康检查。
显示高级选项
详情请参见 高级选项

HTTPS 监听器

说明:
当 HTTPS 监听器转发规则中的后端协议选择 HTTP 协议时,健康检查使用 HTTP 健康检查;当选择 HTTPS 协议时,健康检查使用 HTTPS 健康检查。
HTTPS 监听器的健康检查配置参考以上的 HTTP 监听器 的健康检查即可。

高级选项

健康检查配置
说明
默认值
响应超时
健康检查响应的最大超时时间。
如果后端云服务器在超时时间内没有正确响应,则判定为健康检查异常。
可配置范围:2 - 60秒。
2秒
检测间隔
负载均衡进行健康检查的时间间隔。
可配置范围:2 - 300秒。
5秒
不健康阈值
如果连续 n 次(n 为填写的数值)收到的健康检查结果失败,则识别为不健康,控制台显示为异常
可配置范围:2 - 10次。
3次
健康阈值
如果连续 n 次(n 为填写的数值)收到的健康检查结果为成功,则识别为健康,控制台显示为健康
可配置范围:2 - 10次。
3次

相关文档

健康检查概述
配置告警策略

健康探测源 IP 支持100.64.0.0/10网段

最近更新时间:2023-08-03 10:57:25

本文介绍如何将 CLB 健康检查的源 IP 由 CLB 的虚拟服务地址(VIP)设置为100.64.0.0/10网段,本文以 TCP 监听器为例。

使用场景

1. 收敛后端服务器安全组 健康检查源 IP 收敛为 100.64.0.0/10 网段。
2. 解决自建 Kubernetes 集群内网回环问题 K8s 服务需要同时对集群内和集群外暴露。其中集群内通过集群内部负载均衡(IPVS)实现,集群外通过内网负载均衡 CLB 实现。IPVS 会把内网 CLB 的 IP 地址绑定在本地的一个接口上,这样集群内访问内网 CLB 的地址实际上用的是集群内的 IPVS 负载均衡。 而在容器服务 TKE 中,内网 CLB 使用了 CLB 的 VIP 地址作为健康检查源 IP,这与原生的 K8s 实现方式 IPVS 绑定的地址冲突,导致内网 CLB 健康检查失败。 设置健康检查源 IP 为100.64.0.0/10网段,可以避免地址冲突,解决健康检查失败问题。

处理步骤

1. 登录 负载均衡控制台
2. 实例管理页面左上角选择地域,在实例列表中找到目标实例,在操作列单击配置监听器
3. 监听器管理页签,找到目标监听器,单击监听器右侧的

图标编辑监听器。
4. 在弹出的编辑监听器对话框中,单击下一步健康检查页签。
5. 健康检查页签中,健康检查源 IP 选择100.64.0.0/10网段,单击下一步后再单击提交


热点问题

将健康探测源 IP 切换为100.64.0.0/10网段有什么优势?

健康探测源 IP 使用100.64.0.0/10网段时,您无需在后端服务器的安全组中额外针对该网段配置放行策略。若在后端服务器中配置 iptables 等其他安全策略,请务必放通该网段,否则将会导致健康探测失败。
收敛后端服务器的安全策略统一为100.64.0.0/10网段。
100.64.0.0/10网段是腾讯云内部地址,用户无法分配到该网段,不会存在地址冲突问题。

使用100.64.0.0/10网段作为健康探测源 IP 时,是固定的一个 IP 吗?

是100.64.0.0/10网段中的某个指定 IP 作为探测 IP,并不是一个固定的 IP。

相关文档

配置健康检查
健康检查探测标识

健康探测源 IP 诊断助手

最近更新时间:2024-01-04 17:32:01

本文介绍如何快速诊断账号下 CLB 实例的健康探测源 IP 是否使用了100.64.0.0/10网段。通过该自助工具,还可以一键完成健康探测的源 IP 由 CLB 的虚拟服务地址(VIP)切换为100.64.0.0/10网段操作。

使用场景

对健康探测源 IP 进行诊断,快速诊断账号下 CLB 实例的健康探测源 IP 是否使用了100.64.0.0/10网段并支持一键切换。
说明:
建议先选择1-2个实例,进行诊断和切换用于功能验证,然后再批量操作。

处理步骤

1. 登录 负载均衡控制台
2. 在左侧导航栏选择自助助手 > 健康探测源 IP 诊断
3. 在页面顶部选择地域,并单击开始诊断
4. 健康探测源 IP 诊断页面,选择目标实例后,并单击开始诊断
5. 诊断完成后,展示诊断结果。
若目标实例中,没有使用 CLB 的虚拟服务地址(VIP)作为健康探测源 IP。
若目标实例中,有使用 CLB 的虚拟服务地址(VIP)作为健康探测源 IP。此时单击一键切换可快速完成健康探测的源 IP 由 CLB 的虚拟服务地址(VIP)切换为100.64.0.0/10网段操作。

其他操作

诊断报告状态说明

状态信息
状态说明
正常 - 无需切换
该次诊断的 CLB 实例中,没有实例的健康探测源 IP 是该实例的虚拟服务地址(VIP)。
正常 - 切换已完成
该次诊断的 CLB 实例中,有实例的健康探测源 IP 是该实例的虚拟服务地址(VIP),且已完成将健康探测源 IP 切换为100.64.0.0/10网段的操作。
警告 - 未切换
该次诊断的 CLB 实例中,有实例的健康探测源 IP 是该实例的虚拟服务地址(VIP),且未完成切换,建议及时操作。

查看诊断报告

1. 登录 负载均衡控制台
2. 在左侧导航栏选择自助助手 > 健康探测源 IP 诊断
3. 在页面顶部选择地域后可查看对应地域的诊断报告信息。
4. 单击操作列中的查看报告,可查看历史诊断报告中的详细信息。

删除诊断报告

1. 登录 负载均衡控制台
2. 在左侧导航栏选择自助助手 > 健康探测源 IP 诊断
3. 在页面顶部选择地域后可查看对应地域的诊断报告信息。
4. 单击操作列中的删除,在弹出的确认删除对话框中,单击确定,即可删除历史诊断报告。

相关文档

配置健康检查
健康检查探测标识

证书管理

管理证书

最近更新时间:2024-01-04 17:32:00

在配置负载均衡的 HTTPS 监听器时,您可以直接使用 SSL 证书服务中的证书或者将所需的第三方签发的服务器证书和 SSL 证书 上传到负载均衡。

证书要求

负载均衡只支持 PEM 格式的证书。在上传证书前,确保您的证书、证书链和私钥符合格式要求。证书要求请参考 证书要求及转换证书格式

证书加密算法

负载均衡支持的证书加密算法包括:ECC 加密算法和 RSA 加密算法。加密算法具体内容可查看 RSA 加密算法与 ECC 加密算法的区别
说明:
HTTPS 监听器的 SSL 解析中的服务器证书支持配置双证书,即两种不同加密算法类型的证书,详情请参见 配置 HTTPS 监听器
监听器类型
配置单证书支持的加密算法
配置双证书支持的加密算法
HTTPS
RSA 或者 ECC
RSA 和 ECC
TCP_SSL、QUIC
RSA 或者 ECC
不支持配置两种不同类型加密算法的证书
TCP、UDP、HTTP
不支持配置证书
不支持配置证书

配置证书

为 HTTPS 监听器配置证书分为以下两种类型:
不启用 SNI,则在监听器维度配置证书,该监听器下所有域名都使用同一个证书。详情请参考 在监听器维度配置证书
启用 SNI,则在域名维度配置证书,该监听器下可为不同的域名配置不同的证书。详情请参考 在域名维度配置证书

更新证书

为避免证书过期对您的服务产生影响,请在证书过期前更新证书。
说明:
证书更新后立即生效,系统不会删除旧证书,但会生成新证书,所有使用该证书的负载均衡实例将会自动更新证书。
1. 登录 负载均衡控制台
2. 在左侧导航栏单击证书管理
3. 证书管理页面的证书列表中,单击目标证书右侧操作列的更新
4. 在弹出的“新建证书”对话框中,填写新证书的证书内容和密钥内容,并单击提交


查看证书关联的负载均衡

1. 登录 负载均衡控制台
2. 在左侧导航栏单击证书管理
3. 证书管理页面的证书列表中,单击目标证书 ID。
4. 基本信息页面,查看证书已关联的负载均衡实例。


证书要求及转换证书格式

最近更新时间:2021-07-21 10:37:45

本文介绍 SSL 证书要求及证书格式转换说明。

常用证书申请流程

1. 使用 OpenSSL 工具在本地生成私钥文件,其中 privateKey.pem 为您的私钥文件,请妥善保管。
openssl genrsa -out privateKey.pem 2048
2. 使用 OpenSSL 工具生成证书请求文件,其中 server.csr 是您的证书请求文件,可用于申请证书。
openssl req -new -key privateKey.pem -out server.csr
3. 获取证书请求文件中的内容前往 CA 等机构站点申请证书。

证书格式要求

用户要申请的证书为:Linux 环境下 PEM 格式的证书。负载均衡不支持其他格式的证书,如其它格式的证书请参见下文 证书转换为 PEM 格式说明 的内容。
如果是通过 root CA 机构颁发的证书,您拿到的证书为唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
如果是通过中级 CA 机构颁发的证书,您拿到的证书文件包含多份证书,需要人为的将服务器证书与中间证书合并在一起上传。
当您的证书有证书链时,请将证书链内容,转化为 PEM 格式内容,与证书内容合并上传。
拼接规则为:服务器证书放第一份,中间证书放第二份,中间不要有空行。
说明:
一般情况下,机构在颁发证书的时候会有对应说明,请注意查阅。
证书格式和证书链格式范例 如下为证书格式和证书链格式范例,请确认格式正确后上传:
1. root CA 机构颁发的证书:证书格式为 Linux 环境下 PEM 格式。样例如下:

证书规则为:
[——-BEGIN CERTIFICATE——-, ——-END CERTIFICATE——-] 开头和结尾;请将这些内容一并上传。
每行64字符,最后一行不超过64字符。
2. 中级机构颁发的证书链: ——-BEGIN CERTIFICATE——- ——-END CERTIFICATE——- ——-BEGIN CERTIFICATE——- ——-END CERTIFICATE——- ——-BEGIN CERTIFICATE——- ——-END CERTIFICATE——-
证书链规则为:
证书之间不能有空行。
每一份证书遵循上文的证书格式要求。

RSA 私钥格式要求

样例如下:

RSA 私钥可以包括所有私钥(RSA 和 DSA)、公钥(RSA 和 DSA)和 (x509) 证书。它存储用 Base64 编码的 DER 格式数据,用 ASCII 报头包围,因此适合系统之间的文本模式传输。
RSA 私钥规则:
[——-BEGIN RSA PRIVATE KEY——-, ——-END RSA PRIVATE KEY——-] 开头结尾,请将这些内容一并上传。
每行64字符,最后一行长度可以不足64字符。
如果您不是按照上述方案生成 [——-BEGIN PRIVATE KEY——-, ——-END PRIVATE KEY——-] 这种格式的可用私钥,您可以按照如下方式转换成可用私钥:
openssl rsa -in old_server_key.pem -out new_server_key.pem
然后将 new_server_key.pem 的内容与证书一起上传。

证书转换为 PEM 格式说明

目前负载均衡只支持 PEM 格式的证书,其他格式的证书需要转换成 PEM 格式后才能上传到负载均衡中,建议通过 openssl 工具进行转换。下面是几种比较流行的证书格式转换为 PEM 格式的方法。
DER 转换为 PEM
P7B 转换为 PEM
PFX 转换为 PEM
CER/CRT 转换为 PEM
DER 格式一般出现在 Java 平台中。 证书转换:
openssl x509 -inform der -in certificate.cer -out certificate.pem
私钥转换:
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
P7B 格式一般出现在 Windows Server 和 tomcat 中。 证书转换:
openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer
获取 outcertificat.cer 里面 [——-BEGIN CERTIFICATE——-, ——-END CERTIFICATE——-] 的内容作为证书上传。 私钥转换:私钥一般在 IIS 服务器里可导出。
PFX 格式一般出现在 Windows Server 中。 证书转换:
openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
私钥转换:
openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
```
对于 CER/CRT 格式的证书,您可通过直接修改证书文件扩展名的方式进行转换。例如,将 “servertest.crt” 证书文件直接重命名为 “servertest.pem” 即可。

SSL 单向认证和双向认证说明

最近更新时间:2021-04-20 17:55:32

SSL(Secure Sockets Layer,安全套接字协议)是为网络通信提供安全及数据完整性的一种安全协议。本文主要介绍 SSL 单向认证和双向认证。
说明:
负载均衡 CLB 可在创建 TCP SSL 监听器或 HTTPS 监听器时,选择 SSL 解析方式为单向认证或双向认证,详情请参见 配置 TCP SSL 监听器配置 HTTPS 监听器

SSL 单向认证和双向认证的区别

SSL 单向认证 无需客户端拥有证书,只需服务端拥有证书。SSL 双向认证 需要客户端和服务端双方都拥有证书。
SSL 单向认证相对于 SSL 双向认证的认证过程,无需在服务端验证客户端证书、以及协商加密方案,服务端发送给客户端也是未加密的密码方案(并不影响 SSL 认证过程的安全性)。
一般 Web 应用的用户数量众多,无需在通讯层做用户身份验证,因此配置 SSL 单向认证即可。但部分金融行业用户的应用对接,可能会要求对客户端做身份验证,此时就需要做 SSL 双向认证。

SSL 单向认证

SSL 单向认证只需要验证服务端的身份,无需验证客户端的身份。SSL 单向认证的流程如下图所示。


1. 客户端发起 HTTPS 建立连接请求,将客户端支持的 SSL 协议版本号、加密算法种类、生成的随机数等信息发送给服务端。
2. 服务端向客户端返回 SSL 协议版本号、加密算法种类、生成的随机数等信息,以及服务端的证书(server.crt)。
3. 客户端验证证书(server.crt)是否合法,并从此证书中获取服务端的公钥:
检查证书是否过期。
检查证书是否已经被吊销。
检查证书是否可信。
检查收到的证书中的域名与请求的域名是否一致。
4. 证书验证通过后,客户端生成一个随机数(密钥 K),作为通信过程中对称加密的密钥,并用服务端证书的公钥进行加密,然后发送给服务端。
5. 服务端收到客户端发送的加密信息后,使用私钥(server.key)进行解密,获取对称加密密钥(密钥 K)。 在接下来的会话中,客户端和服务端将会使用该对称加密密钥(密钥 K)进行通信,保证通信过程中信息的安全。

SSL 双向认证

SSL 双向认证需要验证客户端和服务端的身份。SSL 双向认证的流程如下图所示。


1. 客户端发起 HTTPS 建立连接请求,将客户端支持的 SSL 协议版本号、加密算法种类、生成的随机数等信息发送给服务端。
2. 服务端向客户端返回 SSL 协议版本号、加密算法种类、生成的随机数等信息,以及服务端的证书(server.crt)。
3. 客户端验证证书(server.crt)是否合法,并从此证书中获取服务端的公钥:
检查证书是否过期。
检查证书是否已经被吊销。
检查证书是否可信。
检查收到的证书中的域名与请求的域名是否一致。
4. 服务端要求客户端发送客户端的证书(client.crt),客户端将自己的证书发送至服务端。
5. 服务端验证客户端的证书(client.crt),验证通过后,服务端使用根证书(root.crt)解密客户端证书,然后获取客户端的公钥。
6. 客户端向服务端发送自己所支持的对称加密方案。
7. 服务端从客户端发送过来的对称加密方案中,选择加密程度最高的加密方式,并使用客户端公钥加密后,返回给客户端。
8. 客户端使用客户端的私钥(client.key)解密加密方案,并生成一个随机数(密钥 K),作为通信过程中对称加密的密钥,然后使用服务端证书的公钥进行加密后再发送给服务端。
9. 服务端收到客户端发送的加密信息后,使用服务端的私钥(server.key)进行解密,获取对称加密密钥(密钥 K)。 在接下来的会话中,客户端和服务端将会使用该对称加密密钥(密钥 K)进行通信,保证通信过程中信息的安全。

相关文档

证书要求及转换证书格式

日志管理

访问日志概述

最近更新时间:2022-09-23 19:39:24

负载均衡的访问日志收集了每个客户端请求的详细信息,日志中记录了请求时间、请求路径、客户端 IP 和端口、返回码、响应时间等信息。访问日志可以帮助您了解客户端请求、辅助排查问题、分析梳理用户行为等。
说明:
仅七层负载均衡支持配置访问日志,四层负载均衡不支持配置访问日志。
当前仅部分地域支持配置访问日志,详情请参见CLS 的 可用地域

存储方式

负载均衡的访问日志支持 日志服务(CLS):日志服务是一站式日志服务平台,提供从日志采集、日志存储到日志检索分析、实时消费、日志投递等多项服务,协助用户通过日志来解决业务运营、安全监控、日志审计、日志分析等问题。
功能特性
配置访问日志到 CLS
获取日志的时间粒度
分钟级
在线检索
支持
检索语法
全文检索、键值检索、模糊关键字检索等,详情请参见 检索规则
支持地域
地域支持详情请参见 CLS 的 可用地域
支持类型
支持公网/内网负载均衡
上下游链路
CLS 日志支持投递到 COS,支持使用 CKafka 消费日志。
日志存储
腾讯云默认情况下不承诺存储访问日志,如有业务需要请自行配置访问日志到 CLS。

相关操作

配置访问日志到 CLS

查看操作日志

最近更新时间:2024-01-04 17:32:00

您可以在 操作审计控制台 查询、下载负载均衡的操作记录。
操作审计(CloudAudit)是一项支持对您的腾讯云账号进行监管、合规性检查、操作审核和风险审核的服务。CloudAudit 提供腾讯云账号活动的事件历史记录,这些活动包括通过腾讯云管理控制台、API 服务、命令行工具和其他腾讯云服务执行的操作。这一事件历史记录可以简化安全性分析、资源更改跟踪和问题排查工作。

操作步骤

1. 登录 操作审计控制台
2. 在左侧导航中,单击操作记录,进入“操作记录”页面。您也可以登录 负载均衡控制台,选择页面右上角的云审计,即可快捷进入操作记录页面。
3. 在操作记录页面中,您可以根据用户名、资源类型、资源名称、事件源、事件 ID 等查询操作记录,默认情况下仅展示部分数据,可在页面下方单击点击加载更多来获取更多记录。


4. 您如果想更进一步了解单个操作记录,单击该操作记录左侧的

,即可查看操作记录的详情,包括访问密钥、错误码、事件 ID 等。同时,可以单击查看事件,进行了解事件的相关信息。



配置访问日志

最近更新时间:2024-01-04 17:32:00

负载均衡支持配置七层(HTTP/HTTPS)访问日志(Access Log),访问日志可以帮助您了解客户端请求、辅助排查问题、分析梳理用户行为等。当前访问日志支持存储到 CLS 中,支持分钟粒度的日志上报,在线多规则检索。
负载均衡的访问日志主要用于故障排查,帮助业务快速定位问题。访问日志功能包括日志上报、日志存储和查询:
日志上报,提供尽力而为服务(Best-Effort Service),优先保障业务转发,再保障日志上报。
日志存储和查询,按当前使用的存储服务来提供服务保障 SLA。
说明:
当前负载均衡仅七层协议(HTTP/HTTPS)支持配置访问日志到 CLS,四层协议(TCP/UDP/TCP SSL)不支持配置访问日志到 CLS。
负载均衡配置访问日志到 CLS 的功能免费,用户仅需支付日志服务 CLS 的费用。
当前仅部分地域支持此功能,实际以控制台支持的地域为准。

方式一:为单实例配置访问日志

步骤一:开启访问日志存入 CLS

1. 登录 负载均衡控制台,单击左侧导航栏的实例管理
2. 实例管理页面,单击目标负载均衡 ID。
3. 基本信息页面的“访问日志(七层)”模块,单击铅笔图标。



4. 在弹出的修改 CLS 日志存放位置对话框中,开启启用日志,并选择存储访问日志的日志集和日志主题,单击提交。若您没有创建日志集或日志主题,请 新建相关资源 后,再选取具体的存储位置。



说明:
建议选择 clb_logset 日志集下带 CLB 标识的日志主题。带 CLB 标识的日志主题和普通日志主题的差异在于:
CLB 标识的日志主题默认自动创建索引;普通日志主题需手动创建索引,否则不支持检索。
CLB 标识的日志主题默认支持仪表盘;普通日志主题需手动配置仪表盘。
5. 配置完成后单击日志集或日志主题即可跳转到 CLS 控制台的检索分析页面。
6. (可选)若想关闭访问日志,可再次单击铅笔图标,在弹出的修改 CLS 日志存放位置对话框中进行关闭并提交即可。

步骤二:配置日志主题的索引

说明:
为单实例配置的访问日志的日志主题必须配置索引,否则检索不到日志。
建议配置的索引如下:
键值索引
字段类型
分词符
server_addr
text
无需配置分词符
server_name
text
无需配置分词符
http_host
text
无需配置分词符
status
long
-
vip_vpcid
long
-
具体操作如下:
1. 登录 日志服务控制台,在左侧导航栏单击日志主题
2. 日志主题页面,单击目标日志主题 ID。
3. 在日志主题详情页,单击索引配置页签,单击右上角的编辑,即可添加索引,添加完成后,单击页面底部确定。索引字段配置说明请参见 开启索引



4. 索引配置完成后结果如下图所示。




步骤三:查看访问日志

1. 登录 日志服务控制台
2. 在左侧导航栏中,单击检索分析
3. 在顶部选择需要查询的日志主题。
4. 选择检索分析语句输入模式,日志服务提供两种模式来输入检索分析语句。详情可参见 语法规则
4.1 交互模式:通过鼠标点击指定检索条件及统计分析规则,自动生成检索分析语句,易用性高。
4.2 语句模式:直接输入检索分析语句,需符合语法规则,灵活度高。
5. 如需切换语法规则,可在此处进行切换,建议使用 CQL。
6. 输入检索分析语句后,在右侧选择时间范围,然后单击搜索按钮,执行检索分析。
6.1 当检索分析语句仅包含检索条件时:可在原始日志中查看匹配检索条件的日志,默认按日志时间倒排。
6.2 当检索分析语句包含 SQL 语句时:可在统计图表中查看分析结果,同时还可在原始日志中查看符合检索条件的日志,以便于对比分析统计结果及原始日志。

方式二:批量配置访问日志

步骤一:创建日志集和日志主题

若您需要配置访问日志到日志服务 CLS 中,则需先创建日志集和日志主题。 若已有日志集和日志主题,则可直接跳转至 步骤二 开始操作。
1. 登录 负载均衡控制台,单击左侧导航栏的访问日志 > 日志列表
2. 访问日志页面左上角选择所属地域,在日志集信息区域,单击创建日志集
3. 在弹出的创建日志集对话框中,设置保存时间,单击保存
说明:
每个地域仅支持创建一个日志集,日志集名称为“clb_logset”。
4. 访问日志页面的日志主题区域,单击新建日志主题
5. 在弹出的新增日志主题对话框,选择存储类型和日志保存时间后,选择左侧的负载均衡实例添加至右侧列表中,单击保存
说明:
存储类型分为标准存储和低频存储,详情请参见 存储类型概述
日志保存支持永久保存和按固定时长保存。
新建日志主题时,可选择添加、或不添加负载均衡实例。在日志主题列表的右侧操作列中,单击管理可重新添加负载均衡实例。每个负载均衡实例仅限添加至一个日志主题中。
一个日志集中可创建多个日志主题(Topic),您可将不同的 CLB 日志放在不同的日志主题中,这些日志主题默认会带 CLB 标识。
6. (可选)若需关闭访问日志,在日志主题列表的右侧操作列中,单击停止,停止投递日志即可。

步骤二:查看访问日志

1. 登录 日志服务控制台
2. 在左侧导航栏中,单击检索分析
3. 在顶部选择需要查询的日志主题。
4. 选择检索分析语句输入模式,日志服务提供两种模式来输入检索分析语句。详情可参见 语法规则
4.1 交互模式:通过鼠标点击指定检索条件及统计分析规则,自动生成检索分析语句,易用性高。
4.2 语句模式:直接输入检索分析语句,需符合语法规则,灵活度高。
5. 如需切换语法规则,可在此处进行切换,建议使用 CQL。
6. 输入检索分析语句后,在右侧选择时间范围,然后单击搜索按钮,执行检索分析。
6.1 当检索分析语句仅包含检索条件时:可在原始日志中查看匹配检索条件的日志,默认按日志时间倒排。
6.2 当检索分析语句包含 SQL 语句时:可在统计图表中查看分析结果,同时还可在原始日志中查看符合检索条件的日志,以便于对比分析统计结果及原始日志。

日志格式及变量说明

日志格式

[$stgw_request_id] [$time_local] [$protocol_type] [$server_addr:$server_port]  [$server_name] [$remote_addr:$remote_port] [$status] [$upstream_addr] [$upstream_status] [$proxy_host] [$request] [$request_length] [$bytes_sent] [$http_host] [$http_user_agent] [$http_referer] [$request_time] [$upstream_response_time] [$upstream_connect_time] [$upstream_header_time] [$tcpinfo_rtt] [$connection] [$connection_requests] [$ssl_handshake_time] [$ssl_cipher] [$ssl_protocol] [$vip_vpcid] [$uri] [$server_protocol]

字段类型

目前日志服务支持如下三种字段类型:
名称
类型描述
text
文本类型
long
整型数值类型(Int 64)
double
浮点数数值类型(64 bit)

日志变量说明

变量名
说明
字段类型
stgw_request_id
请求 ID。
text
time_local
访问的时间与时区,例如,“01/Jul/2019:11:11:00 +0800”,最后的“+0800”表示所处时区为 UTC 之后的8小时,即为北京时间。
text
protocol_type
协议类型(HTTP/HTTPS/SPDY/HTTP2/WS/WSS)。
text
lb_id
CLB 的实例 ID,CLB 实例的唯一标识。
text
server_addr
CLB 的 VIP,仅非域名化实例支持,域名化实例该取值为空。
text
server_port
CLB 的 VPort,即监听端口。
long
server_name
规则的 server_name,CLB 的监听器中配置的域名。
text
remote_addr
客户端 IP。
text
remote_port
客户端端口。
long
status
CLB 返回给客户端的状态码。
long
upstream_addr
RS 地址。
text
upstream_status
RS 返回给 CLB 的状态码。
text
proxy_host
stream ID。
text
request
请求行。
text
request_length
从客户端收到的请求字节数。
long
bytes_sent
发送到客户端的字节数。
long
http_host
请求域名,即 HTTP 头部中的 Host。
text
http_user_agent
HTTP 协议头的 user_agent 字段。
text
http_referer
HTTP 请求来源。
text
http_x_forward_for
HTTP 请求中 x-forward-for header 的内容。
text
request_time
请求处理时间:从收到客户端的第一个字节开始,直到给客户端发送的最后一个字节为止,包括客户端请求到 CLB、CLB 转发请求到 RS、RS 响应数据到 CLB、CLB 转发数据到客户端的总时间。单位:秒。
double
upstream_response_time
整个后端请求所花费时间:从开始 CONNECT RS 到从 RS 接收完应答的时间。单位:秒。
double
upstream_connect_time
和 RS 建立 TCP 连接所花费时间:从开始 CONNECT RS 到开始发送 HTTP 请求的时间。
double
upstream_header_time
从 RS 接收完 HTTP 头部所花费时间:从开始 CONNECT RS 到从 RS 接收完 HTTP 应答头部的时间。
double
tcpinfo_rtt
TCP 连接的 RTT。
long
connection
连接 ID。
long
connection_requests
连接上的请求个数。
long
ssl_handshake_time
记录 SSL 握手各阶段耗时,格式:x:x:x:x:x:x:x。其中,冒号分隔的字符串,单位是ms,每个阶段耗时若小于1ms则显示为0。
第1个字段表示是否 SSL 会话复用。
第2个字段表示完整的握手时间。
3~7表示 SSL 各阶段耗时。
第3个字段表示 CLB 从收到 client hello 到发送 server hell done 的时间。
第4个字段表示 CLB 从发送 server 证书开始到发送 server 证书完成的时间。
第5个字段表示 CLB 从计算签名到发送 server key exchange 完成的时间。
第6个字段表示 CLB 从收到 client key exchange 开始到收完 client key exchange 的时间。
第7个字段表示 CLB 从收到 client key exchange 到发送 server finished 的时间。
text
ssl_cipher
SSL 加密套件。
text
ssl_protocol
SSL 协议版本。
text
vip_vpcid
负载均衡实例所属的私有网络 ID,公网 CLB 的取值为-1。
long
request_method
请求方式,支持 POST 和 GET 请求。
text
uri
资源标识符。
text
server_protocol
CLB 的协议。
text

默认支持检索的日志变量

带“CLB”标识的日志集默认支持检索的字段如下所示:
索引字段
说明
字段类型
time_local
访问的时间与时区,例如,“01/Jul/2019:11:11:00 +0800”,最后的“+0800”表示所处时区为 UTC 之后的8小时,即为北京时间。
text
protocol_type
协议类型(HTTP/HTTPS/SPDY/HTTP2/WS/WSS)。
text
server_addr
CLB 的 VIP。
text
server_name
规则的 server_name,CLB 的监听器中配置的域名。
text
remote_addr
客户端 IP。
text
status
CLB 返回给客户端的状态码。
long
upstream_addr
RS 地址。
text
upstream_status
RS 返回给 CLB 的状态码。
text
request_length
从客户端收到的请求字节数。
long
bytes_sent
发送到客户端的字节数。
long
http_host
请求域名,即 HTTP 头部中的 Host。
text
request_time
请求处理时间:从收到客户端的第一个字节开始,直到给客户端发送的最后一个字节为止,包括客户端请求到 CLB、CLB 转发请求到 RS、RS 响应数据到 CLB、CLB 转发数据到客户端的总时间。单位:秒。
double
upstream_response_time
整个后端请求所花费时间:从开始 CONNECT RS 到从 RS 接收完应答的时间。单位:秒。
double


抽样采集日志

最近更新时间:2024-01-04 17:32:00

在您开启七层访问日志或者健康检查日志后,针对一些日志量较大的场景,全量日志上报可能会导致日志成本较高。负载均衡支持抽样采集部分日志,减少数据上报量,从而降低日志成本。
说明:
负载均衡支持配置访问日志和健康检查日志至日志服务 CLS,实现对日志数据的检索分析、可视化和告警等服务。腾讯云日志服务 CLS 为独立计费产品,计费标准请参见 CLS 计费详情

前提条件

您已创建访问日志的日志集和日志主题,详情请参见 配置访问日志
您已创建健康检查日志的日志集和日志主题,详情请参见 配置健康检查日志

抽样采集七层访问日志

1. 登录 负载均衡控制台,选择左侧导航栏的访问日志 > 日志列表
2. 访问日志详情页左上角选择所在地域,在日志主题列表找到目标日志主题,选择操作列的更多 > 抽样采集
3. 在弹出的 CLB 日志抽样采集管理对话框,开启抽样采集开关,并按需进行参数配置。
参数
说明
抽样采集开关
开启后,支持抽样采集日志。
关闭后,会全量采集日志,不再进行抽样采集。
默认抽样比例
当您配置了抽样采集日志的抽样规则后,对于未匹配到该抽样规则的日志会按照默认抽样比例进行日志采集。支持输入1-100的整数。
抽样字段
当前支持抽样采集的日志字段为 status 状态码。
抽样规则
抽样规则支持正则表达式。例如若您希望抽样采集 status 状态码为400或500的日志,则可设置抽样规则为:400|500。
抽样比例
用于定义抽样采集的比例,支持输入1-100的整数。
操作
您可以选择删除抽样采集规则。
添加
当目前的抽样规则不能满足您的需求时,您可以选择继续添加抽样规则。每个日志主题最多支持配置5条抽样规则。

4. 配置完成以后,单击提交,返回到日志主题列表页面,已开启抽样采集的日志主题会添加抽样标识。


抽样采集健康检查日志

1. 登录 负载均衡控制台,选择左侧导航栏的健康检查日志
2. 其余步骤可参考以上的 抽样采集七层访问日志

相关文档

配置访问日志
配置健康检查日志

配置健康检查日志

最近更新时间:2024-01-04 17:32:00

若您想要查看健康检查日志,则需先将日志存储到日志服务 CLS 中,然后在 CLS 中进行查看。负载均衡支持配置健康检查日志到日志服务 CLS 中,能够进行分钟粒度的日志上报和在线多规则检索,帮助您排查健康检查异常的原因,快速定位问题。
说明:
健康检查日志功能目前处于内测阶段,如需使用,请提交 工单申请
健康检查日志功能包括日志上报、日志存储和查询:
日志上报:优先保障业务转发,再保障日志上报。
日志存储和查询:按当前使用的存储服务来提供服务保障 SLA。

限制说明

负载均衡四层、七层协议均支持配置健康检查日志到日志服务 CLS。
负载均衡配置健康检查日志到 CLS 的功能免费,用户仅需支付日志服务 CLS 的费用。
仅负载均衡(原“应用型负载均衡”)实例类型支持此功能,传统型负载均衡实例类型不支持。
当前仅部分地域支持此功能,实际以控制台支持的地域为准。

步骤一:添加角色授权

若您未开通日志服务,则需先开通日志服务并添加角色授权。
1. 登录 负载均衡控制台,单击左侧导航栏的健康检查日志
2. 在“健康检查日志”页面,单击立即开通,并在弹出的对话框中单击授权并开通
3. 跳转至 访问管理控制台,在“角色管理”页面,单击同意授权

步骤二:创建日志集和日志主题

若您需要配置健康检查日志到日志服务 CLS 中,则需先创建日志集和日志主题。 若已有日志集和日志主题,则可直接跳转至 步骤三 开始操作。
1. 登录 负载均衡控制台,单击左侧导航栏的健康检查日志
2. 健康检查日志页面左上角选择所属地域,在日志集信息区域,单击创建日志集
3. 在弹出的创建日志集对话框中,设置保存时间,单击保存
4. 健康检查日志页面的日志主题区域,单击新建日志主题
5. 在弹出的新增日志主题对话框,选择存储类型和日志保存时间后,选择左侧的负载均衡实例添加至右侧列表中,单击保存
说明:
存储类型分为标准存储和低频存储,详情请参见 存储类型概述
日志保存支持永久保存和按固定时长保存。
新建日志主题时,可选择添加、或不添加负载均衡实例。在日志主题列表的右侧操作列中,单击管理可重新添加负载均衡实例。每个负载均衡实例仅限添加至一个日志主题中。
一个日志集中可创建多个日志主题(Topic),您可将不同的 CLB 日志放在不同的日志主题中,这些日志主题默认会带“CLB”标识。
6. (可选)若需关闭健康检查日志,在日志主题列表的右侧操作列中,单击停止,停止投递日志即可。

步骤三:查看健康检查日志

负载均衡已自动配置以健康检查日志的变量为关键值的索引,您无需手动配置索引,可直接通过检索分析来查询健康检查日志。
1. 登录 负载均衡控制台,单击左侧导航栏的健康检查日志
2. 在“健康检查日志”页面左上角选择所属地域,在“日志主题”区域,单击右侧“操作”列的检索,跳转至 日志服务控制台
3. 在日志服务控制台,单击左侧导航栏的检索分析
4. 检索分析页面的输入框中输入检索分析语句,选择时间范围,单击检索分析即可检索 CLB 上报到 CLS 的健康检查日志。
说明:
检索语法详情请参见 语法与规则

健康检查日志格式及说明

日志格式

[$protocol][$rsport][$rs_vpcid][$vport][$vpcid][$time][$vip][$rsip][$status][$domain][$url]

日志变量说明

变量名
说明
字段类型
protocol
协议类型(HTTP/HTTPS/SPDY/HTTP2/WS/WSS)。
text
rsport
后端 RS 端口。
long
rs_vpcid
后端 RS 的所属私有网络 ID,公网 CLB 的 vip_vpcid 为-1。
long
vport
CLB 的 VPort,即监听端口。
long
vpcid
负载均衡 VIP 的所属私有网络 ID,公网 CLB 的 vip_vpcid 为-1。
long
time
访问的时间与时区,例如,“01/Jul/2019:11:11:00 +0800”,最后的“+0800”表示所处时区为 UTC 之后的8小时,即为北京时间。
text
vip
CLB 的 VIP。
text
rsip
后端 RS 的 IP 地址。
text
status
当前健康检查状态:
true:表示健康
false:表示异常
text
domain
健康检查域名。若监听器为四层监听器,则无健康检查域名,此参数为空。
text
url
健康检查 URL。若监听器为四层监听器,则无健康检查 URL,此参数为空。
text

相关文档

日志服务 CLS 快速入门

访问日志仪表盘

最近更新时间:2024-01-04 17:32:00

负载均衡提供了开箱即用的访问日志仪表盘。您将访问日志配置到日志服务 CLS 后,负载均衡将自动为访问日志配置仪表盘,以图表形式分析访问日志,实现在负载均衡控制台全面观测、分析、定位问题的能力。

仪表盘介绍

每个日志主题对应一个仪表盘,每个仪表盘包含以下数据指标图表:
PV
UV
请求报文流量
返回客户端流量
平均请求时间
平均响应时间
后端服务返回的状态码分布
总状态码分布
PV/UV 趋势
请求/返回流量趋势
每分钟平均请求/返回时间
P99、P95、P90、P50访问时间
请求数 TOP 实例统计
请求数 TOP 域名统计


前提条件

您已成功创建日志主题,操作步骤请参见 创建日志集和日志主题


操作步骤

1. 登录 负载均衡控制台,选择左侧导航栏的访问日志 > 仪表盘
2. 在“访问日志仪表盘”页面,选择所在地域和日志主题,自动显示出该日志主题对应的仪表盘。

3. (可选)在“访问日志仪表盘”页面的仪表盘左上角,可设置负载均衡 VIP、客户端 IP、后端服务器 IP 和返回码过滤项过滤访问日志并显示。

相关文档

配置访问日志

监控告警

获取监控数据

最近更新时间:2024-01-04 17:32:00

腾讯云可观测平台为负载均衡和后端实例提供数据收集和数据展示功能。使用腾讯云可观测平台,您可以查看负载均衡的统计数据,验证系统是否正常运行并创建相应告警。有关腾讯云可观测平台的更多信息,请参见 腾讯云可观测平台 产品文档。
腾讯云默认为所有用户提供腾讯云可观测平台功能,您无需手动开通,只要您使用了负载均衡,腾讯云可观测平台即可帮助您收集相关监控数据。您可以通过以下几种方式查看负载均衡的监控数据:

负载均衡控制台

1. 登录 负载均衡控制台,单击负载均衡实例 ID 旁的监控图标,即可通过监控浮窗,快速浏览各个实例的性能数据。

2. 单击负载均衡实例 ID,进入负载均衡详情页,单击监控选项卡,即可查看当前负载均衡实例的监控数据。


腾讯云可观测平台控制台

登录 腾讯云可观测平台控制台,单击左侧导航栏中“云产品监控”模块下的 负载均衡-CLB,单击负载均衡实例 ID 进入监控详情页,即可查看该负载均衡实例的监控数据,展开实例即可查看监听器、后端服务器等监控信息。

API 方式

您可以使用 GetMonitorData 接口获取所有产品的监控数据,具体内容请参见 拉取指标监控数据,负载均衡的命名空间请参见 公网负载均衡监控指标内网负载均衡监控指标

监控指标说明

最近更新时间:2024-01-04 17:32:01

腾讯云可观测平台从运行状态下的负载均衡实例中收集原始数据,并将数据展示为易读的图标形式。统计数据默认保存一个月,您可以观察实例一个月的运行情况,从而更好地了解应用服务的运行情况。
建议您通过 腾讯云可观测平台控制台 查看负载均衡的监控,选择云产品监控 > 负载均衡-CLB,单击负载均衡实例 ID,进入监控详情页,查看该负载均衡实例的监控数据,展开实例即可查看监听器、后端服务器等的监控信息。
说明:
目前仅性能容量型负载均衡实例的并发连接数利用率、新建连接数利用率指标开通以后会上报数据,共享型负载均衡实例暂时不会上报数据。

负载均衡实例维度

指标英文名
指标中文名
指标说明
单位
统计粒度(秒)
ClientConnum
客户端到 LB 的活跃连接数
在统计粒度内的某一时刻,从客户端到负载均衡或监听器上的活跃连接数。
10、60、300
ClientInactiveConn
客户端到 LB 的非活跃连接数
在统计粒度内的某一时刻,从客户端到负载均衡或监听器上的非活跃连接数。
10、60、300
ClientConcurConn
客户端到 LB 的并发连接数
在统计粒度内的某一时刻,从客户端到负载均衡或监听器上的并发连接数。
10、60、300
ConcurConnVipRatio
并发连接数利用率
在统计粒度内的某一时刻,从客户端到负载均衡的并发连接数相比性能容量型规格的并发连接数性能上限的利用率。
此指标仅性能容量型实例支持,共享型实例不支持。
%
10、60、300
ClientNewConn
客户端到 LB 的新建连接数
在统计粒度内,从客户端到负载均衡或监听器上的新建连接数。
个/秒
10、60、300
NewConnVipRatio
新建连接数利用率
在统计粒度内的某一时刻,从客户端到负载均衡的新建连接数相比性能容量型规格的新建连接数性能上限的利用率。
此指标仅性能容量型实例支持,共享型实例不支持。
%
10、60、300
ClientInpkg
客户端到 LB 的入包量
在统计粒度内,客户端向负载均衡每秒发送的数据包数量。
个/秒
10、60、300
ClientOutpkg
客户端到 LB 的出包量
在统计粒度内,负载均衡向客户端每秒发送的数据包数量。
个/秒
10、60、300
ClientAccIntraffic
客户端到 LB 的入流量
在统计粒度内,客户端流入到负载均衡的流量。
MB
10、60、300
ClientAccOuttraffic
客户端到 LB 的出流量
在统计粒度内,负载均衡流出到客户端的流量。
MB
10、60、300
ClientOuttraffic
客户端到 LB 的出带宽
在统计粒度内,负载均衡流出到客户端所用的带宽。
Mbps
10、60、300
ClientIntraffic
客户端到 LB 的入带宽
在统计粒度内,客户端流入到负载均衡所用的带宽。
Mbps
10、60、300
OutTraffic
LB 到后端的出带宽
在统计粒度内,后端服务器流出到负载均衡所用的带宽。
Mbps
60、300
InTraffic
LB 到后端的入带宽
在统计粒度内,负载均衡流入到后端服务器所用的带宽。
Mbps
60、300
AccOuttraffic
LB 到后端的出流量
在统计粒度内,后端服务器流出到负载均衡的流量。
此指标仅公网负载均衡实例支持,内网负载均衡不支持。
MB
10、60、300、3600
DropTotalConns
丢弃连接数
在统计粒度内,负载均衡或监听器上丢弃的连接数。
此指标仅标准账户类型支持,传统账户类型不支持,账户类型判断方式请参见 判断账户类型
10、60、300
InDropBits
丢弃入带宽
在统计粒度内,客户端通过外网访问负载均衡时丢弃的带宽。
此指标仅标准账户类型支持,传统账户类型不支持,账户类型判断方式请参见 判断账户类型
字节
10、60、300
OutDropBits
丢弃出带宽
在统计粒度内,负载均衡访问外网时丢弃的带宽。
此指标仅标准账户类型支持,传统账户类型不支持,账户类型判断方式请参见 判断账户类型
字节
10、60、300
InDropPkts
丢弃流入数据包
在统计粒度内,客户端通过外网访问负载均衡时丢弃的数据包。
此指标仅标准账户类型支持,传统账户类型不支持,账户类型判断方式请参见 判断账户类型
个/秒
10、60、300
OutDropPkts
丢弃流出数据包
在统计粒度内,负载均衡访问外网时丢弃的数据包。
此指标仅标准账户类型支持,传统账户类型不支持,账户类型判断方式请参见 判断账户类型
个/秒
10、60、300
DropQps
丢弃 QPS
在统计粒度内,负载均衡或监听器上丢弃的请求数。
此指标为七层监听器独有指标,仅标准账户类型支持,传统账户类型不支持,账户类型判断方式请参见 判断账户类型
60、300
IntrafficVipRatio
入带宽利用率
在统计粒度内,客户端通过外网访问负载均衡所用的带宽利用率。
此指标仅标准账户类型支持,传统账户类型不支持,账户类型判断方式请参见 判断账户类型。此指标处于内测阶段,如需使用,请提交 工单申请
%
10、60、300
OuttrafficVipRatio
出带宽利用率
在统计粒度内,负载均衡访问外网所用的带宽使用率。
此指标仅标准账户类型支持,传统账户类型不支持,账户类型判断方式请参见 判断账户类型。此指标处于内测阶段,如需使用,请提交 工单申请
10、60、300
ReqAvg
平均请求时间
在统计粒度内,负载均衡的平均请求时间。
此指标为七层监听器独有指标。
毫秒
60、300
ReqMax
最大请求时间
在统计粒度内,负载均衡的最大请求时间。
此指标为七层监听器独有指标。
毫秒
60、300
RspAvg
平均响应时间
在统计粒度内,负载均衡的平均响应时间。
此指标为七层监听器独有指标。
毫秒
60、300
RspMax
最大响应时间
在统计粒度内,负载均衡的最大响应时间。
此指标为七层监听器独有指标。
毫秒
60、300
RspTimeout
响应超时个数
在统计粒度内,负载均衡响应超时的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
SuccReq
每分钟成功请求数
在统计粒度内,负载均衡每分钟的成功请求数。
此指标为七层监听器独有指标。
个/分钟
60、300
TotalReq
每秒请求数
在统计粒度内,负载均衡每秒钟的请求数。
此指标为七层监听器独有指标。
60、300
QpsVipRatio
QPS 利用率
在统计粒度内的某一时刻,负载均衡的 QPS 相比性能容量型规格的 QPS 性能上限的利用率。 此指标仅性能容量型实例支持,共享型实例不支持。
%
60、300
ClbHttp3xx
CLB 返回的 3xx 状态码
在统计粒度内,负载均衡返回 3xx 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp4xx
CLB 返回的 4xx 状态码
在统计粒度内,负载均衡返回 4xx 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp5xx
CLB 返回的 5xx 状态码
在统计粒度内,负载均衡返回 5xx 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp404
CLB 返回的 404 状态码
在统计粒度内,负载均衡返回 404 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp499
CLB 返回的 499 状态码
在统计粒度内,负载均衡返回 499 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp502
CLB 返回的 502 状态码
在统计粒度内,负载均衡返回 502 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp503
CLB 返回的 503 状态码
在统计粒度内,负载均衡返回 503 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp504
CLB 返回的 504 状态码
在统计粒度内,负载均衡返回 504 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
Http2xx
2xx 状态码
在统计粒度内,后端服务器返回 2xx 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http3xx
3xx 状态码
在统计粒度内,后端服务器返回 3xx 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http4xx
4xx 状态码
在统计粒度内,后端服务器返回 4xx 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http5xx
5xx 状态码
在统计粒度内,后端服务器返回 5xx 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http404
404 状态码
在统计粒度内,后端服务器返回 404 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http499
499 状态码
在统计粒度内,后端服务器返回 499 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http502
502 状态码
在统计粒度内,后端服务器返回 502 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http503
503 状态码
在统计粒度内,后端服务器返回 503 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http504
504 状态码
在统计粒度内,后端服务器返回 504 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
OverloadCurConn
SNAT 并发连接数
在统计周期内,负载均衡的 SNAT IP 每分钟的并发连接数。
此指标处于内测阶段,如需使用,请提交 内测申请
个/分钟
60
ConnRatio
SNAT 端口使用率
在统计周期内,负载均衡的 SNAT IP 的端口使用率。
端口使用率 = SNAT 并发连接数 / (SNAT IP 数 × 55000 × 服务器个数)。
此指标处于内测阶段,如需使用,请提交 内测申请
%
60
SnatFail
SNAT 失败数
在统计周期内,负载均衡的 SNAT IP 与后端服务器每分钟建立连接的失败次数。
此指标处于内测阶段,如需使用,请提交 内测申请
个/分钟
60
UnhealthRsCount
健康检查异常数
在统计周期内,负载均衡的健康检查异常个数。
60、300

四层监听器(TCP/UDP)维度

四层监听器支持您在如下三个维度查看下表中的各个监控指标:
监听器维度。
后端服务器维度。
后端服务的端口维度。
说明:
UPD 连接数是将 UDP 包按照源 IP - 源 Port - 目标 IP - 目标 Port 四元算作连接。
指标英文名
指标中文名
指标说明
单位
统计粒度(秒)
ClientConnum
客户端到 LB 的活跃连接数
在统计粒度内的某一时刻,从客户端到负载均衡或监听器上的活跃连接数。
10、60、300
ClientNewConn
客户端到 LB 的新建连接数
在统计粒度内,从客户端到负载均衡或监听器上的新建连接数。
个/秒
10、60、300
ClientInpkg
客户端到 LB 的入包量
在统计粒度内,客户端向负载均衡每秒发送的数据包数量。
个/秒
10、60、300
ClientOutpkg
客户端到 LB 的出包量
在统计粒度内,负载均衡向客户端每秒发送的数据包数量。
个/秒
10、60、300
ClientAccIntraffic
客户端到 LB 的入流量
在统计粒度内,客户端流入到负载均衡的流量。
MB
10、60、300
ClientAccOuttraffic
客户端到 LB 的出流量
在统计粒度内,负载均衡流出到客户端的流量。
MB
10、60、300
ClientOuttraffic
客户端到 LB 的出带宽
在统计粒度内,负载均衡流出到客户端所用的带宽。
Mbps
10、60、300
ClientIntraffic
客户端到 LB 的入带宽
在统计粒度内,客户端流入到负载均衡的流量。
Mbps
10、60、300
OutTraffic
LB 到后端的出带宽
在统计粒度内,后端服务器流出到负载均衡所用的带宽。
Mbps
60、300
InTraffic
LB 到后端的入带宽
在统计粒度内,负载均衡流入到后端服务器所用的带宽。
Mbps
60、300
OutPkg
LB 到后端的出包量
在统计粒度内,后端服务器向负载均衡每秒发送的数据包数量。
个/秒
60、300
InPkg
LB 到后端的入包量
在统计粒度内,负载均衡向后端服务器每秒发送的数据包数量。
个/秒
60、300
AccOuttraffic
LB 到后端的出流量
在统计粒度内,后端服务器流出到负载均衡的流量。
此指标仅公网负载均衡实例支持,内网负载均衡不支持。
MB
10、60、300、3600
ConNum
LB 到后端的连接数
在统计粒度内,从负载均衡到后端服务器的连接数。
60、300
NewConn
LB 到后端的新建连接数
在统计粒度内,从负载均衡到后端服务器的新建连接数。
个/分钟
60、300
UnhealthRsCount
健康检查异常数
在统计周期内,负载均衡的健康检查异常个数。
60、300

七层监听器(HTTP/HTTPS)维度

七层监听器支持您在如下三个维度查看下表中的各个监控指标:
监听器维度。
后端服务器维度。
后端服务的端口维度。
指标英文名
指标中文名
指标说明
单位
统计粒度(秒)
ClientConnum
客户端到 LB 的活跃连接数
在统计粒度内的某一时刻,从客户端到负载均衡或监听器上的活跃连接数。
10、60、300
ClientNewConn
客户端到 LB 的新建连接数
在统计粒度内,从客户端到负载均衡或监听器上的新建连接数。
个/秒
10、60、300
ClientInpkg
客户端到 LB 的入包量
在统计粒度内,客户端向负载均衡每秒发送的数据包数量。
个/秒
10、60、300
ClientOutpkg
客户端到 LB 的出包量
在统计粒度内,负载均衡向客户端每秒发送的数据包数量。
个/秒
10、60、300
ClientAccIntraffic
客户端到 LB 的入流量
在统计粒度内,客户端流入到负载均衡的流量。
MB
10、60、300
ClientAccOuttraffic
客户端到 LB 的出流量
在统计粒度内,负载均衡流出到客户端的流量。
MB
10、60、300
ClientOuttraffic
客户端到 LB 的出带宽
在统计粒度内,负载均衡流出到客户端所用的带宽。
Mbps
10、60、300
ClientIntraffic
客户端到 LB 的入带宽
在统计粒度内,客户端流入到负载均衡的流量。
Mbps
10、60、300
OutTraffic
LB 到后端的出带宽
在统计粒度内,后端服务器流出到负载均衡所用的带宽。
Mbps
60、300
InTraffic
LB 到后端的入带宽
在统计粒度内,负载均衡流入到后端服务器所用的带宽。
Mbps
60、300
OutPkg
LB 到后端的出包量
在统计粒度内,后端服务器向负载均衡每秒发送的数据包数量。
个/秒
60、300
InPkg
LB 到后端的入包量
在统计粒度内,负载均衡向后端服务器每秒发送的数据包数量。
个/秒
60、300
AccOuttraffic
LB 到后端的出流量
在统计粒度内,后端服务器流出到负载均衡的流量。
此指标仅公网负载均衡实例支持,内网负载均衡不支持。
MB
10、60、300、3600
ConNum
LB 到后端的连接数
在统计粒度内,从负载均衡到后端服务器的连接数。
60、300
NewConn
LB 到后端的新建连接数
在统计粒度内,从负载均衡到后端服务器的新建连接数。
个/分钟
60、300
ReqAvg
平均请求时间
在统计粒度内,负载均衡的平均请求时间。
此指标为七层监听器独有指标。
毫秒
60、300
ReqMax
最大请求时间
在统计粒度内,负载均衡的最大请求时间。
此指标为七层监听器独有指标。
毫秒
60、300
RspAvg
平均响应时间
在统计粒度内,负载均衡的平均响应时间。
此指标为七层监听器独有指标。
毫秒
60、300
RspMax
最大响应时间
在统计粒度内,负载均衡的最大响应时间。
此指标为七层监听器独有指标。
毫秒
60、300
RspTimeout
响应超时个数
在统计粒度内,负载均衡响应超时的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
SuccReq
每分钟成功请求数
在统计粒度内,负载均衡每分钟的成功请求数。
此指标为七层监听器独有指标。
个/分钟
60、300
TotalReq
每秒请求数
在统计粒度内,负载均衡每秒钟的请求数。
此指标为七层监听器独有指标。
60、300
QpsVipRatio
QPS 利用率
在统计粒度内的某一时刻,负载均衡的 QPS 相比性能容量型规格的 QPS 性能上限的利用率。 此指标仅性能容量型实例支持,共享型实例不支持。
%
60、300
DropQps
丢弃 QPS
在统计粒度内,负载均衡或监听器上丢弃的请求数。
此指标为七层监听器独有指标,仅标准账户类型支持,传统账户类型不支持,账户类型判断方式请参见 判断账户类型
60、300
ClbHttp3xx
CLB 返回的 3xx 状态码
在统计粒度内,负载均衡返回 3xx 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp4xx
CLB 返回的 4xx 状态码
在统计粒度内,负载均衡返回 4xx 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp5xx
CLB 返回的 5xx 状态码
在统计粒度内,负载均衡返回 5xx 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp404
CLB 返回的 404 状态码
在统计粒度内,负载均衡返回 404 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp499
CLB 返回的 499 状态码
在统计粒度内,负载均衡返回 499 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp502
CLB 返回的 502 状态码
在统计粒度内,负载均衡返回 502 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp503
CLB 返回的 503 状态码
在统计粒度内,负载均衡返回 503 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
ClbHttp504
CLB 返回的 504 状态码
在统计粒度内,负载均衡返回 504 状态码的个数(负载均衡和后端服务器返回码之和)。
此指标为七层监听器独有指标。
个/分钟
60、300
Http2xx
2xx 状态码
在统计粒度内,后端服务器返回 2xx 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http3xx
3xx 状态码
在统计粒度内,后端服务器返回 3xx 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http4xx
4xx 状态码
在统计粒度内,后端服务器返回 4xx 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http5xx
5xx 状态码
在统计粒度内,后端服务器返回 5xx 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http404
404 状态码
在统计粒度内,后端服务器返回 404 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http499
499 状态码
在统计粒度内,后端服务器返回 499 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http502
502 状态码
在统计粒度内,后端服务器返回 502 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http503
503 状态码
在统计粒度内,后端服务器返回 503 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
Http504
504 状态码
在统计粒度内,后端服务器返回 504 状态码的个数。
此指标为七层监听器独有指标。
个/分钟
60、300
UnhealthRsCount
健康检查异常数
在统计周期内,负载均衡的健康检查异常个数。
60、300
说明:
如果您需要查看某监听器下某台后端服务器的监控数据,请登录 负载均衡控制台,单击负载均衡实例 ID 旁的监控图标,即可通过监控浮窗快速浏览各个实例的性能数据。

相关文档

公网负载均衡监控指标

配置告警策略

最近更新时间:2024-01-04 17:32:01

本文介绍如何创建告警策略。

应用场景

您可以针对腾讯云可观测平台支持的监控类型设置性能消耗类指标的阈值告警,也可以针对云产品实例或平台底层基础设施的服务状态设置事件告警,在发生异常时及时通知您采取措施。告警策略包括名称、策略类型和告警触发条件、告警对象、告警通知模板五个必要组成部分。您可以根据以下指引进行告警策略的创建。

基本概念

术语 定义
告警策略 由告警名称、告警策略类型、告警触发条件、告警对象和告警通知模板组成
告警策略类型 告警策略类型用于标识策略分类,类型与云产品对应。例如:当您选择云服务器策略,即可自定义 CPU 使用率、磁盘使用率等指标告警
告警触发条件 是指标、比较关系、阈值、统计粒度和持续 N 个监控数据点组成的一个有语义的条件
监控类型 包含云产品监控、应用性能观测、前端性能监控和云拨测
通知模板 多个策略一键复用模板,适用于多种场景接收告警通知,详情请参考 新建告警通知模板

操作步骤

  1. 登录 腾讯云可观测平台
  2. 单击告警配置 > 告警策略,进入告警策略配置页面。
  3. 单击新增,配置告警策略,配置说明如下:
配置类型 配置项 说明
基本信息 策略名称 自定义策略名称
备注 自定义策略备注
监控类型 支持云产品监控、应用性能观测、前端性能监控和云拨测
策略类型 选择您需要监控的云产品策略类型
所属项目 所属项目有以下两个作用:
  • 管理告警策略。设置所属项目后,您可以在告警策略列表快速筛选该项目下的告警策略。
  • 管理实例。根据需求选择项目,在告警对象中可快速选择该项目下的实例。您可以根据您的业务类型把云产品分配到各个项目。如需创建项目,请参见 项目管理 创建项目后,可在各云产品控制台中为各云产品资源分配项目,部分云产品不支持分配项目。(例如,云数据库 MySQL 可参考 为实例指定项目 指引把实例分配到对应的项目),若您没有项目权限,请参考 访问管理 授予权限。
配置告警规则 告警对象
  • 选择实例ID,则该告警策略绑定用户选中的实例。
  • 选中选择实例组,则该告警策略绑定用户选中的实例分组。
  • 选择全部对象,则该告警策略绑定当前账号拥有权限的全部实例。
手动配置
(指标告警)
  • 告警触发条件:指标、比较关系、阈值、统计粒度和持续 N 个监控数据点组成的一个有语义的条件。您可以根据图表中指标变化趋势设置告警阈值。
    例如,指标为 CPU 利用率 、比较关系为> 、阈值为80% 、统计粒度为5分钟 、持续监控数据点为2个数据点。
    表示:每5分钟收集一次 CPU 利用率数据,若某台云服务器的 CPU 利用率连续两次大于80%则触发告警。
  • 告警频率:您可以为您的每一条告警规则设置重复通知策略。即当告警产生时,您可以定义告警以特定的频率重复通知。
    可选:不重复、5分钟、10分钟、周期指数递增...等重复频率。
    • 周期指数递增的含义是当该告警第1次、第2次、第4次、第8次...第2的 N 次方次被触发时,向您发送告警信息。意义是告警信息发送时长间隔将越来越长,一定程度上避免重复告警对您的骚扰。
    • 重复告警默认逻辑:告警产生后的24小时内,将按您设定的重复通知频率重复给您发送告警通知。告警产生满24小时,将1天发送一次告警通知。
手动配置
(事件告警)		 在云产品资源或底层基础设施服务发生异常时,可以创建事件告警及时通知您采取措施。
选择模板 选择模板按钮,并在下拉列表选择已配置的模板,具体配置请参阅 配置触发条件模板 。若新建的模板没有显示,则单击右侧的**刷新**,即可刷新触发告警模板选择列表
配置告警通知 告警通知 支持选择系统预设通知模板和用户自定义通知模板,每个告警策略最多只能绑定三个通知模板。详情请参考 通知模板
高级配置 弹性伸缩 启用并配置成功后,达到告警条件可触发弹性伸缩策略并进行缩容或扩容
  1. 配置完以上信息后单击保存,即成功创建告警策略。
说明:

云服务器告警需要云服务器实例 安装监控控件 上报监控指标数据后才能正常发送告警。在云产品监控页面可以查看未安装监控 agent 的云服务器,并下载 IP 列表。

告警指标说明

最近更新时间:2024-01-04 17:32:00

告警说明

您可以为您关注的实例指标创建告警,使负载均衡实例在运行状态达到某一条件时,及时发送告警信息至关心的用户群体。这样能确保您及时发现异常状况从而采取相应措施,保持系统的稳定性和可靠性。 负载均衡的告警策略包括如下类型:
外网监听器
内网监听器
服务器端口(其他)
监听器维度
服务器端口维度
服务器端口(传统型内网)
七层协议监控

外网监听器/内网监听器

目前公网负载均衡和内网负载均衡均支持监听器维度的告警,具体指标如下:
指标
单位
说明
入带宽
Mbps
在统计周期内,客户端通过外网访问负载均衡所用的带宽。
出带宽
Mbps
在统计周期内,负载均衡访问外网所用的带宽。
入包数
个/s
在统计周期,内负载均衡每秒接到的请求数据包数量。
出包数
个/s
在统计周期内,负载均衡每秒发出的数据包数量。

服务器端口(其他)

除了传统型内网 CLB 以外的所有负载均衡均支持如下两个维度的告警:
1. 监听器维度 可配置某监听器的后端服务器异常端口数,统计该监听器下所有绑定的服务器端口的异常情况,根据配置的阈值来告警。如下图配置表示:每1分钟收集一次所选监听器下所有后端服务器的异常端口数,若异常端口数连续两次大于10个/秒,则触发告警,且每天警告一次。
说明
监听器维度的告警,请提交 工单申请
策略类型选择:


触发条件配置:


2. 服务器端口维度 可配置某个监听器绑定的某后端服务器的某端口的异常告警,只要该端口异常就发送告警。
策略类型选择:


触发条件配置:



注意
后端服务器端口异常表示:负载均衡探测到后端服务器的该端口不可用,少数网络抖动的情况也会触发端口异常。
监听器维度的统计包含该监听器下所有后端服务的端口状态,从单一告警收敛到阈值告警,为降低网络抖动的影响,建议您使用监听器维度的告警。

服务器端口(传统型内网)

传统型内网 CLB 可配置服务器端口异常告警,具体配置同“服务器端口(其他)-服务器端口维度”的配置。 可配置某个监听器绑定的某后端服务器的某端口的异常告警,只要该端口异常就发送告警。

七层协议监控

对所有的七层监听器(HTTP/HTTPS)监听器,您可以配置七层独有的监控指标的告警策略。具体指标如下:
指标
单位
说明
入带宽
Mbps
在统计周期内,客户端通过外网访问负载均衡所用的带宽。
出带宽
Mbps
在统计周期内,负载均衡访问外网所用的带宽。
入包数
个/s
在统计周期内,负载均衡每秒接到的请求数据包数量。
出包数
个/s
在统计周期内,负载均衡每秒发出的数据包数量。
新建连接数
在统计周期每分钟新建连接的个数。
活跃连接数
在统计周期每分钟活跃连接的个数。
平均响应时间
ms
在统计周期内 CLB 的平均响应时间。
最大响应时间
ms
在统计周期内 CLB 的最大响应时间。
2xx 状态码
在统计周期,后端服务器返回 2xx 状态码的个数。
3xx 状态码
在统计周期,后端服务器返回 3xx 状态码的个数。
4xx 状态码
在统计周期,后端服务器返回 4xx 状态码的个数。
5xx 状态码
在统计周期,后端服务器返回 5xx 状态码的个数。
404 状态码
在统计周期,后端服务器返回 404 状态码的个数。
502 状态码
在统计周期,后端服务器返回 502 状态码的个数。
CLB 返回的 3xx 状态码
在统计周期,负载均衡 CLB 返回 3xx 状态码的个数。
CLB 返回的 4xx 状态码
在统计周期,负载均衡 CLB 返回 4xx 状态码的个数。
CLB 返回的 5xx 状态码
在统计周期,负载均衡 CLB 返回 5xx 状态码的个数。
CLB 返回的 404 状态码
在统计周期,负载均衡 CLB 返回 404 状态码的个数。
CLB 返回的 502 状态码
在统计周期,负载均衡 CLB 返回 502 状态码的个数。


访问管理

概述

最近更新时间:2024-01-04 17:32:00

如果您使用到了负载均衡 CLB、云服务器、数据库等服务,这些服务由不同的人管理,但都共享您的云账号密钥,将存在如下问题:

访问管理(CAM)用于管理腾讯云账户下资源访问权限,通过 CAM,您可以通过身份管理和策略管理控制哪些子账号有哪些资源的操作权限。

例如,您的账户下有多个负载均衡实例部署在不同项目中,为了加强权限控制,对资源进行授权,您可以给项目 A 的管理员绑定一个授权策略,该策略规定:只有该管理员可操作项目 A 下的负载均衡资源。

如果您不需要对子账户进行 CLB 相关资源的访问管理,您可以跳过此章节。跳过这些部分并不影响您对文档中其余部分的理解和使用.

CAM 基本概念

根账户通过给子账户绑定策略实现授权,策略设置可精确到 [API,资源,用户/用户组,允许/拒绝,条件] 维度。

  1. 账户
  1. 资源与权限

相关文档

目标 链接
了解策略和用户之间关系 策略管理
了解策略的基本结构 策略语法
了解还有哪些产品支持 CAM 支持 CAM 的云服务列表

授权定义

最近更新时间:2024-01-04 17:32:01

CAM 中可授权的负载均衡资源类型

资源类型
授权策略中的资源描述方法
负载均衡实例
qcs::clb:$region::clb/$loadbalancerid
负载均衡后端服务器
qcs::cvm:$region:$account:instance/$cvminstanceid
其中:
所有$region应为某个 region 的 ID,可以为空。
所有$account应为资源拥有者的 AccountId,或者“* ”。
所有$loadbalancerid应为某个 loadbalancer 的 ID,或者“* ”。
以此类推。

CAM 中可对负载均衡进行授权的接口

在 CAM 中,可以对一个负载均衡资源进行以下 Action 的授权。

实例相关

API 操作
资源描述
接口说明
DescribeLoadBalancers
查询负载均衡实例列表
* 只对接口进行鉴权
CreateLoadBalancer
购买负载均衡
qcs:$projectid:clb:$region:$account:clb/*
DeleteLoadBalancers
删除负载均衡
qcs::clb:$region:$account:clb/$loadbalancerid
ModifyLoadBalancerAttributes
修改负载均衡属性信息
qcs::clb:$region:$account:clb/$loadbalancerid
ModifyForwardLBName
修改负载均衡的名字
qcs::clb:$region:$account:clb/$loadbalancerid
SetLoadBalancerSecurityGroups
设置负载均衡实例的安全组
qcs::clb:$region:$account:clb/$loadbalancerid

监听器相关

API 操作
资源描述
接口说明
DeleteLoadBalancerListeners
删除负载均衡监听器
qcs::clb:$region:$account:clb/$loadbalancerid
DescribeLoadBalancerListeners
获取负载均衡监听器列表
qcs::clb:$region:$account:clb/$loadbalancerid
ModifyLoadBalancerListener
修改负载均衡监听器属性
qcs::clb:$region:$account:clb/$loadbalancerid
CreateLoadBalancerListeners
创建负载均衡监听器
qcs::clb:$region:$account:clb/$loadbalancerid
DeleteForwardLBListener
删除负载均衡监听器(四层和七层)
qcs::clb:$region:$account:clb/$loadbalancerid
ModifyForwardLBSeventhListener
修改负载均衡七层监听的属性
qcs::clb:$region:$account:clb/$loadbalancerid
ModifyForwardLBFourthListener
修改负载均衡四层监听器属性
qcs::clb:$region:$account:clb/$loadbalancerid
DescribeForwardLBListeners
查询负载均衡监听器列表
qcs::clb:$region:$account:clb/$loadbalancerid
CreateForwardLBSeventhLayerListeners
创建七层负载均衡监听器
qcs::clb:$region:$account:clb/$loadbalancerid
CreateForwardLBFourthLayerListeners
创建四层负载均衡监听器
qcs::clb:$region:$account:clb/$loadbalancerid

负载均衡域名 + URL 相关

API 操作
资源描述
接口说明
ModifyForwardLBRulesDomain
修改负载均衡监听器转发规则的域名
qcs::clb:$region:$account:clb/$loadbalancerid
CreateForwardLBListenerRules
创建负载均衡监听器转发规则
qcs::clb:$region:$account:clb/$loadbalancerid
DeleteForwardLBListenerRules
删除七层负载均衡监听器规则
qcs::clb:$region:$account:clb/$loadbalancerid
DeleteRewrite
删除负载均衡转发规则之间的重定向关系
qcs::clb:$region:$account:clb/$loadbalancerid
ManualRewrite
手动添加负载均衡转发规则的重定向关系
qcs::clb:$region:$account:clb/$loadbalancerid
AutoRewrite
自动生成负载均衡转发规则的重定向关系
qcs::clb:$region:$account:clb/$loadbalancerid

后端服务器相关

API 操作
资源描述
接口说明
ModifyLoadBalancerBackends
修改负载均衡器后端服务器权重
qcs::clb:$region:$account:clb/$loadbalancerid
DescribeLoadBalancerBackends
获取负载均衡绑定的后端服务器列表
qcs::clb:$region:$account:clb/$loadbalancerid
DeregisterInstancesFromLoadBalancer
解绑后端服务器
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
RegisterInstancesWithLoadBalancer
绑定后端服务器到负载均衡
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
DescribeLBHealthStatus
查询负载均衡健康状态
qcs::clb:$region:$account:clb/$loadbalancerid
ModifyForwardFourthBackendsPort
修改四层监听器转发规则上云服务器的端口
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
ModifyForwardFourthBackendsWeight
修改四层监听器转发规则上云服务器的权重
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
RegisterInstancesWithForwardLBSeventhListener
绑定云服务器到负载均衡七层监听器的转发规则上
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
RegisterInstancesWithForwardLBFourthListener
绑定云服务器到负载均衡四层监听器的转发规则上
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
DeregisterInstancesFromForwardLBFourthListener
解绑负载均衡四层监听器转发规则上的云服务器
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
DeregisterInstancesFromForwardLB
解绑负载均衡七层监听器转发规则上的云服务器
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
ModifyForwardSeventhBackends
修改七层监听器转发规则上云服务器的权重
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
ModifyForwardSeventhBackendsPort
修改七层监听器转发规则上云服务器的端口
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/$cvminstanceid
DescribeForwardLBBackends
查询负载均衡云服务器列表
qcs::clb:$region:$account:clb/$loadbalancerid``qcs::cvm:$region:$account:instance/*
DescribeForwardLBHealthStatus
查询负载均衡健康检查状态
qcs::clb:$region:$account:clb/*
ModifyLoadBalancerRulesProbe
修改负载均衡监听器转发规则的健康检查及转发路径
qcs::clb:$region:$account:clb/$loadbalancerid


策略示例

最近更新时间:2020-08-10 16:07:03

所有 CLB 的全读写策略

授权一个子账户以 CLB 服务的完全管理权限(创建、管理等全部操作)。
策略名称:CLBResourceFullAccess
{
  "version": "2.0",
  "statement": [{
      "action": [
          "name/clb:*"
      ],
      "resource": "*",
      "effect": "allow"
  }]
}

所有 CLB 的只读策略

授权一个子账户只读访问 CLB 的权限(即可以查看所有 CLB 下面所有资源的权限),但子账户无法创建、更新或删除它们。在控制台,操作一个资源的前提是可以查看该资源,所以建议您为子账户开通 CLB 全读权限。
策略名称: CLBResourceReadOnlyAccess
{
  "version": "2.0",
  "statement": [{
      "action": [
          "name/clb:Describe*"
      ],
      "resource": "*",
      "effect": "allow"
  }]
}

某个标签下 CLB 的全读写策略

授权一个子账户对某个标签(标签键为 tagkey,标签值为 tagvalue)下的 CLB 的完全管理权限(管理实例、管理监听器等全部操作)。
CLB 实例支持配置标签和使用标签鉴权。
{
    "version":"2.0",
    "statement":[
        {
            "effect":"allow",
            "action":"*",
            "resource":"*",
            "condition":{
                "for_any_value:string_equal":{
                    "qcs:tag":[
                        "tagkey&tagvalue"
                    ]
                }
            }
        }
    ]
}


传统型负载均衡

传统型负载均衡概述

最近更新时间:2024-01-04 17:32:00

概述

传统型负载均衡配置简单,支持简单的负载均衡场景:
传统型公网负载均衡:支持 TCP/UDP/HTTP/HTTPS 协议。
传统型内网负载均衡:支持 TCP/UDP 协议。
负载均衡有两种实例类型:负载均衡(此前亦被称为“应用型负载均衡”)和传统型负载均衡。
负载均衡可覆盖传统型负载均衡的所有功能。从产品功能、产品性能等多方面考虑,建议您使用的实例类型是负载均衡,二者的详细对比参见 实例类型
注意:
目前腾讯云账户分为标准账户类型和传统账户类型,2020年6月17日零点后注册的账户均为标准账户类型,该时间点前注册的账户请在控制台查看您的账户类型,具体操作请参见 判断账户类型。标准账户类型不再支持传统型负载均衡,所购买的实例均为负载均衡。
本文介绍传统型负载均衡实例,创建实例后,您须为实例配置监听器。监听器负责监听负载均衡实例上的请求,并依据均衡策略来分发流量至后端服务器上。

监听器配置说明

负载均衡监听器需配置:
1. 监听协议和监听端口,负载均衡的监听端口,亦被称为前端端口,用来接收请求并向后端服务器转发请求的端口。
2. 后端端口,云服务器提供服务的端口,接受并处理来自负载均衡的流量。
3. 监听策略,如均衡策略、会话保持等。
4. 健康检查策略。
5. 绑定后端服务,选择后端服务器的 IP。
说明:
在传统型负载均衡中,如果您配置了多个监听器,绑定了多个后端云服务器,那么每个监听器都会按其配置转发给所有后端服务器。

支持的协议类型

负载均衡监听器可以监听负载均衡实例上的四层和七层请求,并将这些请求分发到后端服务器上,而后由后端服务器处理请求。四层和七层负载均衡的区别主要体现在:对用户请求进行负载均衡时,是依据四层协议还是七层协议来进行转发流量。
四层协议:传输层协议,包括 TCP 和 UDP。
七层协议:应用层协议,包括 HTTP 和 HTTPS。
说明:
1. 传统型负载均衡主要通过 VIP + Port 接受请求并分配流量到后端服务器,七层协议不支持基于域名和 URL 路径的转发。
2. 传统型内网负载均衡仅支持四层协议,不支持七层协议。
3. 如您需支持上述高级能力,请直接使用负载均衡,而非传统型负载均衡,详情请参见 实例类型

端口配置

监听端口(前端端口)
服务端口(后端端口)
说明
负载均衡提供服务时,接收请求并向后端服务器转发请求的端口。 用户可以为1 - 65535端口配置负载均衡,包括21(FTP)、25(SMTP)、80(HTTP)、443(HTTPS)等。
负载均衡提供服务时,接收请求并向后端服务器转发请求的端口。 用户可以为1 - 65535端口配置负载均衡,包括21(FTP)、25(SMTP)、80(HTTP)、443(HTTPS)等。
在同一个负载均衡实例内
监听端口不可重复。 例如,不可以同时创建监听器 TCP:80 和监听器 HTTP:80 。
仅 TCP 和 UDP 协议的端口可重复。 例如,可以同时创建监听器 TCP:80 和监听器 UDP:80。
服务端口可以在同一个负载均衡实例内重复。 例如,监听器 HTTP:80 和监听器 HTTPS:443 可以同时绑定同一台云服务器的同一个端口。


配置传统型负载均衡

最近更新时间:2024-01-04 17:32:00

创建传统型负载均衡实例后,您需要为实例配置监听器。监听器负责监听负载均衡实例上的请求,并依据均衡策略来分发流量至后端服务器上。

前提条件

您需要 创建负载均衡实例,其中实例类型选择“传统型负载均衡”。
注意:
目前腾讯云账户分为标准账户类型和传统账户类型,2020年6月17日零点后注册的账户均为标准账户类型,该时间点前注册的账户请在控制台查看您的账户类型,具体操作请参见 判断账户类型。标准账户类型不再支持传统型负载均衡,所购买的实例均为负载均衡。

配置监听器

步骤1:打开监听器管理页面

1. 登录 负载均衡控制台
2. 在左侧导航栏,选择实例管理
3. 在实例列表页单击需配置的实例 ID,进入实例详情页。
4. 单击监听器管理标签页,您也可以在列表页的操作栏中单击配置监听器


5. “监听器管理”页面如下图所示。



步骤2:配置监听器

在“监听器”模块下,单击新建,在弹出框中配置 TCP 监听器。

1. 基本配置

监听器基本配置
说明
示例
名称
监听器的名称
test-tcp-80
监听协议端口
监听器的协议和监听端口
监听协议:CLB 支持的协议包括 TCP、UDP、HTTP、HTTPS,本例选择 TCP。
监听端口:用来接收请求并向后端服务器转发请求的端口,端口范围为1 - 65535。
同一个负载均衡实例内,监听端口不可重复。
TCP:80
后端端口
云服务器提供服务的端口,接受并处理来自负载均衡的流量
80
创建 TCP 监听器具体基本配置如下图所示:


2.高级配置

高级配置
说明
示例
均衡方式
TCP 监听器中,负载均衡支持加权轮询(WRR)和加权最小连接数(WLC)两种调度算法
加权轮询算法:根据后端服务器的权重,按依次将请求分发给不同的服务器。加权轮询算法根据新建连接数来调度,权值越高的服务器被轮询到的次数(概率)越高,相同权值的服务器处理相同数目的连接数。
加权最少连接数:根据服务器当前活跃的连接数来估计服务器的负载情况,加权最小连接数根据服务器负载和权重来综合调度,当权重值相同时,当前连接数越小的后端服务器被轮询到的次数(概率)也越高。
加权轮询
会话保持状态
开启或关闭会话保持
开启会话保持后,负载均衡监听会把来自同一客户端的访问请求分发到同一台后端服务器上。
TCP 协议是基于客户端 IP 地址的会话保持,即来自同一 IP 地址的访问请求转发到同一台后端服务器上。
加权轮询调度支持会话保持,加权最小连接数调度不支持开启会话保持功能。
开启
会话保持时间
会话保持时间
当超过保持时间,连接内无新的请求,将会自动断开会话保持。
可配置范围30 - 3600秒。
30s
具体配置如下图所示:


3. 健康检查

健康检查配置
说明
示例
健康检查状态
开启或关闭健康检查。TCP 监听器中,负载均衡实例向指定的服务器端口发 SYN 包进行健康检查。
开启
检查协议
待补充
待补充
检查端口
待补充
待补充
响应超时
健康检查响应的最大超时时间。
如果后端云服务器在超时时间内没有正确响应,则判定为健康检查异常。
可配置范围:2 - 60秒,默认值2秒。
2s
检测间隔
负载均衡进行健康检查的时间间隔。
可配置范围:5 - 300秒,默认值5秒。
5s
不健康阈值
如果连续 n 次(n 为填写的数值)收到的健康检查结果失败,则识别为不健康,控制台显示为异常
可配置范围:2 - 10次,默认值3次。
3次
健康阈值
如果连续 n 次(n 为填写的数值)收到的健康检查结果为成功,则识别为健康,控制台显示为健康
可配置范围:2 - 10次,默认值3次。
3次
健康检查具体配置如下图所示:


步骤3:绑定后端云服务器

在“监听器管理”页面,单击绑定按钮,在弹出框中选择需绑定的后端云服务器,绑定详情如下:

配置完毕的截图如下所示:

说明:
在传统型负载均衡中,如果您配置了多个监听器,绑定了多个后端云服务器,那么每个监听器都会按其配置转发给所有后端服务器。

步骤4:安全组(可选)

您可以配置负载均衡的安全组来进行公网流量的隔离,详情请参见 配置负载均衡安全组

步骤5:修改/删除监听器(可选)

如果您需要修改或删除已创建的监听器,请在“监听器管理”页面,选择已创建完毕的监听器,选择修改删除来完成操作。



传统型负载均衡管理后端云服务器

最近更新时间:2024-01-04 17:32:01

传统型负载均衡将请求路由至运行正常的后端云服务器实例,首次使用传统型负载均衡或根据业务需求,需要增加或删除后端服务器数量时,可按照本文指引进行操作。

前提条件

需已创建传统型负载均衡实例并配置监听器,详情请参见 传统型负载均衡快速入门

操作步骤

添加传统型负载均衡后端服务器

说明
如果传统型负载均衡实例与某个弹性伸缩组关联,则该组中的云服务器会自动添加至传统型负载均衡后端云服务器。若从弹性伸缩组移除的云服务器实例会自动从传统型负载均衡后端云服务器中删除。
如需使用 API 添加后端服务器,请参见 绑定后端服务到传统型负载均衡 接口说明。
1. 登录 负载均衡控制台
2. 在“实例管理”页面,单击传统型负载均衡
3. 在目标传统型负载均衡实例右侧操作列,单击配置监听器
4. 在配置监听器模块,单击创建
5. 在“创建监听器”弹窗中,填写“后端端口”(端口选择请参见 服务器常用端口)及其他相关字段,单击下一步,继续完成配置,详情请参见 配置传统型负载均衡
说明:
传统型负载均衡需要在创建监听器阶段指定后端服务器的端口。

6. 监听器创建完成后,在绑定后端服务模块,单击绑定
7. 在“绑定云服务器”弹窗中,勾选需要绑定的云服务器,在“权重”处填写权重信息,单击确定
说明:
弹出框中仅展示同地域、相同网络环境、未被隔离、未过期、带宽(峰值)不为0的可选云服务器。
绑定多个后端服务器时,CLB 将按 Hash 算法转发流量,起到均衡负载的作用。
权重越大转发的请求越多,默认为10,可配置范围为0 - 100。 当权重设置为0,该服务器不会再接受新请求。 如开启会话保持,可能会造成后端服务器的请求不均匀,详情请见 均衡算法选择与权重配置实例


修改传统型负载均衡后端服务器权重

说明:
传统型负载均衡暂不支持使用 API 修改后端服务器权重。
1. 登录 负载均衡控制台
2. 在“实例管理”页面,单击传统型负载均衡
3. 在目标传统型负载均衡实例右侧操作列,单击配置监听器
4. 在绑定后端服务模块,修改相关服务器权重。
说明
权重越大转发的请求越多,默认为10,可配置范围为0-100。 当权重设置为0,该服务器不会再接受新请求。 如开启会话保持,可能会造成后端服务器的请求不均匀,详情请见 均衡算法选择与权重配置实例
方式1:单独修改某台服务器权重。
4.1.1 找到需要修改权重的服务器,并将鼠标悬浮于对应权重上方,单击

编辑按钮。


4.1.2 在“修改权重”弹窗中,输入修改后的权重值,单击提交
方式2:批量修改某些服务器权重。
说明:
批量修改权重后的服务器权重相同。
4.1.1 单击服务器前方复选框,选中多台服务器,在列表上方,单击修改权重


4.1.2 在“修改权重”弹窗中,输入修改后的权重值,单击提交

解绑传统型负载均衡后端服务器

说明:
解绑后端服务器会解除传统型负载均衡实例与云服务器实例的关联关系,且传统型负载均衡会立即停止对其的请求转发。
解绑后端服务器不会对云服务器的生命周期产生任何影响,您也可以再次将它添加至后端服务器集群中。
如需使用 API 解绑后端服务器,请参见 解绑传统型负载均衡的后端服务器 接口说明。
1. 登录 负载均衡控制台
2. 在“实例管理”页面,单击传统型负载均衡
3. 在目标传统型负载均衡实例右侧操作列,单击配置监听器
4. 在绑定后端服务模块,解绑已绑定的服务器。
方式1:单独解绑某台服务器。
4.1.1 找到需要解绑的服务器,在右侧操作栏,单击解绑


4.1.2 在“解绑后端服务”弹窗中,确认解绑的服务,单击提交
方式2:批量解绑某些服务器。
4.1.1 单击服务器前方复选框,选中多台服务器,在列表上方,单击解绑


4.1.2 在“解绑后端服务”弹窗中,确认解绑的服务,单击提交